Úttekt á öryggiskerfi persónuupplýsinga hjá Neyðarlínunni hf.
Persónuvernd hefur unnið úttekt á öryggi hjá Neyðarlínunni hf.
Persónuvernd hefur unnið úttekt á öryggi hjá Neyðarlínunni hf. Úttektin byggir á gögnum félagsins og var unnin með liðsinni sérfræðings sem skilaði skýrslu um niðurstöður sínar hinn 8. ágúst 2007. Með bréfi Persónuverndar, dags. 13. september s.á., var Neyðarlínunni hf. boðið að tjá sig um þá skýrslu. Engar athugasemdir hafa borist.
I.
Grundvöllur úttektar
Til úttektarinnar var upphaflega boðað með bréfi Persónuverndar til Neyðarlínunnar hf., dags. 18. október 2004, ítrekuðu með bréfi, dags. 6. janúar 2005. Í bréfunum var boðuð úttekt á þeirri vinnslu persónuupplýsinga sem fram fer hjá Neyðarlínunni hf., þ.e. í tengslum við (1) tilkynningar sem henni berast þegar hún svarar fyrir slökkvilið, fjarskiptamiðstöð lögreglu, vaktstöð siglinga, almannavarnir, Slysavarnafélag Íslands, Landsbjörgu o.fl.; og (2) framhald mála gagnvart öðrum aðilum, s.s. barnaverndarnefndum, landlækni, Brunamálastofnun o.fl. sem kunna að telja sér þörf á upplýsingum Neyðarlínunnar hf. Persónuvernd óskaði eftir gögnum um hvernig öryggis þessara upplýsinga væri gætt, þ.e.um öryggisstefnu, áhættumat og öryggisráðstafanir. Bárust slík gögn með bréfum Neyðarlínunnar hf. dags. 14. janúar 2005 og 24. mars 2006.
Þær upplýsingar, sem hér um ræðir, lúta iðulega að viðkvæmum einkalífsatriðum og því brýnt að öryggis þeirra sé gætt gagnvart óviðkomandi. Að auki eru þær í mörgum tilvikum notaðar til að skera úr um hver réttarstaða manna sé, s.s. í tengslum við kröfur um greiðslu skaðabóta. Er áreiðanleiki þeirra því mikilvægur, sem og að þær eyðist ekki fyrir handvömm eða slysni áður en málefnalegum varðveislutíma lýkur.
Með bréfi, dags. 11. október 2005, greindi Neyðarlínan hf. frá því að yfir stæði endurskoðun á áhættumati félagsins. Af því tilefni tilkynnti Persónuvernd, með bréfi dags. 13. október 2005, að framkvæmd úttektarinnar yrði frestað þar til ný skjöl lægju fyrir. Neyðarlínan hf. skilaði skjölum um endurskoðað áhættumat hinn 24. mars 2006.
II.
Aðkoma sérfræðings
Úttekin var unnin með liðsinni sérfræðingsins Harðar H. Helgasonar hjá Dómbæ ehf. Hann framkvæmdi athugun á vinnslu persónuupplýsinga hjá Neyðarlínunni hf. og gerði skýrslu um niðurstöðu hennar. Athugun hans var tvíþætt, fólst annars vegar í rýni framlagðra gagna frá félaginu og hins vegar vettvangsathugun þar sem staðhæfingar í framangreindum gögnum voru sannreyndar með tilvikabundnum prófunum. Að athuguninni lokinni skilaði hann Persónuvernd skýrslu um niðurstöður sínar, hinn 8. ágúst 2007. Er hann er hér eftir nefndur skýrsluhöfundur.
1.
Um gögn Neyðarlínunnar hf.
Skýrsluhöfundur rýndi gögn Neyðarlínunnar hf. Þar sem hann greinir frá niðurstöðum rýninnar kemur eftirfarandi fram:
1.1. Öryggisstefna
Skýrsluhöfundur telur öryggisstefnu Neyðarlínunnar hf. fullnægja þeim kröfum sem gera verður til slíks skjals og gerir því ekki við hana athugasemdir.
