Datum Diarienr 2009-06-23 1807-2008 Migrationsverket 601 70 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket Datainspektionens beslut Datainspektionen förelägger Migrationsverket att komma in med en skriftlig åtgärdsplan i vilken Migrationsverket ska: 1. ange vilka åtgärder myndigheten avser vidta för att begränsa åtkomsten till skyddade personuppgifter, 2. redogöra för vilka konkreta åtgärder Migrationsverket är berett att vidta för att säkerställa verkningsfulla loggkontroller och ge en beskrivning av de bakomliggande orsakerna till att Migrationsverket bedömer att de föreslagna åtgärderna är verkningsfulla och tillräckliga, samt 3. ange en uppskattning av när de föreslagna åtgärderna kan vara genomförda. Åtgärdsplanerna ska vara Datainspektionen tillhanda senast den 15 oktober 2009. Migrationsverket föreläggs också att inom samma tid inkomma med en skriftlig redogörelse för de behovs- och riskanalyser som ligger till grund för ställningstagandet att alla handläggare kan se i princip alla uppgifter i de system som de har tillgång till. Migrationsverket ska också redogöra för vilka överväganden, avseende behörighetstilldelning, som kommer att göras i samband med genomförandet av e-migrationsprojektet. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Sammanfattning Migrationsverket föreläggs att inkomma med en skriftlig åtgärdsplan enligt punkterna 1-3 ovan. Migrationsverket föreläggs också att inkomma med en skriftlig redogörelse enligt ovan. Datainspektionen förutsätter vidare att Migrationsverket, för att ytterligare stärka integritetsskyddet, fortsätter att förbättra rutinerna för borttagning av behörigheter. arbetar vidare med frågor om utbildning och information till anställda. Redogörelse för tillsynsärendet Datainspektionen genomförde den 19 januari 2009 en inspektion av Migrationsverkets personuppgiftsbehandling. Vid inspektionen granskade Datainspektionen i huvudsak rutiner för behörighetsstyrning, rutiner för behandlingshistorik (logg) och åtkomstkontroll (logguppföljning) samt omfattningen av anställdas åtkomst till inskannat material i elektroniska ärendehanteringssystem. Skäl för beslutet Tillämplig lagstiftning Informationssäkerhet är en viktig del av skyddet för den personliga integriteten. Migrationsverkets personuppgiftsbehandling regleras av personuppgiftslagen och förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Förordningen innehåller inga bestämmelser om säkerhet, varför personuppgiftslagens bestämmelser reglerar dessa frågor. Av 30 personuppgiftslagen framgår att den som arbetar under den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Enligt 31 personuppgiftslagen ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av: de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, Sida 2 av 10
de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade personuppgifterna är. Allmänt om Migrationsverket och dess IT-system Migrationsverket har drygt 3000 anställda som nästan alla handlägger ärenden. De som handlägger ärenden har också tillgång till Migrationsverktes ITsystem. Därutöver finns ca 1000 användare på utlandsmyndigheterna som kommer åt uppgifterna i CUD via Wilma. Migrationsverket behandlar personuppgifter om ca 2,8 miljoner personer. I dag skrivs alla handlingar ut på papper och inkomna dokument, med undantag för fotografier, skannas inte in. Migrationsverket tror att myndigheten har övergått till elektroniska akter inom fyra år då det pågående e-migrationprojektet planeras vara genomfört. Några av Migrationsverkets viktigaste IT-systemen är: CUD är ett verksamhetsregister som innehåller uppgifter som används vid samtliga enheters ärendehantering. Informationen i CUD nås via flera olika applikationer. Applikationerna kan anropa dokument från DHS (dokument- hanteringssystemet). De applikationer som används vid ärendehandläggning delar samma data i CUD. Wilma är ett system som används vid handläggning av ärenden om uppehållstillstånd och visering. Wilma möjliggör åtkomst till uppgifter i CUD både för handläggare på Migrationsverket i Sverige, för anställda vid utlandsmyndigheterna och vid polisens gränskontroll. SKAPA är ett system som används vid handläggning