med GDPR - Toll...Unntattoffentlighet:offl.§14 Kanikkevidereformidlesutengodkjenning...
Transcript of med GDPR - Toll...Unntattoffentlighet:offl.§14 Kanikkevidereformidlesutengodkjenning...
Unntatt offentlighet: offl. § 14
Kan ikke videreformidles uten godkjenning
Vedlegg 2: Intemrevisjonens anbefalte tiltak med situasjonsbeskrivelse og risiko
Situasj onsbeskrivelse
(funn)
"Styringsstrukmr, ansvar ogm dighet
Utdyping og risikovurdering Anbefaling
Internrevisjonen vurder
tildeling av ansvar og
myndighet for etterlevelse av
personopplysningsloven
sentralt/på etatsnivå til å
være noe utydelig og
mangelfull.
Det er en vesentlig risiko forbundet med dette
området mht. at ansvarsforholdet for behandlinger
ikke er avklart i organisasjonen.
Ansvarsstruktur må tydeliggjøres og
nedfelles skriftlig. Bør kobles på VFAsprosjekt 'rammeverk styring ogkontroll' som skal tydeliggjøre intem
styring og kontroll i etaten. Må også
sees i sammenheng med pågående
omorganisering.
Ansvar/frist
`
1.2 Intemrevisjonen vurderer
rapporteringskrav og linjer
mht. personvern å være
utydelig.
Det er (så vidt intemrevisjonen kan se) ingen
etablerte strukturer for rapportering av
personvembehandlinger (med formål ogbehandlingsgrurmlag) utenfor sentrale systemer, for
personvernetterlevelse eller avvik fra dette, verken
innad i regionene eller fra regioner til direktoratet.
Det bør etableres rutiner for en
regelmessig gjennomgang, oppdatering
og kontroll.
VFAStøtte fra GDPRprosjektet
November 2018
1.3 Regionene oppgir en rekke
offentlige etater somsamarbeidspartnere. Flere av
disse forholdene er regulert
av sentralt inngåtte
samarbeidsavtaler.
De sentrale samarbeidsavtalene varierer i omfang og
i hvilke grad det hjemles og oppgir grunnlaget
(ramme) for samarbeid og informasjonsdeling.
Dette kan eksempliñseres ved å samenligneinngått avtale med Skatteetaten og Politiet.
Intemrevisjonen ser en risiko for at innholdet i
sentrale samarbeidsavtaler, sammen en avvikende
tolkning av hjemmelsgrumtlaget for samarbeid ogdeling av informasjon, medfører en praksis i
regionene hvor informasjon tidvis deles ukritisk oguten et klart formål.
Det freÆgåf også av revisjonen at
Utarbeide og tydeliggjøre retningslinjerP 77 _
og hjemmelsgrunnlag for samarbeid og
informasjonsdeljng med andre
kontrolletater i sentrale
samarbeidsavtaler. Herunder også
presisere vilkår for deling ogbehandling av personopplysninger i de
enkelte avtalene.
Etaten bør også foreta en vurdering av
hva som kan deles ulike
samarbeidsaktører, og innenfor hvilken
kontekst. Dvs. å utarbeide klare og
tydelige retningslinjer, opplæring og
VFA
November 2018
Stab
VFA og TES gir støtte,
GDPR-prosjektet kan bistå.
Situasj onsbeskrivelse
(funn)
Utdyping og risikovurdering
informasjonsdeling og samarbeid i mange tilfeller er
basert på regionale og eller personlige relasjoner.
Unntatt offentlighet: offl. § 14
Kan ikke videreformidles uten godkjenning
Anbefaling Prior. Ansvar/frist
bevisstgjøring for å redusere risikoen
for uønsket deling av informasjon
eksternt.
`2: ;Kompetansebygging ›
. ; ` ,
2.1 Generell usikkerhet mht. hlfonnasjonssikkerhets-
definisjon og forståelse av leder ogpersonopplysninger og
`
_ , personvernombudpersonvern, bla: Flere regioner oppgir å ha god kontroll mht. çgzzäågfåeleâåågäigr
a
0 Hva er en sensitive personopplysninger, men ikkeinnenfor personvern og
Frist: 2018
pe.rsonopplysning og når personopplysninger generelt.infomasjonssikkerhet. Defineres inn i
bh! det en_ , _ en «tollkontekst»
personopplysmng? R1$1ko for manglende personvern pga manglende0 Hva er skillet mht. forståelse for hva som er personopplysninger, samt
Etablere rutiner for oppdatering avsensitive forståelsen av andre relevante begreper innenfor
oversikt, samt for formidling ogpersonopplysninger? regelverket.
til.
.li. .
0 Hvor går grensengjenge ggjørmg.
mellom behandling og
formål? , ,2.2 Noe svak bevissthet om hva` \ GDPR prosjektet
det er Viktig for den enkelte å Utarbeide en enkel «vær varsom»
ta hensyn til' Det oppgis vanskeligheter med å tolke inni enplakat med de viktigste momentene
`
AküVt bidrag fra
praktisk «toll-konteksb›, det gis tilbakemelding omat informasjonen ut til regionene gjerne kan være
`
mer komprimert og spisset, og tilpasset målgruppen.
ut 'fu' informasjons-'
sikkerhetsleder og
Bør baseres på personvemkrav i Policy Personvernombud
for personvern (jf. GDPR gruppens
tiltak T18) I.Frist: 2018
;14:51: hhvliglidxogdjjemmfekgmmdagæa_
.
i_ `
i_
.
v _ .
