Ákvörðun Persónuverndar um Lífsýnabanka KÍ

20.12.2007

Ákvörðun

Þann 10. desember 2007 tók stjórn Persónuverndar svohljóðandi ákvörðun í máli nr. 2005/463, varðandi lífsýnasafn Rannsóknastofu KÍ í sameinda- og frumulíffræði, þ.e. Lífsýnabanka KÍ:

I.

Grundvöllur máls

Með bréfi Persónuverndar til Krabbameinsfélags Íslands (KÍ), dags. 30. maí 2005, var boðuð úttekt á þeirri vinnslu persónuupplýsinga sem fram fer í lífsýnasöfnum félagsins, þ.e. lífsýnasafni Frumurannsóknastofu leitarsviðs og lífsýnasafni Rannsóknastofu í sameinda- og frumulíffræði, þ.e. Lífsýnabanka KÍ. Hafði vinna við slíka úttekt reyndar byrjað áður, en ákveðið var að hætta henni þegar fyrir lá niðurstaða þess sérfræðings, sem þá vann að málinu með Persónuvernd, um að ekki væri unnt að gera úttektina vegna skorts á gögnum frá KÍ. Síðar bárust Persónuvernd hins vegar ítarlegri gögn með bréfi KÍ til Persónuverndar, dags. 12. apríl 2005, og var þá ákveðið að framkvæma öryggisúttekt hjá umræddum lífsýnasöfnum. Var hún boðuð með framangreindu bréfi, dags. 30. maí 2005.

Töf varð á framkvæmd úttektarinnar. Stafaði hún einkum af því að því að í ljós lom að ekki hafði fengist leyfi heilbrigðisráðherra til reksturs lífsýnasafns Frumurannsóknastofu leitarsviðs, en slíkt leyfi er skilyrði fyrir starfrækslu lífsýnasafns, sbr. 4. gr. laga nr. 110/2000 um lífsýnasöfn. Var úttekt á öryggi safnsins því sett í biðstöðu. Þar sem öryggi þessa lífsýnasafns þótti mjög samtvinnað öryggi Lífsýnabanka KÍ taldi Persónuvernd að einnig yrði að setja úttekt á öryggi hans í biðstöðu. Með bréfi KÍ, dags. 4. júní 2007, var Persónuvernd greint frá því að fengist hefði leyfi til starfrækslu lífsýnasafns Frumurannsóknastofu leitarsviðs. Var málið þá á ný tekið til umfjöllunar. Sendi Persónuvernd bréf til KÍ, dags. 25. júlí 2007, og veitti félaginu kost á að koma á framfæri athugasemdum.

Við síðari umfjöllun var ákveðið að fjalla um lífsýnasafn Frumurannsóknastofu leitarsviðs og lögmæti þess í sérstakri ákvörðun. Lýtur ákvörðun þessi því aðeins að öryggi Lífsýnabanka KÍ.

II.

Aðkoma sérfræðings

1.

Samningur við sérfræðing

Í framangreindu bréfi Persónuverndar til KÍ, dags. 30. maí 2005, var tilkynnt að sem fyrr yrði úttektin unnin með liðsinni sérfræðings og að Persónuvernd hefði í hyggju að leita til Harðar H. Helgasonar, sérfræðings í upplýsingaöryggi, hjá Dómbæ ehf. Félagið gerði ekki athugasemdir við það. Hörður ritaði undir þagnarheit og skilaði í framhaldi af því kostnaðaráætlun til Persónuverndar, dags. 5. ágúst 2005. Með bréfi, dags. 9. s.m., sendi Persónuvernd KÍ afrit af áætluninni og veitti félaginu kost á að gera athugasemdir. Eftir nokkur bréfaskipti náðist sameiginleg niðurstaða um tilhögun mála. Verkefni Harðar fólst í því að rýna þau skjöl sem félagið lagði fram, gera vettvangsathugun og skila Persónuvernd skýrslu um niðurstöður sínar. Henni skilaði hann hinn 30. mars 2006. Skýrslan lýtur bæði að lífsýnasafni Frumurannsóknastofu leitarsviðs og Lífsýnabanka KÍ. Skoða ber tilvísanir til skýrslu hans og til athugasemda KÍ við skýrsluna í ljósi framangreinds, þ.e. að aðeins er átt við efnisatriði að því marki sem þau eiga við um Lífsýnabanka KÍ.