av asylärenden. ESKIL är ett system som används till att ta fram listor och rapporter ur CUD. Listorna används för att kunna utföra olika dagliga arbetsuppgifter och är planeringsverktyg på enheterna vid t.ex. ärendefördelning. Sökningen sker alltid på enhetsnivå. Det går att få fram information om t.ex. öppna ärenden, vilket informationsspråk de sökande har, vilka som är klara för att flytta m.m.. Avställdadatabasen är ett webbaserat system som innehåller avställd information från CUD, d.v.s. information som registrerats via bl.a. Wilma och SKAPA. Informationen ställs av t.ex. när en person är svensk medborgare sedan två år, är avliden sedan två år, har viseringsbeslut som är äldre än fyra år eller inte har haft gällande tillstånd på åtta år. Vid avställning tas allt bort ur de andra systemen. Det går en batch varje dag. Visst material gallras i samband med avställning. Ännu så länge lagras inga dokument i databasen. De stora IT-systemen är egenutvecklade och Migrationsverket sköter också driften av dessa. Sida 3 av 10
Behörighetskontrollsystemets utformning Det finns färdiga profiler för olika handläggartyper men dessa följs inte alltid i de fall systemen kräver specifika lösningar. Förvaltningsledaren och projekten tar fram hur behörigheterna ska se ut. Det finns olika antal behörighetsnivåer för olika system. Förutom de begränsningar som behörighetsnivåerna innebär finns det inga tekniska begränsningar som begränsar åtkomsten till vad användarna behöver för att utföra sina arbetsuppgifter. Alla som handlägger ärenden på Migrationsverket kan se alla uppgifter i hela Sverige i de system som de har tillgång till, med undantag för ej färdiga dokument och eventuellt för ESKIL-listor. Anställda får dock inte titta på sådant de inte arbetar med. De kan själva välja bort vissa typer av information som de inte är intresserade av. Datainspektionens bedömning Dokument- och ärendehanteringssystem innehåller stora mängder personrelaterad information. En grundläggande princip är att anställda inom en myndighet endast bör ha elektronisk tillgång till personuppgifter som de behöver för sitt arbete. Detta gäller även om uppgifterna är offentliga. Behovet av åtkomst varierar naturligtvis beroende på myndighetens verksamhetsområde och den anställdes arbetsuppgifter. För att begränsa den elektroniska tillgången ska myndigheten ha ett system för behörighetsstyrning. Med hjälp av detta bör åtkomstmöjligheterna tekniskt begränsas så mycket som det är faktiskt och praktiskt möjligt med hänsyn till den aktuella verksamheten och känsligheten hos personuppgifterna. Därutöver ska myndigheten begränsa obehörig åtkomst genom fungerande rutiner, t.ex. arbetsrutiner, rutiner för utbildning och information till anställda samt rutiner för åtkomstkontroll. Med beaktande av bestämmelserna i personuppgiftslagen och förordning (2001:720) om behandling av personuppgifter i verksamhet enligt utlänningsoch medborgarskapslagstiftningen är det i första hand upp till Migrationsverket att bedöma vilken elektronisk åtkomst till personuppgifter som en enskild handläggare behöver för att kunna fullgöra sina arbetsuppgifter. Datainspektionen anser dock att det medför stora integritetsrisker att alla som handlägger ärenden på Migrationsverket i Sverige kan se i princip alla uppgifter i de system som de har tillgång till. Detta med hänsyn till känsligheten hos de personuppgifter som behandlas hos Migrationsverket och med beaktande av de särskilda risker som myndighetens verksamhet medför. Datainspektionen förelägger därför Migrationsverket att inkomma med en skriftlig redogörelse för de behovs- och riskanalyser som ligger till grund för ställningstagandet att alla handläggare kan se i princip alla uppgifter i de system som de har tillgång till. Migrationsverket ska också redogöra för vilka Sida 4 av 10