3“] Det erMeg for å vurdere Ordlyden som følger av tolloven § 13-12 (1) er såpass Intermevisjonen er innforstâtt med atKA
b 'd d VF TESetatens hjemmelsgiulpxxjagvidt formulert at den brukes h'l å legitimere et ordlyd i samtlige av etatens hjemler er ;15:eâls;; fra åDPR-
og
for flere av etatens pagaendevesentlig omfang av Tolletatens aktiviteter (se bla. valgt med omhu for å tilegne etaten et
prt;sjaktet og
k
Unntatt offentlighet: offl. § 14
Kan ikke videreformidles uten godkjenning
Situasjonsbeskrivelse
(funn)
personopplysningsbehandlin punkt 2.1-2.5). Intemrevisjonen har imidlertid
ger. Spesielt tollovens § 13-12 usikker på om hjemmelen i sin helhet ligger til
Utdyping og risikovurdering Anbefaling Ansvar/frist
størst mulig handlingsrom.` personvemombud.
; Juni 2019er av regionene ofte trukket grunne for den fortolkning og praksis som regionene Det bør gjøres en gjennomgang avfrem for å legitimere ligger til grunn. eksisterende hjemmelsgrunnlag (mht.
innsamling og behandling av 0 Det er usikkert om «ikke-verifiserte» personopplysningsloven, forskrift ogpersonopplysninger. personopplysninger innen fire måneder ny forordning). Vurder tilstrekkelighet Tiltak 3-1 gjelder
avklares mht. om opplysningene er korrekte og tydeliggjør informasjon internt i helheten/resten, mensog relevante. etaten om hva vi kan gjøre, og om det noen Prioriterte
0 I enkelte tilfeller er det observert lagring av finnes avveininger som må hensynstas. enkelt-punkter er omtalt
personopplysninger utover «det som er spesifikt som punkt 3.2,
nødvendig ut fra formålet med Vurdere behov for lovendringer eller
behandlingen». presiseringer, samt forskrift til bla §13-
0 Usikkert om metodebruk/verktøysbruk for 12
innsamling av personopplysninger (se 2.1-
2.4) er dekket av § 13-12.
0 Det er observert innsamling og registrering
av personopplysninger som er uklart om er
nødvendig (jf. bla. punkt 2.5)
Flere regioner etterlyser en forskrift til § 13-12, somkan definere krav og premisser for innsamling,
\ registrering og bruk/oppbevaring av opplysninger,
herunder nødvendighetskrav, tilstrekkelighetskrav,
oppdatering og andre hensyn.
Det er en vesentlig risiko for at det forekommerbehandlinger som er i strid medpersonopplysrüngsloven. Det er en risiko for at
regionale fortolkninger kan medføre behandlinger
som er i strid med annen lov, og selv om vi kanrettferdiggjøre dette iht. eget hjemmelsgrunnlag, vil
Unntatt offentlighet: offl. § 14
Kan ikke videreformidles uten godkjenning
Situasjonsbeskrivelse Utdyping og risikovurdering Anbefaling Prior. Ansvar/frist
(funn)
kunne skade etatens omdømme._
-
;11
3.2 Spaning i Tolletaten Regioner innhenter store mengderreguleres av personopplysninger gjennom spaning (dvs. KAEtterretningshåndbokens observasjoner). Dette omfatter enkeltobservasjoner
tolkning av etatens av bevegelser utenfor grensenære strøk. I flere Utrede hjemelsgmrmlaget forhandlingsfrihet i det. tilfe'ller er det også registrert ogaplysruüpger 0.111 aktiviteten sett opp mot andre krav ogoffenthge rom og en Instruks penfere pef'soner (herunder mmdrgange), lqøretøy, hensyn (herunder Personvem).
`
fra 2006 (som fremsta'r noe afiressef', V1rk'somhieter, m.m. Det v11km tas Vurdere behov for lovendringer eller
`
overordnet og utydehgimht. büdér/ñlmes 1 forbmdelse mer? et spamngsoppdrag.presiseringer (effektiv og profesjonell
`
personvern og Pehandhng av Muhg at etaten mangler rettshg grunnlag forobjekmtvelgelse og etterretning).
`
personopplysmnger). verktøybruken.
1
Det er mange ulike spaningsenheter med en mengde Tyd:e1'1ggjørmg 1 Instruks nar
Word-dokumenter og andre dokumenter som al.<t1V1teten kan og 1k.ke kan.
tilhører gitte saker. Det blir fragmentert og ulikt når gjennomføres (mht. mnsamlmg og
det blir opp til den enkelte tjenestemann] registrering), samt hvilke
`
spaningsgruppe eller region/seksjon å bestemme hva hjelpemiddel etaten kan bruke
;
som er krav mht. bearbeidelse og lagring, hvem som (videopptak, lyd0pptak, bilder 05“)-
skal gjennomgå dokumenter, når de skal sjekke ut og Spesifisere hvilke Opplysnmger 30m
fjerne personer som er registrert på saken, samt kan registres, hvor 08 hvordan
hvilken retüng/sletting/kontroll som skal foregå opplysrünger Skal lagres og sikres,
1 underveis og når saken avsluttes. hvor lenge opplysninger skal
oppbevares, når de skal korrigeres med
Risiko for brudd på krav om dataminimering, mer.
formålsbegrensm'ng og krav til
informasjonssikkerhet. Risiko relatert til omdømmedersom denne typen praksis blir kjent for
, offentligheten.