1.2. Áhættumat
Um áhættumat Neyðarlínunnar ehf. segir skýrsluhöfundur:
„Áhættumat Neyðarlínunnar hf. er bæði skilmerkilegt og vel aðgreint í fjóra hluta með hliðsjón af ólíkri starfsemi félagsins á þeim sviðum. Hins vegar er sá eignalisti sem er að finna í skjölunum fjórum (átta, ef taldar eru með framlagðar yfirlýsingar um nothæfi) afar almennt orðaður. Þá spillir fyrir framkvæmdinni að ekki hefur verið tekinn saman eiginlegur upplýsingaeignalisti og hann lagður til grundvallar áhættumatinu og vali á öryggisráðstöfunum. Þá mætti lýsing á aðferðafræði áhættumatsins koma betur fram í skjölum kerfisins, sem og hvernig einstakir hlutar áhættumatsins hafi leitt til vals á öryggisráðstöfunum.
Niðurstaðan er því sú að gerð verður sú athugasemd við áhættumat Neyðarlínunnar hf. að ítarlegri og heildstæðari upplýsingaeignalista þurfi til að eftirfarandi aðgerðir, einkum áhættumat, standi traustari fótum. Þá væri æskilegt að í framlögðum gögnum um áhættumat kæmi skýrar fram hvernig staðið hefur verið að gerð þeirra, svo sem með lýsingum á eða tilvísun í þá aðferðafræði sem fylgt hafi verið, og að betur mætti koma fram í skjölum öryggiskerfisisins hvernig áhættumötin tengist vali á öryggisráðstöfunum."
1.3. Lýsing öryggisráðstafana
Um lýsingu Neyðarlínunnar hf. á öryggisráðstöfunum segir skýrsluhöfundur:
„Framlögð gögn um öryggiskerfi Neyðarlínunnar hf. eru afar umfangsmikil og telja þúsundir skráa [?]. Þrátt fyrir að meðal þessara gagna sé ekki að finna tæmandi lýsingu á þeim öryggisráðstöfunum sem viðhafðar eru í starfsemi félagsins, gefa þær skrár sem mynda skjalið „Öryggishandbók" (vefútgáfa) og uppfærðar skrár með heitinu „Yfirlýsing um nothæfi" og „Ítarlegar upplýsingar", fyrir hvern hluta starfsemi félagsins, heildstæða mynd af þeim öryggisráðstöfunum sem ákveðið hefur verið að grípa til í umræddri starfsemi, þegar þau eru lesin saman.
Hins vegar eru framlögð skjöl um kerfið að hluta til ófrágengin. Helsti vankantur þeirrar skjölunar er skortur á sameiginlegri eignaskrá, sem er nauðsynlegur grundvöllur áhættumats og vals á öryggisráðstöfunum [?]. Að auki vantar einkum upp á að skjöluð verði framkvæmd öryggisafritatöku félagsins [?], lýsing á því starfssvæði Neyðarlínunnar hf. sem fellur undir öryggiskerfi hennar [?], auk áætlunar um rekstarsamfellu [?].
Niðurstaðan er því sú að lýsing Neyðarlínunnar hf. á þeim öryggisráðstöfunum sem beitt er í starfsemi félagsins uppfyllir að meginstefnu þær kröfur sem gerðar eru til slíkra lýsinga í reglum Persónuverndar um öryggi persónuupplýsinga, en gerð verði sú athugasemd við kerfið að þegar öryggisathugun þessi var gerð var skjölun þess ekki lokið og nokkur fjöldi verklýsinga og stefnuyfirlýsinga þess óútfærður."
1.4. Innra eftirlit
Um skráningu innra eftirlits hjá Neyðarlínunni hf. segir skýrsluhöfundur:
„Framlögð skjöl um framkvæmd og skráningu innri úttekta er greinargóð. Í þeim kemur hins vegar ekki fram hvernig mætt sé þeim kröfum 8. gr. reglna um öryggi persónuupplýsinga [nr. 299/2001], að ganga skuli úr skugga um að unnið sé í samræmi við gildandi lög og reglur [?].
Niðurstaðan er því sú að gerð verður sú athugasemd við lýsingu Neyðarlínunnar hf. á framkvæmd innra eftirlits á öryggiskerfi þess, að rétt væri að greina og skjalfesta hvaða kröfur til öryggis persónuupplýsingavinnslu félagsins eru fengnar úr gildandi lögum og reglum á hverjum tíma."
2.