överväganden, avseende behörighetstilldelning, som kommer att göras i samband med genomförandet av e-migrationsprojektet. Vid avsaknad av tekniska begränsningar är det än viktigare att Migrationsverket på andra sätt, genom bl.a. information till anställda och effektiv åtkomstkontroll, aktivt arbetar för att minska riskerna för otillåten åtkomst av personuppgifter som handläggarna inte behöver för sina arbetsuppgifter. Åtkomst till historiskt material Material som är avställt i avställdadatabasen är tillgängligt via PKI och särskild behörighet för de handläggare som behöver tillgång till det. Alla handläggare har inte behörighet till Avställdadatabasen. Tillgång till applikationen bestäms av närmaste chef. Materialet används inte rutinmässigt utan bara av den som har behov av historiskt material för att handlägga ett ärende. De som använder Avställdadatabasen söker exempelvis efter personer som vistats i landet tidigare, eller efter en person som är referent till någon som söker tillstånd. Datainspektionens bedömning Även om en myndighet enligt arkivlagen ska arkivera handlingar bör tillgången till handlingarna begränsas. Det är inte lämpligt om systemet gör det möjligt med obegränsade sökningar bland alla inskannade/elektroniska handlingar som finns hos myndigheten. När myndigheten arkiverar handlingar bör de avskiljas från det dokument- och ärendehanteringssystem som används i den dagliga verksamheten. Om arkiveringsfunktionen ingår i samma system, bör systemet innehålla tekniska avgränsningar. Datainspektionen har vid inspektionen inte funnit något som föranleder någon anmärkning när det gäller anställdas hantering av och åtkomst till historiskt material på Migrationsverket. Åtkomst till skyddade personuppgifter Alla handläggare kan handlägga ärenden som innehåller skyddade personuppgifter. Skyddade personuppgifter är flaggade i systemen. Flaggan talar om att uppgifterna inte får visas utåt. Flaggor sätts när de skyddade personuppgifterna kommer från Skatteverket, men flaggor kan också sättas av handläggare hos Migrationsverket när personer känner sig rädda och förföljda. Datainspektionens bedömning För att obehöriga inte ska komma åt skyddade personuppgifter är det bland annat viktigt att det vid myndigheter finns spärrmarkeringar som syns tydligt vid sökningar i register, att all personal som hanterar personuppgifter ges grundlig information om skyddade personuppgifter och sekretessfrågor, att Sida 5 av 10
kretsen av personer som har tillgång till skyddade personuppgifter begränsas så mycket som möjligt, att skyddade personuppgifter inte sprids till områden där sekretess för uppgifterna inte föreligger och att myndigheten regelbundet följer upp att regler och rutiner kring skyddade personuppgifter efterlevs och respekteras. Antalet personer med åtkomst till skyddade personuppgifter måste begränsas till ett minimum. Med hänsyn till det stora antalet anställda på Migrationsverket och vikten av att skyddade personuppgifter inte kommer i orätta händer anser Datainspektionen att Migrationsverket måste begränsa kretsen av personer som har åtkomst till skyddade personuppgifter i systemen. Migrationsverket föreläggs därför att inkomma med en skriftlig åtgärdsplan i vilken Migrationsverket ska ange vilka åtgärder myndigheten avser vidta för att begränsa åtkomsten till skyddade personuppgifter. Åtgärdsplanen ska vara Datainspektionen till handa senast den 15 oktober 2009. Migrationsverket förutsätts ha rutiner för att hantera eventuella incidenter. Rutiner för tilldelning/ändring/borttagning av behörigheter Det är den anställdes chef eller projektledare som beslutar om tilldelning av behörigheter till de system den anställde ska använda. Särskilda behörighetsbeställare är utbildade av BKS-funktionen. Dessa gör en skriftlig beställning på elektronisk blankett. Blanketten skrivs ut och undertecknas av beslutande chef eller projektledare. Beställaren ringer till helpdesk, autentiserar sig med en personlig kod varpå beställningen läggs in i ett särskilt ärendehanteringssystem. Den underskrivna blanketten förvaras på den anställdes avdelning. Den elektroniska blanketten skickas till BKS via e-post och användaren tilldelas beställd behörighet. Behörighetsbeställaren och chefen får ett mail när beställningen är genomförd. Beställningen går att se i efterhand i det särskilda ärendehanteringssystemet. Alla beställningar dokumenteras så att historiken går att följa. Samma rutin gäller för ändring och borttagning av behörigheter. Det är alltid chefen som har ansvaret. Det finns lathundar för förfarandet på Intranätet. Migrationsverket försöker vara strikt när det gäller tilldelning av behörighet. På vissa små orter måste dock handläggarna kunna vikariera för varandra. Migrationsverket anser att det är viktigt med borttagning av behörighet, men att detta inte fungerar helt tillfredsställande. Om en användare inte varit inloggad på 90 dagar så kan denne inaktiveras. Det sker dock inte med automatik utan utförs manuellt ett par gånger om året. BKS kontrollerar de månadslistor över personer som har slutat som kommer från personalenheten. Sida 6 av 10