2.

Rýni skjala

Hörður H. Helgason rýndi gögn KÍ, þ.e. þau skriflegu gögn sem félagið hafði lagt fram um öryggisstefnu sína, áhættumat og öryggisráðstafanir. Þann 20 mars 2006 skilaði Hörður (hér eftir nefndur skýrsluhöfundur) niðurstöðum sínum.

2.1. Öryggisstefna

Skýrsluhöfundur vísar til þess að við mörkun öryggisstefnu lífsýnasafns megi hafa hliðsjón af staðlinum ÍST ISO/IEC 17799:2000 Upplýsingatækni – Starfsvenjur fyrir stjórnun upplýsingaöryggis (nú ISO 27001). Telur skýrsluhöfundur öryggisstefnu KÍ að mestu leyti fullnægja kröfum þess staðals. Hins vegar segir hann:

Í ljósi framangreinds gerir skýrsluhöfundur ekki athugasemd við öryggisstefnu KÍ.

2.2. Áhættumat

Um áhættumat KÍ segir skýrsluhöfundur:

Niðurstaðan er því sú að einungis eru gerðar þær athugasemdir að æskilegt sé að í áhættumati komi skýrar fram hvernig staðið hafi verið að gerð þess, svo sem með lýsingum á eða tilvísun í þá aðferðafræði sem fylgt hafi verið, og að betur megi lýsa tengslum áhættumats og vali á öryggisráðstöfunum.

2.3. Lýsing öryggisráðstafana

Um lýsingu KÍ á öryggisráðstöfunum segir skýrsluhöfundur:

Þá telur skýrsluhöfundur vafa undirorpið hvort handbókin uppfylli kröfur reglnanna um að í skriflegri lýsingu á stjórnun öryggismála lífsýnasafnsins komi fram með hvaða hætti rekstri lífsýnasafns sé haldið aðskildum frá annarri starfsemi leyfishafa, sbr. 1. tölul. 1. mgr. 5. gr. reglnanna. Síðan segir:

Niðurstaðan er því sú að lýsing á öryggisráðstöfunum uppfylli að stórum hluta ákvæði reglna Persónuverndar nr. 918/2001 en skýrar megi koma fram með hvaða hætti rekstri lífsýnasafns sé haldið aðskildum frá annarri starfsemi leyfishafa, sbr. 1. tölul. 1. mgr. 5. gr. reglnanna.

2.4. Innra eftirlit

Um skráningu innra eftirlits hjá KÍ segir skýrsluhöfundur:

Niðurstaðan er því sú að ekki verði gerð athugasemd við skjölun um framkvæmd innra eftirlits.

3.

Vettvangsathugun

Skýrsluhöfundur framkvæmdi vettvangsathugun og er greint frá niðurstöðum hennar í skýrslu hans frá 20. mars 2006. Margar öryggisráðstafanir reyndust vera í samræmi við framlögð gögn. Verður ekki fjallað sérstaklega um þær. Vissar öryggisráðstafanir voru hins vegar ekki viðhafðar eða voru með öðrum hætti en lýst hafði verið í framlögðum gögnum.

3.1. Skipulagslegar og tæknilegar öryggisráðstafanir

Samkvæmt 7. gr. reglna nr. 299/2001, sbr. og 7. gr. reglna nr. 918/2001, skal ábyrgðaraðili lífsýnasafns grípa til viðeigandi ráðstafana í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum bilana og óheimils aðgangs að vinnslubúnaði. Eina öryggisráðstöfun, sem lýtur að þessari kröfu, taldi skýrsluhöfundur ekki standast prófun. Það var sú ráðstöfun að hvorki mætti fjarlægja tilteknar eignir né gögn úr húsnæðinu. Í vettvangsskoðun kannaði skýrsluhöfundur þetta. Var því til svarað að umræddu verklagi væri ekki fylgt og þyrfti að endurskoða texta öryggishandbókar um þetta.