Vettvangsathugun
Skýrsluhöfundur framkvæmdi vettvangsathugun hjá Neyðarlínunni hf. Í niðurstöðum sínum flokkar hann öryggisráðstafanir með tilliti til reglna nr. 299/2001. Í þessum reglum er gert ráð fyrir þremur flokkum öryggisráðstafana, þ.e. öryggisráðstöfunum varðandi innra öryggi, þ. á m. starfsmannamál, öryggisráðstöfunum varðandi ytra öryggi og skipulagslegum og tæknilegum öryggisráðstöfunum. Þá bætir skýrsluhöfundur við einum flokki til skýringar, þ.e. varðandi aðgangsstýringu. Innra eftirlit, sem fjallað er um í sérkafla í reglunum, flokkar skýrsluhöfundur undir öryggisráðstafanir.
Margar öryggisráðstafanir reyndust við prófun hans vera í samræmi við framlögð gögn. Verður ekki fjallað sérstaklega um þær. Hins vegar verður hér á eftir farið yfir þær öryggisráðstafanir sem ekki voru viðhafðar eða reyndust vera með öðrum hætti en greinir í framlögðum gögnum. Þessi atriði, sem tilheyra flokkunum „ytra öryggi", „skipulagslegar og tæknilegar öryggisráðstafanir", „öryggisráðstafanir varðandi starfsmannamál" og „innra eftirlit", eru eftirfarandi:
3.1. Ytra öryggi
Samkvæmt 6. gr. reglna nr. 299/2001, sbr. 1. mgr. 11. gr. laga nr. 77/2000, skal ábyrgðaraðili grípa til viðeigandi öryggisráðstafana í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum óheimils aðgangs. Ein öryggisráðstöfun, sem lýtur að þessari kröfu, reyndist, að mati skýrsluhöfundar, ekki standast prófun, þ.e. sú ráðstöfun sem lýst er í skjalinu „Tillögur vinnuhóps um aðgangsstjórnun stjórnstöðva" með eftirfarandi orðum: „Settir verði plastbollar yfir snerla á eftirtöldum hurðum: [?] Varðstofur og Samhæfingarstöð."
Í vettvangsskoðun óskaði skýrsluhöfundur þess að sér yrði sýndur plastbolli yfir snerli á hurð að Samhæfingarstöð. Reyndist slíkan plastbolla vanta.
3.2. Skipulagslegar og tæknilegar öryggisráðstafanir
Samkvæmt 7. gr. reglna nr. 299/2001, skal ábyrgðaraðili grípa til viðeigandi ráðstafana í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum bilana og óheimils aðgangs að vinnslubúnaði. Ein öryggisráðstöfun, sem lýtur að þessari kröfu, reyndist, að mati skýrsluhöfundar, ekki standast prófun, þ.e. sú ráðstöfun sem lýst er í skjalinu „Öryggishandbók" með eftirfarandi orðum: „Í eignaskrá Neyðarlínunnar skulu skráðar allar eignir hennar. Litið er á upplýsingar í fyrirtækinu sem eignir, svonefndar upplýsingaeignir. Þær skulu sérstaklega skráðar og flokkaðar eftir viðkvæmni (trúnaðarstigi), aðgengi og mikilvægi réttleika gagna. Taka skal upplýsingaeignir saman í hóp eða safn eftir því sem við á. Þetta er gert til að unnt sé að meta áhættu varðandi upplýsingaeignir. Tilgreina á sérhverja eign með skýrum hætti og ákvarða forsjármenn hennar og öryggisflokkun (sjá kafla 5.2), og skjalfesta þessi atriði ásamt upplýsingum um staðsetningu (mikilvægt þegar reynt er að rétta við eftir tap eða tjón). Forsjármaðurinn ber ábyrgð á að halda uppi viðeigandi vernd fyrir þær eignir Neyðarlínunnar sem hann er vörslumaður fyrir og ber ábyrgð á."
Í vettvangsskoðun óskaði skýrsluhöfundur þess að sér yrði sýnd eignaskrá Neyðarlínunnar hf. sem svaraði til tilvitnaðrar lýsingar á formi slíkrar skrár. Kom þá í ljós að eignaskrá með þessu sniði hafði ekki verið sett saman.