3.3 Etterreüu'ngs-håndbokens Det følger av Etterremimgshåndboken at Tolletaten, Gjennomføre en ny vurdering av4
TES
`
fortolkning av som offentlig myndighetsutøver (med all den personupplysrüngslovms påvirkning.
1
ersonopplysningslovm og informasjon som er tilgjengeligi ulike registre og på etatens etterretxüngsarbeid, og Samarbeld med og støtte fra
4
Unntatt offentlighet: offl. § 14
Kan ikke videreformidles uten godkjenning
Nr Situasjonsbeskrivelse
(funn)
Utdyping og risikovurdering Anbefaling Prior. Ansvar/frist
handlingsfrihet i det systemer), i det offentlige rom har handlingsfrihet herunder Tolletatens (som offentlig
offentlige rom sidestilt med den alminnelige borger. myndighet) handlingsfrjhet i det regelverksfortolkmng
offentlige rom (slik dette er beskrevet i
Den vurderingen som her ligger grunn, dvs. sporing Etterretningshåndboken). Eventuelt` Henger sammen med
og overvålcrüng av enkelt-personers bevegelser og oppdatere håndboken og tydelig punkt 3-2
atferd (i det skjulte), kan krenke retten til privatliv. kommunisere dette h'l etatens ansatte.
Frist: 2018
En feiltolkning av hjemelsgrunnlag (hensyntatt
personopplysningsloven) kan danne grunnlag for en
uønsket presedens i store deler av virksomheten
Risiko for tap av omdømme.3-4 S KA i samarbeid med TES
Juni 2019
Omådet bør eüergås 08 utredes mht-
behov, hjemmelsgmmlag 08 omPraksis bør underlegges sentral styring-
Vurdere behov for restriksjoner,
At det er sentral kjennskap til regional praksis lovendringer eller presiseringer_ medfører en form for stilltiende aksept med et (effektiv og profesjonell`
tilhørende uklart ansvarsforhold. objektutvelgelse og etterretning).`_ Tydeliggiøring i instruks når`
aktiviteten kan og ikke brukes_ SiennOmføres (mht innhenting 08registrering av Personopplysninger),
samt hVilke hjelpemiddel etaten kan
bruke_
Situasjonsbeskrivelse
(funn)
Utdyping og risikovurdering
Unntatt offentlighet: offl. § 14
Kan ikke videreformidles uten godkjenning
Anbefaling Prior. Ansvar/frist
Risiko for brudd på personopplysningsloven mhtrettslig grunnlag, dataminimering, samt
formålsbegrensning. Opplysningene er forsøkt- beskyttet gjennom en rekke særegne tiltak, men det
er fortsatt noe gjenværende risiko knyttet til
`
informasjonssikkerhet, herunder sporbarhet og
1
tilgjengelighet., ,
`
3.5 Åpne kilder (og OSINT).Praksis varierer også mht KA i samarbeid med TES
Enkel ersoner ben er se .''
., .
av åprt: kilder 111 inny:tamlir;gg- PC'er MWM/“tema wuneuet' °s"' Pa hk
Utrede behov for virkemiddelbruken Iuni 2019av inform 'on inkludert
linje med_1 er denne typen(når hvorfor o hvordan) Utrede
informasjc::J on;informasjonsinns
.
g ikke underlagt sentralhjenlxmelsgrumâlag for bru.k samt
a1keltpersoner (behandlingstynng.
eventuelle behov for lovendringer eller
av personopplysmnger).Hjemelsgrumdaget for denne typen behandling og Pr?:1:st:r:âe:1(e:f:k::t:åeä:eâlmen
I all h vedsak innebærermnsamhn'
'
g av personopplysninger er uklart,Gb) 5 s 5 g '
dette :ruk ulikeinkludert registrering, lagring og sammenstillm' g T d 11'
. . _
truks n° lik f
søkemotor::(kjente 0med andre opplysninger fra andre kilder. Det er, i
få:: :miglafål 1:: kilder:r 1Iillndtzzrfarmer
Ukjente) annonsesidefmangler På klare re
.
gslinjer og risikovurdering,sentral stynn'
P0 sålede: r eregst
(Finnno, og Proffno) og
ingen systematikk mht. bruk ogmht bruk utsiekgning, hva :år: kan
sosial media (herundermformaswnsmkkerhet (herunder for egne ansatte).
registres, hvor og hvordan
TIWltzjiräaçüèoä :gDette er også området hvor det er stor risiko fpplysnmlger kan håres og ideas, hvor
_
' mm Iforbundet med eventuelle brudd på 8.1138 Opp ysnmger an opp evares,
utstrekmng forekommerersono l snin loven (både mht s 1
.
er 0nar de skal komgeres med mer
også søk på DarkWeb («det:md PI;;
g ' on g
mørke nettet»).'