3.2. Innra eftirlit

Samkvæmt 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001, sem og 10. gr. reglna nr. 918/2001, skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Þrjár öryggisráðstafanir, sem lúta að þessari kröfu, reyndust, að mati skýrsluhöfundar, ekki standast prófun. Þær eru þessar:

a) Í skjalinu „Öryggishandbók Krabbameinsfélags Íslands" er fjallað um yfirlitsferðir sem fara skuli tvisvar á ári til að taka helstu öryggisatriði fyrir. Í vettvangsskoðun óskaði skýrsluhöfundur þess að sér yrðu sýnd gögn um síðustu öryggisyfirlitsferð, s.s. listi yfir atriði sem skoðuð voru og upplýsingar um niðurstöður skoðunar. Var þá upplýst að enn hefði ekki verið farið í slíkar yfirlitsferðir.

b) Í skjalinu „Öryggishandbók Krabbameinsfélags Íslands" segir m.a.: „Hver starfsmaður KÍ hefur einstakt notendaauðkenni sem hann notar til að skrá sig inn á útstöð og á netkerfi KÍ. Þannig má rekja allan umgang starfsmanns sé þess þörf." Í vettvangsskoðun óskaði skýrsluhöfundur þess að sér yrði sýnt hvernig rekja mætti aðgang tiltekins starfsmanns að netkerfi félagsins. Var þá upplýst að aðgangur starfsmanna væri ekki skráður.

c) Í skjalinu „Öryggishandbók Krabbameinsfélags Íslands" segir m.a.: „Við yfirstandandi endurskoðun á stefnumótun félagsins verður skjalfest meginstefna og framkvæmdaáætlun um rekstrarsamfellu í samræmi við meginmarkmið og forgangsröðun félagsins." Þá segir að samþykktar áætlanir og ferli verði prófuð reglulega. Í vettvangsskoðun óskaði skýrsluhöfundur þess að sér yrðu sýndar niðurstöður prófana. Hann fékk þau svör að þessu hefði ekki verið hrint í framkvæmd.

4.

Niðurstöður skýrsluhöfundar

Í lokakafla skýrslunnar er lagt heildstætt mat á niðurstöður prófana. Segir að sá raunveruleiki, sem vettvangsskoðunin hafi leitt í ljós, sé allnálægur lýsingu kerfisins í framlögðum gögnum. Athugunin hafi þó leitt í ljós níu atriði sem þurfi að skoða sérstaklega, þ.e.:

III.

Athugasemdir KÍ

Með bréfi, dags. 28. apríl 2006, var KÍ boðið að tjá sig um þá skýrslu sem skýrsluhöfundur hafði skilað hinn 20. mars s.á. Svarað var með bréfi, dags. 1. ágúst s.á., og fylgdu því ýmis skjöl. Verða hér raktar athugasemdir KÍ við þær meginniðurstöður skýrsluhöfundar sem raktar eru hér að framan. Eins og fyrr greinir lúta fyrsta, sjötta og áttunda athugasemd skýrsluhöfundar í þeirri umfjöllun að Frumurannsóknastofu leitarsviðs og verður því ekki fjallað um þær hér.

Eins og áður segir var í nóvember 2006 ákveðið að fresta framkvæmd úttektarinnar af tilgreindum ástæðum. Tilkynnt var um framhald hennar með bréfi, dags. 25. júlí 2007, þar sem Persónuvernd veitti KÍ kost á að koma á framfæri frekari athugasemdum. Frestur til athugasemda var veittur til 8. september s.á. Engar athugasemdir bárust. Liggur því fyrir Persónvernd að komast að niðurstöðu um öryggi Lífsýnabanka KÍ.

VI.

Niðurstaða

1.