3.3. Öryggisráðstafanir varðandi starfsmannamál
Samkvæmt 5. gr. reglna nr. 299/2001 skal ábyrgðaraðili grípa til viðeigandi öryggisráðstafana í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum mannlegra mistaka, þjófnaðar, svika og annarrar misnotkunar. Tvær öryggisráðstafanir, sem lúta að þessari kröfu, reyndust, að mati skýrsluhöfundar, ekki standast prófun, sbr. eftirfarandi:
a) Í skjalinu „Öryggishandbók" segir m.a.: „Á starfsmannafundum er eftirfarandi kynnt og rætt: [?] Hvernig fylgst er með upplýsinga- og tölvuöryggi fyrirtækisins. Hverjum og einum starfsmanni ber að tilkynna um frávik eins fljótt og unnt er og koma með uppástungur um hvernig bæta má upplýsingaöryggi í fyrirtækinu. [?] Samþykktar breytingar í öryggiskerfi fyrirtækisins. Rýni og samþykki öryggisstefnu og öryggismarkmiða Neyðarlínunnar."
Í vettvangsskoðun spurði skýrsluhöfundur hvort fjallað væri um öryggismál fyrirtækisins á starfsmannafundum. Fékk hann þau svör að það hefði ekki verið gert.
b) Í skjalinu „Öryggishandbók" segir m.a.: „Allir starfsmenn undirrita trúnaðaryfirlýsingu til að tryggja að þeir geri sér fulla grein fyrir því að störf þeirra varða trúnaðarmál. [?] Á bakhlið trúnaðaryfirlýsinga eru Starfsreglur fyrir notendur upplýsinga- og öryggiskerfis Neyðarlínunnar."
Í vettvangsskoðun óskaði skýrsluhöfundur þess að sér yrði sýnd undirrituð trúnaðaryfirlýsing tiltekins starfsmanns. Var þá upplýst að slík yfirlýsing lægi ekki fyrir.
3.4. Innra eftirlit
Samkvæmt 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001, skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Fjórar öryggisráðstafanir, sem lúta að þessari kröfu, reyndust, að mati skýrsluhöfundar, ekki standast prófun, sbr. eftirfarandi:
a) Í skjalinu „Öryggishandbók" segir m.a.: „Allar eignir sem fjarlægðar eru af vinnustað eru skráðar."
Í vettvangsskoðun óskaði skýrsluhöfundur þess að sér yrðu sýnd dæmi um skráningu samkvæmt framangreindu. Kom þá í ljós að slík skráning hafði ekki farið fram.
b) Í skjalinu „Öryggishandbók" segir m.a.: „Daglega er tekið afrit af öllum gögnum og forritum skv. samþykktri afritunaráætlun [?]."
Í vettvangsskoðun óskaði skýrsluhöfundur þess að sér yrði sýnd samþykkt afritunaráætlun fyrir tölvukerfi Neyðarlínunnar hf. Var þá upplýst að slík skrifleg áætlun hefði ekki verið gerð.
c) Í skjalinu „Öryggishandbók" segir m.a.: „Kerfisstjóri heldur skrá um daglegan tölvurekstur, t.d. hvenær kerfi eru ræst og hvenær stöðvuð, bilanir, viðgerðir o.fl. Skráin er rýnd á 6 mánaða fresti af tæknilegum framkvæmdastjóra."
Í vettvangsskoðun óskaði skýrsluhöfundur þess að sér yrði sýnd skrá yfir daglegan rekstur fyrir janúarmánuð 2006. Var þá upplýst að slík skrá, sem hér um ræðir, væri ekki formlega haldin.
d) Í skjalinu „Tillögur vinnuhíops um aðgangsstjórnun stjórnstöðva" segir m.a.: „Lagt er til að skrá ferðir allra sem eiga erindi í Samhæfingarstöð, varðstofur og tæknirými."
Í vettvangsskoðun óskaði skýrsluhöfundur þess að sér yrði sýnt með hvaða hætti framangreindar ferðir væru skráðar. Var þá greint frá að slík skráning hefði ekki verið tekin upp en verið væri að innleiða hana.
3.
Niðurstöður skýrsluhöfundar
Í lokakafla skýrslunnar er niðurstöðum skjalarýni og þeirra prófana, sem gerðar voru á öryggisráðstöfunum við vettvangsathugun, lýst með svofelldum hætti:
„Skýrsla þessi inniheldur greinargerð um öryggisathugun sem Dómbær ehf. gerði á vinnslu persónuupplýsinga hjá Neyðarlínunni hf. Athugunin var tvíþætt og samanstóð af skjalarýni og vettvangsskoðun:
Skjalarýninni var ætlað að leiða í ljós hversu vel framlögð gögn Neyðarlínunnar hf. uppfylla þær kröfur sem gerðar eru til slíkra gagna samkvæmt reglum Persónuverndar um öryggi [?] persónuupplýsinga, þ.e. kröfur um gerð öryggisstefnu ábyrgðaraðila, áhættumats og lýsingar á öryggisráðstöfunum. Meðal annars var skoðað innra samræmi hinna framlögðu skjala og hversu skýr, ítarleg og gagnleg þau eru, enda er þar kominn hinn raunverulegi mælikvarði á hversu líklegt er að eftir þeim verði farið og þau nýtist til að tryggja öryggi persónuupplýsinga í vinnslu ábyrgðaraðila þegar á reynir.