3.6 Risiko og I noen tilfeller innebærer kontrollene samarbeid med Det bør foretas en utredning KA i samarbeid med TESTrusselvurderinger av og innhenting av informasjon fra andre (herunder hjemmelsgrunnlaget for denne type Desember 2019ansatte i tollrelaterte og primært politiet - og sensitive opplysninger om aktivitet, sett opp mot krav til
tollnære Virksomheter.`
straffbare forhold) som lagres i mapper innenfor personvern.
Situasjonsbeskrivelse
(funn)
I etterretningsøyemed
gjennomfører enkelte
regioner ulike kontroller av
ansatte i andre virksomheter,
for eksempel ved flyplasser,
sjåfører, piloter i flyselskap
og ansatte ved tollager:
Noen regioner driver en
Utdyping og risikovurdering
tollnettet. Det er mer utbredt at regionene sjekker
personene opp mot tolls egne registre, f.eks. PUS.
Det er uklart hvor bredt etaten kan gå mht. andre
virksomheters ansatte, og fortsatt være irmenfor
nødvendighetskravet i § 13-12, samt krav til
formålsbegrensning og dataminimering. Det er
uklart om etaten har hjemmel til å lagre og
sammenstille denne type opplysninger fra politiets
systemer.
Unntatt offentlighet: offl. § 14
Kan ikke videreformidles uten godkjenning
Anbefaling
Vurdere behov for lovendringer eller
presiseringer (effektiv og profesjonell
objektutvelgelse og etterretning).
Prior. Ansvar/frist
relativt systematisk analyse Med hensyn til tollager har enkelte regioner valgt en
og trusselvurdering, mens praksis med egenerklæringsskjema, dvs. at foretaket
andre gjør dette i mindre erklærer selv at det er plettfri vandel hos selskapets
utstzekning ansatte. I tollforskriften § 3-1-18 annet ledd bokstav bfremgår det at det er et vilkår for tillatelse at
«søkeren personer i ledelsen iforetaket, foretakets
juridiske representanter og personer iforetaket som er
ansvarligfor oppgaver relatert til tollbehandling av varer
ikke har begått alvorlige eller gjentatte overtredelser av
, toll-, skatte- og avgiftslavgivningen de siste tre år».
4.f , .i
ii 7 v i
'
Behandling av personopplysnmger4.1 Regionene behandler en Regionen foretar en omfattende innsamling av Den enkelte region bør utarbeide en
omfattende mengde informasjon (fra observasjoner, resultat av fullstendig oversikt over hvilke Alle regiondirektører
personopplysninger i lokale kontroller, tips og deling av informasjon fra private personopplysm'nger som behandles
systemer og mapper. og offentlige samarbeidspartnere, m.m.). hvor, hva som er formålet og antatt Mars 2019
hjemmelsgrurmlagVirksomheter som behandler Regionene mangler stort sett en oversikt over hvor (behandlingsgruxmlag) for
personopplysninger er pålagt personopplysningene som samles inn registreres og behandlingene.
å ha en fullstendig og lagres, samt hva som er formålet og hjemmel
nøyaktig oversikt over hvilke (behandlingsgrunnlag) for de enkelte Avvik og uklarheter bør rapporteres
personopplysninger som behandlingene. I en rekke ulike dgøftes med TOD
Unntatt offentlighet: offl. § 14
Kan ikke videreformidles uten godkjenning
Situasjonsbeskrivelse
(funn)
behandles, hvor de behandlingsaktiviteter (særlig innenfor innsamling
oppbevares, hvor de kommer og registrering) er ikke formål for behandling lett å
Utdyping og risikovurdering Anbefaling Prior. Ansvar/frist
V/personvemombudet
fra, samt det rettslige forstå/tydelig.
grunnlaget for behandling
Det er imidlertid ingen Som en konsekvens er regionene langt unna å kunne
`
regioner som kan fremstille dokumentere etterlevelse av regelverket, noe somen slik oversikt. utgjør en risiko for brudd. Det er også en risiko for at
innsyn iht. personopplysningsloven ikke vil kunnehåndteres i eksisterende regime (uten oversikt).