Lögmæti

Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga og einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu persónuupplýsingar er átt við ,,sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi," sbr. 1. tölul. 2. gr. laganna. Þá merkir hugtakið vinnsla ,,[sérhverja] aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn." Með vinnslu er þannig t.d. átt við söfnun og skráningu og undir það fellur m.a. flokkun, varðveisla, breyting, leit og miðlun. Af framangreindu leiðir að hjá Lífsýnabanka KÍ fer fram vinnsla persónuupplýsinga, í skilningi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju af skilyrðum 1. mgr. 8. gr. og, eftir atvikum, 1. mgr. 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 8. gr. laganna, en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 9. gr. laganna. Heilsufarsupplýsingar, þ. á m. um erfðaeiginleika og annað sem lífsýni bera með sér, teljast til viðkvæmra persónuupplýsinga, sbr. c-lið 8. tölul. 1. mgr. 2. gr. laga nr. 77/2000. Er hér um slíkar upplýsingar að ræða og þarf vinnslan þar af leiðandi að eiga sér stoð í einhverju af heimildarákvæðum 1. mgr. 9. gr. laga nr. 77/2000. Samkvæmt 2. tölul. þess ákvæðis er vinnsla viðkvæmra persónuupplýsinga heimil standi sérstök heimild til hennar samkvæmt öðrum lögum. Samkvæmt 2. gr. laga nr. 110/2000 um lífsýnasöfn gilda þau um söfnun lífsýna, vörslu, meðferð, nýtingu og vistun þeirra í lífsýnasöfnum, en af fyrirliggjandi lýsingu á Lífsýnabanka KÍ má ráða að sú starfsemi sem þar fer fram falli hér undir. Þá liggur fyrir að heilbrigðisráðherra hefur veitt leyfi til starfrækslu safnsins í samræmi við 4. gr. laganna. Telst vinnsla persónuupplýsinga hjá Lífsýnabaka KÍ því styðjast við heimildarákvæði 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Við vinnsluna ber og að uppfylla almenn skilyrði þeirra laga, sem og sérstök skilyrði í lögum nr. 110/2000 um lífsýnasöfn. Ekki hefur annað komið fram en að vinnsla persónuupplýsinga í Lífsýnabanka KÍ sé með þeim hætti að samrýmist framangreindum lögmætiskröfum. Er þá til skoðunar að hvaða marki uppfylltar séu kröfur til öryggis persónuupplýsinga í lífsýnasöfnum, þ.e. samkvæmt 11.–13. gr. laga nr. 77/2000, sbr. reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, og reglum nr. 918/2001 um öryggi við meðferð og varðveislu lífsýna í lífsýnasöfnum, sbr. 8. tölul. 1. mgr. 5. gr. laga nr. 110/2000.

2.

Öryggi

2.1.

Almennt

Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með. Í 11. gr. laganna er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.

Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir séu endurbættar að því marki sem þörf krefur til að uppfylla ákvæði 11. gr., sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.

Samkvæmt 12. gr. skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.

2.2.

Öryggi hjá Lífsýnabanka KÍ

Með vísan til 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. og 2. mgr. 12. gr. laga nr. 110/2000 um lífsýnasöfn, hefur Persónuvernd athugað hvort uppfyllt séu fyrirmæli framangreindra laga og reglna um öruggi við meðferð persónuupplýsinga hjá Lífsýnabanka KÍ.

a. Öryggisstefna

Í 1. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 segir: ,,Ábyrgðaraðili setur sér skriflega öryggisstefnu. Í henni skal m.a. koma fram almenn lýsing á afstöðu æðsta stjórnanda ábyrgðaraðila til öryggismála. Við mótun öryggisstefnu skal taka mið af því hvaða persónuupplýsingar skuli vernda, hvernig skuli vernda þær og þeirri aðferð sem viðhöfð verður við vinnslu þeirra." Einnig er mælt fyrir um öryggisstefnu í 3. gr. reglna nr. 918/2001.

Persónuvernd telur öryggisstefnu KÍ fullnægja kröfum framangreindra ákvæða.

b. Áhættumat

Í 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 eru fyrirmæli um gerð áhættumats. Þar segir: ,,Áhættumat er mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat tekur einnig til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið er með. Markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum. Þá skal tilgreina hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku. Áhættumat skal endurskoðað reglulega." Í 3. tölul. 1. mgr. 5. gr. reglna nr. 918/2001 er vísað til framangreinds ákvæðis reglna nr. 299/2001. Þá segir þar að fram skuli koma í skriflegri lýsingu á stjórnun öryggismála lífsýnasafns hvernig staðið hafi verið að gerð áhættumats.