Með vettvangsskoðuninni, sem fram fór á starfsstöð Neyðarlínunnar hf. 7. apríl 2006, var ætlunin að sannreyna hversu vel framangreindar yfirlýsingar af hálfu Neyðarlínunnar hf., um upplýsingaöryggi í vinnslu þeirra, stæðust í raun. Því takmarkast grundvöllur þessa hluta úttektarinnar við eigin lýsingar ábyrgðaraðila á þeim öryggisráðstöfunum sem sagðar voru viðhafðar í starfseminni, en nær ekki til annarra skjala á borð við áhættumat starfseminnar. Í vettvangsskoðuninni voru framkvæmd 27 slík próf á yfirlýsingum í framlögðum gögnum. Af þeim prófunum taldist öryggiskerfið ekki hafa staðist átta, sem verður að teljast nokkuð góður árangur, einkum í ljósi þess að flest þessara átta tilvika verða ekki talin til alvarlegra öryggisbrota og þau alvarlegustu [?] lúta að atriðum sem þegar stóð til að endurbæta síðar á sama ári og vettvangsskoðunin fór fram.
Eins og rakið er hér framar í skýrslunni hefur þessi athugun á upplýsingaöryggiskerfi Neyðarlínunnar hf. átt sér töluvert langan aðdraganda. Einnig hefur skýrslugerð vegna öryggisathugunarinnar tekið afar langan tíma. Framlögð gögn bera með sér að á öllum þessum tíma hefur mikið starf verið unnið við samsetningu og skjölun öryggiskerfisins. Skjalarýni hinna framlögðu gagna bendir til þess að komið hafi verið upp heildstæðu kerfi öryggisráðstafana sem til standi að viðhalda með reglulegri endurskoðun og innra eftirliti. Þá bendir niðurstaða vettvangsathugunarinnar til þess að meðvitund starfsmanna um verkið sé ágæt og öryggismál upplýsingavinnslu séu ofarlega á baugi. Loks reyndist lýsing kerfisins í hinum framlögðu gögnum vera ekki fjarri þeim raunveruleika sem vettvangsskoðunin leiddi í ljós.
Á hinn bóginn er ljóst að enn má bæta skjölun kerfisins nokkuð [?].
Þær athugasemdir sem gerðar verða í tilefni af öryggisathugun Dómbæjar ehf. eru raktar hér að framan í skýrslunni og tala þær sínu máli. Hins vegar er rétt að draga hér í niðurstöðum fram skýrlega þau atriði sem varða öryggi persónuupplýsinga hjá Neyðarlínunni hf. sem öryggisathugunin leiddi í ljós að rétt væri að huga að sérstaklega.
Í fyrsta lagi er nauðsynlegt að tekin verði saman heildstæð eignaskrá fyrir Neyðarlínuna hf., efni hennar skjalfest og viðhaldið reglulega, til þess að myndaður verði traustur grunnur undir ákvarðanir í framtíðinni er varða áhættumat og val á öryggisráðstöfunum [sjá kafla 3.2 hér að framan]. [?]
Í öðru lagi er brýnt að ljúka að fullu við skjölun öryggiskerfisins og frágang fyrirliggjandi skjala, þar á meðal varðandi innra eftirlit [sjá kafla 2.2–2.4 hér að framan]. [?]
Í þriðja lagi væri rétt að greina og skjalfesta hvaða kröfur til öryggis upplýsingavinnslu félagsins eru fengnar úr gildandi lögum og reglum á hverjum tíma [sjá kafla 2.4 hér að framan]. [?]
Í fjórða lagi mætti að ósekju huga nánar að öryggisráðstöfunum vegna starfsmannamála, til dæmis að tryggja að fyrir liggi trúnaðar- og þagnaryfirlýsingar frá öllum starfsmönnum þar sem skyldur þeirra séu rækilega raktar [sjá kafla 3.3 hér að framan]. [?]