4.2 Det er observert eller Formålsprinsippet innebærer også at data ikke skal
rapportert (i skjema) uttrekk, gjenbrukes til uforenelige formål. Alle regionenesammenstilling og
bearbeiding av opplysninger I revisjonens gjennomgang er det funnet en rekke Med utgangspunkt i"
Mars 2019fra flere ulike kilder og sammensüllinger hvor det er usikkert om formålet behandlingsprotokoll, må den enkelte *
registre, slik som: TVINN, ved behandlingen er forenelig med bruk av de region/avdeling vurdere om nyePUS, TRL, VIRK, NCTS, samme opplysningene innen andre formål (andre behandlinger 1 form av
FKR, Tollflaten, ANPR fagområder). Det er også flere tilfeller der sammenstillinger, analyser og gjenbmk `
Valutaregisteret, AA, TASS, opplysninger som i utgangspunktet kan være samsvarer med definerte formål ogsamt info fra andre utenfor hjemmel, sammenstilles med annen behandlingsgnmnlag.etater/samarbeidspartnere. informasjon, og spørsmålet er om resultatet da er
lovlig. Formålet for viderebruk og sammenstilling er Den enkelte region bør vurdere
i mange tilfeller utydelig. eksisterende analyser og
sammenstillinger -for å se omFunnene som fremgår av revisjonen tyder på at det i behandlingene der er innenfor formål
liten grad er gjort refleksjoner rundt formål og eller om de inneholder data som ikke
lovh'ghet ved gjenbruk, analyser og kan brukes til formålet. Avvik ogsammenstillinger, og at tilgjengelig informasjoni uklarheter drøftes med TODstor utstrekning brukes og sammenstilles relativt V/personvemombudet
\BetydeligLisiko for eigtaten behandler
Situasjonsbeskrivelse
(funn)
Utdyping og risikovurdering
personopplysninger utenfor formål og hjemler i
forbindelse med gjenbruk, sammenstilling og
analyse (med data fra flere ulike kilder)
Unntatt offentlighet: offl. § 14
Kan ikke videreformidles uten godkjenning
Anbefaling Ansvar/frist
personopplysninger i andres
systemer (primært
Utover registre er tilgang til å bruke Vegvesenets
(SVV) kameraer mht. ANPR et annet eksempel.
4.3 Tolletatens regioner har en Ved innsamling av personopplysninger*i
silisigiem ersamletPerS°n°PP1stmger skal begrenses til de* S°m er å::83353355?31;;I:”I `En er
P PP y 8 nødvendig for innsamlingsformålet. Det gjelder _
3 g P P? y gmn og lagret utenom sentrale _ _ . er umenfor mnsamlmgsformalet, og
bade for mengden av opplysmnger som samles mn . ., .
systemer. Det er blant annet , unnga a samle mn det som faller_ (dybde) og antall personer det samles mnmnsamlet og lagret mye . . utenfor., _ opplysnmger ørn/antall personer 1 et datasettmformaspn om mange
(bredde)personer, som i hht prinsipp
'
Den enkelte region bør vurdere
om da,
efmg kan Det er stor sannsynlighet for at etaten innhenter ogallerede .et data
være vanskellg a forsvare. _ . . (personopplysnmger) og vurdere omreglstrerer en betydehg større mengde opplysnmger
disse er i henhold tilenn hva som er nødvendig for formålet. Betydelig _ _ ,
. . . umsamhngsformalet, eller det omfatternSlkO for at etaten behandler personopplysnmger
. . . , for mange enkeltpersoner eller for myesom 1kke er nødvend1g for formalet. Lagrmg avinformas'on om I 1 rsoner
informasjon om bipersoner, tidligere kjærester, Jtpe '
:m111
Eni-liesiko
er osv. har betydehgAvvik og utfordringer bør rapporteres
'
til/drøftes med TODi v/personvemombudet
4.4 Tolletatens ansatte har I flere regioner er det ansatte som har h'lganger til Det må gjennomføres en vurdering av i
tilgang til andre kontrolletaters registre, herunder også Indicia. hvilke grad Tolletaten skal ha tilgang
til denne typen registre og i hvilke grad
dette kan brukes i Tolletatens arbeid
innsamling), herunder Dette innbefatter tilgang til kameraer som ikke er (formålsforenelig).
Indicia, Statens vegvesen, «grensenære».
m.m. Avvik mht. felles database for ANPRIntemrevisjonen er usikker på hjenmælsgrunnlaget ogSW er (så vidt internrevisjonen
Dette innebærer at etaten har for tilgangen til denne typen eksterne registre og kjent) allerede identifisert avtilgang til et vesentlig kameraer, herunder om dette er informasjon toll systemeier, og det er iverksatt iiltak.
Alle regionene/
regiondirektører
Mars 2019
KASamarbeid med TES ogstøtte fra GDPRprosjektet
Juni 2019
Situasj onsbeskrivelse
(funn)
Utdyping og risikovurdering
Unntatt offentlighet: offl. § 14
Kan ikke videreformidles uten godkjenning
Anbefaling Prior. Ansvar/frist
foregår også i egne analyse
omfang av (sensitive) faktisk har tilgang til å benytte i analyser/
personopplysninger som er saksbygging. Dette er en form for innsamling somsamlet inn og behandlet med Datatilsynet og media har fokusert på, og eventuelle
andre formål enn det som brudd vil utgjøre en stor risiko for etaten (både mht.
Tolletaten legger til grunn i sanksjoner og omdømme).sitt arbeid. i
'5,Internkontroll (popply' §14)
.
_› 4
4.i
5.1 Det følger av Tollregionenes befatning med innsyn er i all
i
Personvemombudetpersonopplysningsloven at hovedsak relatert til innsynsbegjæringer i P360, med
`
Virksomheter som behandler bakgrunn i publisering på offentlig elektronisk Desember 2018personopplysninger (private postjournal (OEP). Regionene har liten befatning
PgoffentPige) har plikt til å gi med at innsyn flirekte relateres til
- . Utarbeide føringer/instrukser ogmformaspn om dette, bade personopplysnmger, herunder behandlmg, formal . , _
. . . . . . . . . . retnmgshnjer for hvordan man svarerpa eget 1mt1a11v og nar det og overSIkter. Flere regloner oppglr en usnkker mht. ,
bes om inns . hvordan denne en henv del er skal håndterut og handterer denne typeyn typ en 5 eshenvendelser
innenfor eksisterende praksis (dvs. manglendeoversikt over behandling og informasjon).