Datainspektionens bedömning Som Datainspektionen anför i sina allmänna råd om säkerhet för personuppgifter bör det finnas rutiner för tilldelning och kontroll av behörigheter. På myndigheter som Migrationsverket, som behandlar många personuppgifter och har många systemanvändare, är det enligt Datainspektionens mening nödvändigt att det finns sådana rutiner. Datainspektionen har vid inspektionen inte funnit något att anmärka på när det gäller rutinerna för behörighetstilldelning på Migrationsverket. Med anledning av att Migrationsverket självt har uppgett att borttagningen av behörigheter inte fungerar helt tillfredsställande förutsätter Datainspektionen att Migrationsverket fortsätter att förbättra rutinerna för borttagning av behörigheter. Behandlingshistorik (loggar) och åtkomstkontroll (logguppföljning) Enligt Migrationsverket loggas allt. Loggarna hämtas ur systemen och läggs i en särskild server. Ingen annan än de som arbetar med loggarna har åtkomst till dessa. Det går att se om någon har tittat på ett dokument i ett ärende. Loggning sker så fort man klickat på ett dokument. Loggkoncentrering sker först på IT-enheten, därifrån levereras resultatet till säkerhetsenheten som läser in det i analyssystemet. Bara tre personer har tillgång till loggarna. Man kan se loggar från samtliga applikationer. För närvarande finns loggar från 2003. Det finns inga gallringsbeslut. Kontroll vid misstanke om obehörig åtkomst föranleds av att det kommer någon form av signal. Det händer ofta att det kommer en misstanke utifrån som medför att en viss person kollas upp. Migrationsverket genomför också systematiska och återkommande kontroller av loggarna för att se om någon obehörig åtkomst till uppgifterna förekommit. Handläggare på säkerhetsenheten gör ett slumpmässigt urval när den månatliga uppdateringen av personnallistan kommer till säkerhetsenheten. Det handlar om ett tiotal personer utspritt över verksamheten varje gång. Migrationsverket loggar ca 160,000 händelser/dygn i systemen. Det är svårt att få kvalitet i genomgången av loggar med så stor volym. Migrationsverket arbetar mycket med loggarna och vill ha någon form av mönsterigenkänning samt möjlighet att signera loggfilerna. Det är dock svårt att hitta en leverantör som kan leverera enligt verkets önskemål. Datainspektionens bedömning Av Datainspektionens allmänna råd om säkerhet för personuppgifter framgår det att för att åtkomsten ska kunna kontrolleras bör det, beroende på känsligheten hos personuppgifterna, finnas en behandlingshistorik som sparas en viss tid. En behandlingshistorik bör följas upp och skyddas mot otillåtna änd- Sida 7 av 10
ringar. En behandlingshistorik bör normalt vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. Behandlingshistoriken bör, beroende på känsligheten hos personuppgifterna, ange till exempel läsning, ändring, utplåning eller kopiering av personuppgifter. En behandlingshistorik bör inte utformas eller utnyttjas så att den medför risk för intrång i personalens integritet. Med hänsyn till att Migrationsverket behandlar känsliga personuppgifter om ett stort antal personer måste, förutom kontroll på förekommen anledning, även verkningsfulla, systematiska och återkommande åtkomstkontroller göras i syfte att upptäcka och beivra obehörig åtkomst. Åtkomstkontroller är också viktiga genom att de kan ha en avhållande verkan på anställda som kan frestas att olovligen läsa uppgifter de inte behöver för sitt arbete. Datainspektionen bedömer att den systematiska och återkommande åtkomstkontroll som Migrationsverket idag utför inte är tillräcklig för att i praktiken