Í vettvangsskoðunarhluta prófunarinnar voru gerðar alls 27 prófanir í [fimm] flokkum, þ.e. ytra öryggi, skipulagslegar og tæknilegar öryggisráðstafanir, aðgangsstýring, öryggisráðstafanir vegna starfsmannamála og innra eftirlit. Af þessum kröfum stóðst öryggiskerfið alls 20 próf eða 70%.
Þegar niðurstaðan er hins vegar skoðuð eftir þessum flokkum prófana reyndist vera marktækur munur á hlutfalli staðinna prófana. Þær prófanir sem gerðar voru á réttleika fullyrðinga varðandi aðgangsstýringu reyndust til dæmis allar vera réttar, en innan við helmingur þeirra sem sneru að innra eftirliti. [?]
Velta má fyrir sér hverjar séu helstu ástæður fyrir þessum muni milli flokka. Þegar niðurstöður vettvangsskoðunarinnar eru bornar saman við þær ályktanir sem dregnar eru af skjalarýni úttektarinnar hér að framan virðist mega álykta að aðalástæðan sé tvíþætt. Hún liggi annars vegar í því að á þeim tíma sem öryggisúttektin er framkvæmd hefur skjölun öryggiskerfisins ekki verið að fullu lokið og verkferlar, skrár og áætlanir þær sem kerfið býður að skuli semja og fylgja eru ekki enn til staðar. Hins vegar eru nokkur atriði í skjölum kerfisins sem ekki hefur verið og verður ekki hrint í framkvæmd í þeirri mynd sem þar er lýst [?]. Í ljósi þeirrar áherslu sem lögð er á öryggismál hjá Neyðarlínunni hf. má ætla að niðurstaðan verði önnur og hagfelldari félaginu ef Persónuvernd mun kalla eftir frekari gögnum og framkvæma skemmri vettvangsskoðun þegar nokkur tími hefur liðið frá athugun þessari.
Þrátt fyrir þann mun sem er á hlutfalli staðinna prófana í vettvangsskoðunarhluta þessarar öryggisathugunar og lýst er hér að framan skal tekið skýrt fram að í heildina tekið er niðurstaða athugunarinnar sú að ástand öryggiskerfis Neyðarlínunnar hf. er að mati Dómbæjar ehf. að nær öllu leyti í góðu samræmi við reglur Persónuverndar um öryggi persónuupplýsinga, en hins vegar er nauðsynlegt að huga að gerð nokkurra nánar tiltekinna úrbóta á kerfinu, einkum á skjölum þess, svo sem upplýsingaeignaskrá félagsins."
III.
Niðurstaða
1.
Almennt um gildissvið laga nr. 77/2000
Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga og einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu persónuupplýsingar er átt við ,,[s]érhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi," sbr. 1. tölul. 2. gr. laganna. Þá merkir hugtakið vinnsla ,,[sérhverja] aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn." Með vinnslu er þannig t.d. átt við söfnun og skráningu og þar undir fellur m.a. flokkun, varðveisla, breyting, leit og miðlun.
Samkvæmt framangreindu fer fram vinnsla persónuupplýsinga hjá Neyðarlínunni hf. í skilningi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þessi niðurstaða lýtur að öryggi þeirrar vinnslu. Ekki er hins vegar tekin afstaða til annarra álitaefna sem varða vinnsluna, s.s. hvort farið sé að kröfum 7. gr. laga nr. 77/2000 um m.a. sanngirni við vinnslu persónuupplýsinga, áreiðanleika slíkra upplýsinga og meðalhóf. Það kann hins vegar að vera gert síðar, t.d. ef Persónuvernd berst kvörtun frá einhverjum sem Neyðarlínan hf. vinnur með upplýsingar um og sem æskir úrlausnar stofnunarinnar um hvort farið hafi verið að lögum við þá vinnslu.
2.
Öryggi við vinnslu persónuupplýsinga hjá Neyðarlínunni hf.
Almennt
Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr. 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001. Með ábyrgðaraðila er átt við þann sem ákveður tilgang vinnslu persónupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tölul. 2. gr. laga nr. 77/2000.
Í 11. gr. er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.
Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði þessarar greinar, sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.
Samkvæmt 12.gr. skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.
Samkvæmt 13. gr. skal hann og gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. Með vinnsluaðila er átt við þann sem vinnur persónuupplýsingar á vegum ábyrgðaraðila, sbr. 4. tölul. 2. gr. laganna.
3.