Risiko for feil håndtering av denne type
henvendelser. _5.2 Tolletaten behandler og Det behandles og oppbevares store mengder
i
Behandlingsaktiviteter utenfor de VFAsammenstiller store mengder personopplysninger utenfor sentrale system. sentrale systemene må gjennomgås ogpersonopplysninger i Sentrale systemer oppgis av regionene å ha mangler vurderes. Dette omfatter Tolletatens Input og støtte fra
mapper på datamaskin, på når det kommer til sammenstilling, analyse og egne behandlingsaktiviteter systemeier/
telefoner, Internett, i e-post utarbeidelse av oversikter. Pragmatiske holdninger (innsamling og registrering), og fra avdelingsdirektør for
med mer. Behandlinger og mangelfull forståelse av personvern og Eksterne kilder. tilhørende systemer: KA,formålsbegrensninger, vil også ligge til grunn for
og saksbyggingssystem. behandlinger. Enkelte regioner oppgir også at Det bør stilles tydelige krav til hvilke
terskelen for å legge inn informasjon i sentrale av personopplysningsbehandljngeneOpplysningene behandles og systemer (eks. PUS og P360) tidvis er høyere enn for som regionene kan og ikke kanlagres pga. mappestrukturer. fortsette å gjennomføre utenfor sentrale
TES, TV, Og IT\
2018
10
Situasjonsbeskrivelse
(funn)
dokumentasjonsbehov eller
fordi det kan eller vil være
Utdyping og risikovurdering
Opplysninger som behandles utenfor kan være
Unntatt offentlighet: offl. § 14
Kan ikke videreformidles uten godkjenning
Anbefaling
systemer (på kort og lang sikt, jf.
TREFF). Herunder må det tydeliggjøres
sentrale systemer, og disse er
ikke underlagt den sammeinternkontroll mht. sletting
eller korrigering sominfomasjon som f.eks. ligger
i PUS.
rekke ulike tollprosesser. Vedleggsrapporten viser
hvilke prosesser og aktiviteter dette gjelder, samt
hvordan og hvor det eventuelt lagres
personopplysninger.
Det er en betydelig risiko for at persønopplysgigger
nyttig/nødvendig for sensitive personopplysninger og/eller erklæringer på hvilken måte og i hvilken
eksempel for en målrettet som er vesentlige for saksgang eller saksbygging, utstrektüng behandlingene kan ivaretas
kontroll. Flere regioner men som ikke nødvendigvis skal inngå i det i sentrale systemer.
oppgir også usikkerhet mht. endelige produktet. Eksempler er:
hva som kan registreres i 0 OP-saker med underlagsdokumentasjon, Det bør utarbeides retningslinjer
sentrale systemer. spaningslogger med mer og/eller stilles tydelige krav/kjøreregler
- ANPR-«Target-lister» |
til behandling av personopplysninger
Det er ikke all infomasjon 0 NETROM utenfor smtrale systemer
som nødvendigvis kan eller 0 Ulike oversikter og lister, herunder også
skal registreres i gitte postsperrer
systemer på kort og lang sikt, .
og det er et behov for å Personopplysninger som behandles utenfor de
behandle informasjonen på sentrale systemene er underlagt en annen
en annen måte. informasjonssikkerhet og internkontroll. Det er
risiko for brudd på en rekke krav, herunder krav til
lagringsbegrensning, riktighet, formålsbegrensxüng,
datamirümering, integritet og fortrolighet. Risikoen
antas å være betydelig, ettersom behandling og
formål/hjemmelsgrunnlag i stor grad vil være basert
på enkeltpersoners eller gruppers vurderinger.
:5.37 Tollregionène lagrer store Gjennomgangen viser at det er Aktiviteter og prosesser bør
mengder personopplysningsbehandlinger med gjennomgås, og det bør stilles tydelige`
personopplysninger utenfor lagring/oppbevaring utenfor sentrale systemer i en krav til hvilke av personopplysningene
som regionene kan og må slette og
rette. Det bør gis anbefalinger omhvilke typer behandlinger som skal
prioriteres for sletting og retting, og
hva regionene kan og bør lagre.
Prior. Ansvar/frist
Input og støtte fra
systemeier/
avdelingsdirektør for
tilhørende systemer: KA,
iTES, TV, og IT
11
Situasjonsbeskrivelse
(funn)
Utdyping og risikovurdering
lagres lenge etter at formål er avsluttet, og at
Unntatt offentlighet: offl. § 14
Kan ikke videreformidles uten godkjenning
Anbefaling Prior. Ansvar/frist
Herunder nevnes følgende
Gjennomgangen viser at myelagres langt utover formål (i
de tilfeller der formål kan
beskrives).
