I dag ble Riksrevisjonens rapport om den årlige revisjonen og kontrollen for budsjettåret 2017 offentliggjort. Riksrevisjonen mener det er svakheter knyttet til DFØs arbeid med å sikre personopplysninger i SAP. Vi har gjennomført, eller er i ferd med å gjennomføre, tiltak på alle områdene Riksrevisjonen har sett på.
Vi er enige i at vi har forbedringsområder. Blant annet som del av forberedelsene til EUs personvernforordning, har vi vært i gang med forbedringer på mange av punktene Riksrevisjonen tar opp. De aller fleste forbedringene vil være gjennomført innen utgangen av året.
Tydeligere dokumentasjon
Riksrevisjonen etterlyser en tydeligere oversikt over det samlede risikobildet for behandlingen av personopplysninger.
I 2017 satte vi i gang et arbeid med å lage en komplett oversikt over personopplysninger som behandles i DFØs systemer. Det innebærer å dokumentere hvilken type informasjon som er dokumentert hvor, samt å vurdere hvilket beskyttelsesnivå som kreves for de ulike informasjonselementene. Dette vil være grunnlaget for et samlet risikobilde, og gi en tydeligere sammenheng mellom risikovurderinger på høyeste nivå og risikoreduserende tiltak på aktivitetsnivå.
Vi arbeider også med å dokumentere hvilke risikoer som er knyttet til de ulike arbeidsprosessene våre, og hvordan disse risikoene skal behandles. Arbeidet med å dokumentere dette er prioritert i 2018.
Styring av tilganger
Riksrevisjonen mener videre at DFØs informasjonssikkerhet ved behandling av personopplysninger i SAP ikke er tilfredsstillende, og peker spesielt på kravet om at tilganger til personopplysninger skal begrenses til tjenstlige behov.
Tilgangene i DFØ er besluttet ut fra hva som gir en effektiv, men likevel forsvarlig praksis. Våre ansatte har ikke tilganger som går ut over tjenstlige behov. Alle ansatte med tilgang til personopplysninger må ha utvidet politiattest, og DFØ har et eget regime for hvordan ansatte blir autorisert for tilgang til SAP i sitt daglige arbeid. I tillegg må alle våre underleverandører ha utvidet politiattest for å kunne jobbe med personopplysninger i våre systemer.
I forbindelse med ny personvernforordning, blir det skjerpede krav til å begrense tilgangen til personopplysninger. DFØ vil i den sammenheng gå gjennom organiseringen vår på nytt, samtidig som vi i ny databehandleravtale med kundene har sikret at DFØ ikke mottar flere personopplysninger enn nødvendig.
Oppfølging av underleverandør
Riksrevisjonen mener at DFØs oppfølging av iverksatte tiltak og oppfølgingen av vår eksterne leverandør er mangelfull. Revisjonen viser blant annet til at vi ikke etterlever kravet om å gjennomføre sikkerhetsrevisjoner av informasjonssystemer på jevnlig basis. Dette vil vi følge opp, og det nye personvernombudet har fått en viktig rolle i arbeidet med å sikre at vi etterlever de krav som stilles til oss.
Riksrevisjonen påpeker videre at vi ikke har etablert et system for å måle og evaluere om sikkerhetstiltak fungerer som forutsatt, som anbefalt i ISO-standard. Her vil vi vurdere forbedringstiltak, og vi er allerede i gang med å gjennomføre endringer som en del av arbeidet med å etterleve kravene i EUs nye personvernforordning.
Det er IT-selskapet Evry som drifter SAP for DFØ. Vi har en avtale med Evry hvor behandling av personopplysninger er en del av avtalen. I mai i år inngikk vi en ny databehandleravtale med Evry, hvor de forplikter seg til å sikre at personopplysninger behandles i henhold til gjeldende regelverk. I tillegg har vi innført en årlig revisjon av Evry, hvor vi blant annet kontrollerer at Evry etterkommer kravet til behandling av personopplysninger.
EUs personvernforordning (GDPR)
Riksrevisjonens rapport er utarbeidet i forkant av innføringen av EUs personvernforordning, og de har følgelig ingen merknader knyttet til DFØs etterlevelse av denne. Men vi vet at våre kunder er opptatt av både sin egen og vår etterlevelse av den nye forordningen. Derfor vil vi benytte anledningen til å gi litt informasjon om status på dette arbeidet.
DFØ arbeider planmessig og systematisk med å gjennomføre tiltak for å sikre at vi etterlever kravene i personvernforordningen. Det aller meste vil være på plass på begynnelsen av 2019, men noe arbeid vil pågå utover i 2019. Vi har blant annet oppnevnt et personvernombud, som skal sørge for at vi etterlever kravene i den nye forordningen.
Dersom du har spørsmål om vår håndtering av personopplysninger, ta kontakt med våre kundesenter.