Niðurstaða um öryggi vinnslu persónuupplýsinga
hjá Neyðuarlínunni hf.
Með vísan til 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga hefur Persónuvernd athugað hvort uppfyllt séu fyrirmæli framangreindra laga og reglna, þ.e. að því er varðar örugga meðferð persónuupplýsinga hjá Neyðarlínunni hf. Á grundvelli þeirrar athugunar er niðurstaða Persónuverndar sú að gera þurfi úrbætur eins og nánar er lýst hér að neðan.
a. Öryggisstefna
Í 1. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 segir: ,,Ábyrgðaraðili setur sér skriflega öryggisstefnu. Í henni skal m.a. koma fram almenn lýsing á afstöðu æðsta stjórnanda ábyrgðaraðila til öryggismála. Við mótun öryggisstefnu skal taka mið af því hvaða persónuupplýsingar skuli vernda, hvernig skuli vernda þær og þeirri aðferð sem viðhöfð verður við vinnslu þeirra." Eins og ráða má af orðalagi ákvæðisins er öryggisstefna ábyrgðaraðila eins konar markmiðsyfirlýsing hans varðandi þær kröfur sem hann gerir til þeirrar vinnslu sem hann ber ábyrgð á. Er þannig gert ráð fyrir því að kröfur um öryggi persónuupplýsinga taki mið af þeim þáttum sem ábyrgðaraðili telur varða mestu að tryggja, s.s. hvort það sé aðgengileiki, áreiðanleiki eða leynd viðkomandi persónuupplýsinga.
Fram hefur komið að Neyðarlínan hf. hefur sett sér öryggisstefnu og telur Persónuvernd hana vera fullnægjandi.
b. Áhættumat
Í 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 er að finna reglur sem veita ábyrgðaraðilum persónuupplýsinga leiðbeiningar um hvernig standa skuli að gerð áhættumats. Þar segir: ,,Áhættumat er mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat tekur einnig til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið er með. Markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum. Þá skal tilgreina hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku. Áhættumat skal endurskoðað reglulega."
Fram hefur komið að Neyðarlínan hf. hefur gert áhættumat. Skýrsluhöfundur gerir við það vissar athugasemdir, sbr. kafla 2.2 í II. þætti þessarar úrlausnar. Meðal þeirra er að ekki hafi verið gerður, að hans mati, fullnægjandi eignalisti. Í öryggisstaðlinum ISO 27001 er gert ráð fyrir að slíkur listi sé gerður, en til hans er vitnað í 1. mgr. 1. gr. reglna nr. 299/2001 (þar sem þó er vísað til eldri útgáfu staðalsins undir heitinu ÍST BS 7799). Ekki er lögskylt að fara eftir staðlinum. Persónuvernd telur hvorki umrætt atriði, né annað það sem skýrsluhöfundur gerir athugasemdir við, leiða til þeirrar niðurstöðu að farið sé gegn fyrirmælum laga og reglna um áhættumat.
Með vísan til framangreinds telur Persónuvernd áhættumat Neyðarlínunnar hf. fullnægjandi. Hins vegar má telja það myndu verða til bóta ef farið yrði að athugasemdum skýrsluhöfundar og telur því Persónuvernd rétt að vísa til þeirra til hliðsjónar.
c. Lýsing á öryggisráðstöfunum
Samkvæmt 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 ber ábyrgðaraðila að setja fram skriflega lýsingu á þeim öryggisráðstöfunum sem hann hefur valið til þess að tryggja öryggi persónuupplýsinga. Er ákvæðið svohljóðandi: ,,Ábyrgðaraðili velur hvaða öryggisráðstafanir skulu viðhafðar í samræmi við III. kafla reglna þessara og set[ur] fram skriflega lýsingu á þeim. Í lýsingunni skal m.a. koma fram afstaða ábyrgðaraðilans til þess hvað sé ásættanleg áhætta við vinnsluna. Þá skal rakið hvaða öryggisráðstöfunum verði beitt og hvernig þær verði útfærðar, þ. á m. við hönnun, þróun, rekstur, prófun og viðhald þess kerfis, þ.m.t. hugbúnaðar, sem notað verður við vinnslu upplýsinganna. Þar skal og tekið fram hvernig brugðist verði við áföllum í rekstri vinnslukerfisins, hvernig flutningi persónuupplýsinga milli vinnslukerfa verði hagað, þ. á m. mögulegum flutningi gagna milli ábyrgðar- og vinnsluaðila. Öryggisráðstafanir skal endurskoða reglulega."