upptäcka obehörig åtkomst och inte heller för att medföra någon större avhållande verkan. Detta mot bakgrund av antalet loggposter, antalet systemanvändare och den vida behörigheten som handläggarna hos Migrationsverket har. Med anledning därav, och med beaktande av känsligheten hos de uppgifter som behandlas i systemen, anser Datainspektionen att Migrationsverket måste vidta åtgärder så att åtkomstkontrollen blir verkningsfull. En möjlig åtgärd är att öka antalet kontroller som månatligen görs efter ett slumpmässigt urval från den uppdaterade personallistan. Logguppföljningen skulle också kunna bli verkningsfull genom användning av urvalskriterier, t.ex. kontroll av åtkomst till uppgifter om personer med skyddad identitet eller kontroll vid vissa inloggningsmönster, såsom att någon har berett sig till gång till personuppgifter vid många tillfällen inom ett visst tidsintervall eller vid ovanliga tider på dygnet. Mot bakgrund av det som framförts ovan förelägger Datainspektionen Migrationsverket att, senast den 15 oktober 2009, inkomma med en skriftlig åtgärdsplan avseende framtida logguppföljning. I åtgärdsplanen ska Migrationsverket redogöra för vilka konkreta åtgärder som verket är berett att vidta för att säkerställa verkningsfulla loggkontroller. Migrationsverket ska också ge en beskrivning av de bakomliggande orsakerna till att det bedömer att de föreslagna åtgärderna är verkningsfulla och tillräckliga. Information och utbildning Det finns lathundar för förfarandet avseende behörighetstilldelning på intranätet. Det finns också en skriven instruktion till användarna om hur Sida 8 av 10
behörigheterna får användas. De anställda får del av instruktionen via intranätet och säkerhetshandboken. Alla enheter får en 2-timmars genomgång av instruktionen. Genomgång sker även med alla nyanställda. Nyanställda får viss säkerhetsutbildning, men utbildning saknas för tillfälligt anställda. En ny säkerhetshandbok som innefattar all säkerhet är framtagen och utbildning har skett utifrån den. Alla anställda är skyldiga att ta del av säkerhetshandboken. Migrationsverket skulle vilja koppla tilldelningen av behörighet till genomgången utbildning. Enligt Migrationsverket är den utbildning som ges till de anställda i säkerhetsfrågor inte tillfredsställande. Verket har fått kritik från Riksrevisionsverket som har ställt krav på att alla anställda ska genomgå informationssäkerhetsutbildning. Det finns planer för hur Migrationsverket ska komma till rätta med bristerna i utbildningen, bland annat ska man testa två olika system för interaktiv utbildning. Det upplevs också som ett problem att de anställda inte kan systemen tillräckligt bra i vissa fall. Migrationsverkets uppfattning är dock att säkerheten ute i organisationen ändå är god. Datainspektionens bedömning Det måste finnas tydliga instruktioner som anger under vilka förutsättningar myndighetens anställda får ta del av personuppgifter. Instruktionerna bör vara skriftliga och finnas allmänt tillgängliga för anställda, t.ex. på intranätet. Myndigheten bör också se till att alla som har tillgång till personuppgifter får relevant utbildning. Genom att ge de anställda en klar uppfattning om, vad som är tillåtet, vilka konsekvenserna blir om man bryter mot instruktionerna och andra bestämmelser, och hur efterlevnaden av instruktionerna följs upp minskas risken för otillåten åtkomst. Datainspektionen konstaterar att Migrationsverket är medvetet om att det finns brister när det gäller utbildningen för anställda och förutsätter att Migrationsverket arbetar vidare med dessa frågor. I det arbetet är det viktigt att Migrationsverket ser till att även tillfälligt anställda får en relevant säkerhetsutbildning. Migrationsverket bör också kontinuerligt se över de instruktioner som finns för användarna. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag Sida 9 av 10
beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta yttrande har beslutats av generaldirektören Göran Gräslund i närvaro av teamledaren Britt-Marie Wester, IT-säkerhetsspecialisten Magnus Bergström samt juristerna Anna Hörnlund, Lars Söderberg och Lena Carlsson, föredragande. Göran Gräslund Lena Carlsson Sida 10 av 10