Det savnes en tydeliggjøring opplysninger ikke korrigeres/rettes ved nye behandlinger og lagringsmedier som Frist: juni 2019av hva som kan lagres, hvor opplysninger. Risiko for brudd på bør kommenteresog hvor lenge (retningslinjer personopplysningsloven. - NETROM (VPA)fra TOD). - Manifester
- Vaktjoumaler- OP saksdokumenter og
underlagsdokumentasjon fra
avsluttede saker
- Etterkontroll saksdokumenter og
underlagsdokumentasjon fra
avsluttede saker- Gjennomførte/ferdigstilte analyser- Varslingslister
- Felles e-postkasser
- Postsperrer,.
54 Ved gjennomgang er Dette omfatter personopplysninger lagret på papir Regiondirektørermntrykket at det er lagret (utsknftèr og eksemplarer), opplysnmger lagret
Regionene må tilpasse 4
store mengder elektromsk 1 mapper og e-postmapper mnenfor_ . _ Desember 2018
. . . personopplysnmgsbehandhngene t11personoPplysnmger Pa en tollnettet (felles og hlhørende enkelt-personer),- krav fra direktoratet mht behandlinger.rekke uhke steder, pa uhkemaler og ved bruk av 1.111ke Det gjelder
Frem til dette foreligger må den enkeltesystemer, og at dette gjerne lagnng pa reg10ns-, avdelmgs-, seks]ons-, kontor-,
_
d 11 'lk beh dl'lagres over lang tid. gruppe eller individnivå. Både mht. stasjoner,
reglon vur ere VI e an mger
mappestrukturer og enkeltdokumenter.
Knapp tid, organisasjonsendringer og usikkerhet
mht hvem som har ansvar for mapper og
dokumenter oppgis også som en begrunnelse for at
dokumenter med personopplysninger ikke slettes (i
tide). Praksisen er omfattende.
som eventuelt er i strid med krav til
lagringsbegrensning og riktighet (og
må således avsluttes og/eller endres for
å være innenfor lovverket). Ved tvil mådirektoratet (ved personvemombudet)
kontaktes.
12
Situasjonsbeskrivelse
(funn)
Utdyping og risikovurdering
Lik risiko som ovenfor.
Unntatt offentlighet: offl. § 14
Kan ikke videreformidles uten godkjenning
Anbefaling Prior. Ansvar/frist
vurderinger kan bli foretatt på et for subjektivt
grunnlag (både internt i regioner og regioner
imellom). I denne uklarheten er det en risiko for at
skjerming og tilgangsbegrensning til opplysninger
ikke er tilpasset formålet.
L`6.
. Informasjonssikkerhet - styringssystem
6.1 Begrensninger 03 -1
InformaSjons-
bmkergrensesrüttietatens Etablere???”WMV“ °gi
sikkerhetsleder
sentrale systemer medfører M?mas]°r,'ss “het 1 etaten °g `
. runner for mtemkontroll og _ _
atbehandlmg av ` Samarbeld med regmner. egenkontroll. ,personopplysmnger ogavdehnger
gienmmføres i andre
systemer, stasjoner og` Desember 2018
mappestrukturer _1
6.2 Manglende konkretisering av Utarbeide konkrete retrüngslinjer og Informasjons-
krav til informasjons- krav mht informasjonssikkerheten til sikkerhetsleder
sikkerhet gjør det vanskelig behandling av personopplysninger ogfor den enkelte å vurdere om sensitive personopplysninger i Samarbeid med regioner
valgte utenfor-løsninger er kontorstøttesystemer (utenfor de og avdelinger
tilfredsstillende sikret. sentrale systemene). Bør sees opp motde vurderinger som gjøres mht. hvilke Desember 2018_ behandlinger som kan være utenfor
sentrale systemer
6.3 Ved tildeling av tilganger til Det er regionen, ved nærmeste leder, som skal En god definisjon (tydelig og enhetlig VFA og IT
systemer som inneholder vurdere om «tjenstlig behov» ved tildeling av fortolkning) av begrepet «tjenstlig
personopplysninger tilgang. Regionene gjør seg ulike refleksjoner rundt behov» vil kunne bidra til å
(herunder sensitive) skal (kravet til) tjenstlig behov til informasjon mht. tydeliggjøre hvilke kriterier regionene
«tjenstlig behov» ligge til tilgangstildeling. Med utgangspunkt i uklarheter er pålagt å vurdere når det skal
grunn for tildeling. relatert til personopplysninger er det en fare for at innvilges tilganger/opprettes brukere.
En gjennomgang av antall tilganger
(brukere), herunder ulike roller, i
sentrale systemer, bør gjennomføres for ,å
å kartlegge om tildelinger er på et
13
Situasjonsbeskrivelse
(funn)
Utdyping og risikovurdering
Unntatt offentlighet: offl. § 14
Kan ikke videreformidles uten godkjenning
Anbefaling Prior. Ansvar/frist
hensiktsmessig nivå.
6.4 Fysisk sikring av lokaler og
utstyr vurderes av regionene
som jevnt over somtilfredsstillende. Imidlertid er
dette i stor grad basert på en
vurdering av om lokaler og
utstyr er forsvarlig sikret.
Med hensyn til fysisk sikring
(internt og eksternt) av
personopplysninger i
regionen er det enkelte
avdekket enkelte
risikomomenter.