Fram hefur komið að Neyðarlínan hf. hefur skrásett öryggisráðstafanir á grundvelli framangreinds áhættumats. Skýrsluhöfundur gerir vissar athugasemdir við þá skrásetningu, m.a. að ekki liggi fyrir fullnægjandi eignalisti sem hann telur nauðsynlegan grundvöll áhættumats. Eins og lýst er í b-lið hér að ofan er hins vegar ekki skylt samkvæmt lögum og reglum að útbúa eignalista. Telur Persónuvernd því ekki unnt að staðhæfa að vegna annmarka á eignalista sé farið gegn gildandi lögum og öryggisreglum. Hins vegar telur hún eðlilegt að félagið skrásetji eftirfarandi atriði með skýrari hætti:
Hvernig öryggisafritatöku er háttað.
Hvaða svæði falli undir reglur Neyðarlínunnar hf. um öryggisráðstafanir.
Hvernig brugðist verði við áföllum í vinnslukerfi, s.s. vatnstjóni eða tölvuvírusum (,,áætlun um rekstrarsamfellu").
Leiðbeinir Persónuvernd Neyðarlínunni hf. um að gera framangreindar úrbætur en telur skráninguna að öðru leyti vera fullnægjandi.
d. Ráðstafanir varðandi öryggi persónuupplýsinga
Eftir prófun öryggisráðstafana hefur komið í ljós að í sumum atriðum þarf að gera úrbætur. Þær úrbætur, sem Persónuvernd telur nauðsynlegar í ljósi laga og reglna, eru þær sem hér greinir (sbr. a- og b-liði kafla 3.3 og b-, c- og d-liði kafla 3.4 í II. þætti þessarar úrlausnar), en tekið skal fram að ábendingar sérfræðings varðandi önnur atriði má hafa til leiðbeiningar:
Fjallað verði um öryggismál á starfsmannafundum.
Tryggt verði að allir starfsmenn hafi undirritað trúnaðaryfirlýsingar.
Gerð verði skrifleg afritunaráætlun.
Haldin verði skrá um daglegan tölvurekstur, t.d. hvenær kerfi eru ræst og hvenær stöðvuð, bilanir, viðgerðir o.fl.
Skráð verði hverjir komi inn í Samhæfingarstöð, varðstofur og tæknirými, sem og hvenær þeir komi þangað og hvenær þeir fari.
e. Innra eftirlit
Eins og áður segir er ábyrgðaraðila skylt, samkvæmt 12. gr. laga nr. 77/2000, að viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Innra eftirlit skal a.m.k. fara fram árlega en oftar sé eðli gagna slíkt að kalli á það, sbr. 2. og 3. mgr. Þá skulu gerðar skýrslur um niðurstöður innra eftirlits. Samkvæmt 8. gr. reglna nr. 299/2001 ber og að jafnaði að viðhafa slíkt eftirlit samkvæmt fyrirfram skilgreindu kerfi og eru í ákvæðinu jafnframt talin upp þau atriði sem það skal beinast að.
Skýrsluhöfundur gerir eina athugasemd við skrásetningu þess hvernig innra eftirliti er háttað hjá Neyðarlínunni hf., sbr. kafla 2.4 í II. þætti þessarar úrlausnar. Persónuvernd telur það atriði ekki svo veigamikið að mæla beri fyrir um úrbætur á því. Telur stofnunin því umrædda skrásetningu því vera fullnægjandi þótt hafa megi framangreinda athugasemd skýrsluhöfundar til leiðbeiningar.
Hins vegar þarf að gera úrbætur á vissum atriðum varðandi framkvæmd innra eftirlits. Um það vísast til liða i, ii og iii í d-lið hér að ofan.
4.
Samandregin niðurstaða – Leiðsögn um úrbætur
Úttekt Persónuverndar, sem boðuð var með bréfum, dags. 18. október 2004 og 6. janúar 2005, og fram fór á grundvelli gagna, sem Neyðarlínan hf. lagði fram í janúar 2005 og mars 2006, leiddi í ljós að öryggi persónuupplýsinga hjá Neyðarlínunni hf. fullnægði kröfum laga og reglna, sbr. þó þau atriði sem tilgreind eru í c- og d-liðum 3. kafla hér að ofan. Skal bætt úr þessum atriðum fyrir 1. júní 2008, hafi það ekki þegar verið gert.