Að virtum framkomnum athugasemdum KÍ telur Persónuvernd áhættumat félagsins fullnægja kröfum framangreindra ákvæða.

c. Skrifleg lýsing á öryggi – Öryggisráðstafanir

Samkvæmt 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 ber ábyrgðaraðila að setja fram skriflega lýsingu á þeim öryggisráðstöfunum sem hann hefur valið til þess að tryggja öryggi persónuupplýsinga. Er ákvæðið svohljóðandi: ,,Ábyrgðaraðili velur hvaða öryggisráðstafanir skulu viðhafðar í samræmi við III. kafla reglna þessara og set[ur] fram skriflega lýsingu á þeim. Í lýsingunni skal m.a. koma fram afstaða ábyrgðaraðilans til þess hvað sé ásættanleg áhætta við vinnsluna. Þá skal rakið hvaða öryggisráðstöfunum verði beitt og hvernig þær verði útfærðar, þ. á m. við hönnun, þróun, rekstur, prófun og viðhald þess kerfis, þ.m.t. hugbúnaðar, sem notað verður við vinnslu upplýsinganna. Þar skal og tekið fram hvernig brugðist verði við áföllum í rekstri vinnslukerfisins, hvernig flutningi persónuupplýsinga milli vinnslukerfa verði hagað, þ. á m. mögulegum flutningi gagna milli ábyrgðar- og vinnsluaðila. Öryggisráðstafanir skal endurskoða reglulega." Einnig er mælt fyrir um skyldu til skráningar öryggisráðstafana í 1. mgr. 5. gr. reglna nr. 918/2001. Þá felur 2. mgr. 6. gr. reglna nr. 918/2001 í sér kröfu til skráningar öryggisráðstafana, en af því ákvæði leiðir að skjalfesta verður vinnuferli sem tryggir órofinn rekstur lífsýnasafns og dregur úr hættu á truflunum vegna óhappa eða annarra atvika sem ógna öryggi þess, t.d. af völdum náttúruhamfara, slysa, bilunar í búnaði eða skemmdarverka. Er skjalfesting á slíku oft nefnd „viðlagaáætlun".

Persónuvernd telur að í langflestu sé farið að þeim kröfum sem að framan er lýst. Hins vegar skorti á að tilgreint sé nægilega hvernig rekstri Lífsýnabankans er haldið aðskildum frá annarri starfsemi KÍ, að viðlagaáætlun sé ekki fullnægjandi, bæta þurfi úr skráningu á frávikum frá banni við því að taka úr húsnæði Lífsýnabankans eignir hans eða gögn og bæta úr aðgangsstýringum og aðgerðaskráningu.

d. Innra eftirlit

Samkvæmt 12. gr. laga nr. 77/2000, skal reglulega viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Innra eftirlit skal a.m.k. fara fram árlega en oftar sé eðli gagna slíkt að kalli á það, sbr. 2. og 3. mgr. Þá skulu gerðar skýrslur um niðurstöður innra eftirlits. Samkvæmt 8. gr. reglna nr. 299/2001 ber og að jafnaði að viðhafa slíkt eftirlit samkvæmt fyrirfram skilgreindu kerfi og eru í ákvæðinu jafnframt talin upp þau atriði sem það skal beinast að.

Persónuvernd telur gögn KÍ um innra eftirlit fullnægjandi, en standa þurfi betur að framkvæmd þess, þ.e. með því að farnar séu tvisvar á ári yfirlitsferðir til að taka út helstu öryggisatriði, bætt sé úr aðgerðaskráningu (sbr. einnig c-lið hér að ofan) og samþykktar séu áætlanir varðandi rekstrarsamfellu og þær prófaðar reglulega.

Á k v ö r ð u n a r o r ð:

Í samræmi við framangreint skal KÍ tryggja, sbr. 1. mgr. 40. gr. laga nr. 77/2000, að eigi síðar en 1. febrúar 2008 hafi verið gerðar eftirfarandi úrbætur á öryggi við vinnslu persónuupplýsinga hjá Lífsýnabanka félagsins:

Samþykkja áætlanir varðandi rekstrarsamfellu og prófa þær reglulega.