Det er avdekket flere (større og mindre) mangler ogproblemstillinger knyttet til den fysiske sikringen av
personopplysninger. Følgende punkter trekker frem
av intemrevisjonen:
Skrivere: Samtlige regioner oppgir å bruke
fellesskrivere plassert lett ülgjengeligi
kontorlandskapet. Det er imidlertid bare en
region som oppgir å ha skrivere som krever
passord for å hente ut utskrift. Flere regioner
oppgir at gjenglemte dokumenter på skriver
(herunder sensitive personopplysninger)
som et problem.
Skannere: Ved skanning av dokumenter
sendes filen til et fellesområde i regionens
mappestruktur. Dokumentet plasseres i
mapper relatert til brukerID. (Navn påmappe oppgis valgfritt ved skanning, så
dette er ikke et krav.)_Det er under revisjonen oppgitt at det ikke
føres en systematisk oversikt eller kontroll
Informasjons-
sikkerhetsleder
Y
Samarbeid medsikkerhetsleder
Juni 2019
Det bør gjennomføres `en vurdering av
den fysiske sikringen av
personopplysninger i etaten.
Arbeid med holdninger og rutiner -
tydelige retningslinjer - relatert til
14
Nr Situasjonsbeskrivelse
(funn)
Utdyping og risikovurdering
0 Nye lokaler (åpne landskap og delte
kontorer): Rutiner/vaner ikke er tilpasset nye
Unntatt offentlighet: offl. § 14
Kan ikke videreformidles uten godkjenning
Anbefaling Prior. Ansvar/frist
i ulik grad. I
kontrollsituasjoner vil bruk
av mobilkameraer bli brukt
til å dokumentere beslag.
Dette sendes så pr. e-post og
legges inni PUS. Det
kontroll, m.m. er sterkt begrenset.
Selv om ikke revisjonen avdekker en utstrakt bruk
av private telefoner i tjenesten, er det en risiko for at
dette forekommer. Tilgjengeligheten og
lokaler-
|
- Arkivering:
|
1
W
\ _ ` , ,`
6.5 Etatsintem deling av Enkelte utrykker en bekymring for at infomasjonDet bør utarbeides tydelige v
"
5 VFA og IT
informasjon: Det deles ukritisk, og at den generelle oppfatningen er atretnin 51m.” for deling av inform `on
* (sikkerhetsansvarlig ogfremkommer av revisjonen at taushetsplikten etter toll § 12-1 tillater dette - «alle er
interntgi et:1tm og sees i samme“1128'
informasjonssikkerhet)
det deles store mengder underlagt den samme taushetsplikten». Det følgermed tildelingsgrupper og
infomasjon og opplysninger imidlertid av ordlyden «uvedkommende» i § 12-1, attild lin b
. .
s tralintemti etaten, både innad dette også kan innbefatte Tolletatens egne ansatte
e 38 egrensnmger 1 en e
og regioner imellom. som ikke er involvert i den aktuelle saken.systemer.
6.6 Regionene oppgir at bruk av Bruken av private telefoner i tjenesten er vanskelig, KOMprivate telefoner i tjenesten siden eierskapet (både fysisk og immaterielt) ikke er
forekommer, med at dette er tilhørende etaten. Dette medfører at retten til innsyn, Det bør utarbeides tydelige Frist: juni 2019
retningslinjer for bruk og deling av
informasjon på private telefoner, samt
bruk av sosiale medier (generelt).
Dersom bruk av private telefoner
vurderes som ikke er ønskelig, må det
fremkommer ikke om det er bruksområdet som eksisterer i moderne iverksettes tiltak som setter
etablert rutiner for sletting av mobilteknologi (smarttelefoner) innebærer at dette restriksjoner for bruken.
bilder eller e-post. Innholdet er lett tilgjengelig verktøy som enkelt kan brukes til
i bildene er oppgitt å være å dele informasjon med tjenestemenn under
utelukkende beslaget, men kontrolloppdrag. i ,
15
Situasjonsbeskrivelse
(funn)
internrevisjonen ser en risiko
for at det kan forekommeindirekte
personopplysninger.
Utdyping og risikovurdering
Flere regioner oppgir også å ha fokus på bruk av
sosiale medier, men oppgir at dette er vanskelig å
sikre seg mot. Spesielt Snapchat er trukket frem avflere som et vanskelig media å forholde seg til.
Unntatt offentlighet: offl. § 14
Kan ikke videreformidles uten godkjenning
Anbefaling Ansvar/frist
internt i etaten og medeksterne aktører. Deling av
fremkommer vesentlige brudd mht. deling av
informasjon, frykter intemrevisjonen at det deles
mye informasjon, både formelt og uformelt, særlig
`7. :Informasjonssikkerhet-vsikkerhe'tsarldtektur,
7.1 Sikker kommunikasjon medsamarbeidspartnere: Det
fremkommer en utstrakt Det bør utarbeides sikre
bruk av e-post (utenfor P360) . . . . kommunikasjonskanaler for deling avsom konununikasjonskanal
Selv om det Ikke av selve rev1510nen tydehgsensitive personopplysninger intemt i
etaten og med eksterne aktører.
informasjon over telefon, . . . Det må gis tydelige retningslinjer for
herunder Nødnett, må ogsåmunthg, 1 uhke fora.
hvilke opplysninger som kan og ikkevurderes mht. kan deles pr e-post.
hjemmelsgrunnlag
(taushetsplikt). , , ,
16