Datum Diarienr 2009-06-23 1764-2008 Försäkringskassan 103 51 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan Datainspektionens beslut Datainspektionen förelägger Försäkringskassan att komma in med en skriftlig åtgärdsplan i vilken Försäkringskassan ska: 1. ange vilka åtgärder myndigheten avser att vidta för att avskilja avslutade ärenden från de ärendehanteringssystem som används i den dagliga verksamheten i avvaktan på gallring, samt 2. ange hur myndigheten avser att utföra systematisk och återkommande logguppföljning i syfte att upptäcka och beivra obehörig åtkomst av personuppgifter i myndighetens IT-system. Åtgärdsplanen ska innehålla en tidpunkt när åtgärderna kan vara införda. Åtgärdsplanen ska vara Datainspektionen tillhanda senast den 15 oktober 2009. Sammanfattning Försäkringskassan föreläggs att komma in med en åtgärdsplan enligt ovan. Datainspektionen anser att Försäkringskassan, för att ytterligare stärka integritetsskyddet vid myndighetens personuppgiftsbehandling, bör vidta följande åtgärd: Se till att de behörighetstilldelande cheferna en gång per år kontrollerar behörigheterna för sina anställda i enlighet med RFFS 2004:1 och Försäkringskassans egna riktlinjer. Vidare bör Försäkringskassan ha rutiner för att hantera eventuella incidenter där skyddade personuppgifter är inblandade. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Redogörelse för tillsynsärendet Inspektionen Datainspektionen genomförde den 11 februari 2009 en inspektion av Försäkringskassans personuppgiftsbehandling. Vid inspektionen granskade Datainspektionen i huvudsak rutiner för behörighetsstyrning, rutiner för behandlingshistorik (loggar) och åtkomstkontroll (logguppföljning) samt omfattningen av anställdas åtkomst till inskannat material i elektroniska ärendehanteringssystem. Skäl för beslutet Tillämplig lagstiftning Informationssäkerhet är en viktig del av skyddet för den personliga integriteten. Utgångspunkt för den här inspektionen är säkerhetsbestämmelserna i personuppgiftslagen samt relevanta bestämmelser i lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration och Riksförsäkringsverkets föreskrifter RFFS 2004:1 om behandling av personuppgifter inom socialförsäkringens administration. Av 30 personuppgiftslagen framgår att den som arbetar under den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Enligt 31 personuppgiftslagen ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av: de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade personuppgifterna är. Allmänt om Försäkringskassan och dess IT-system Försäkringskassan har ca 14000 anställda. Organisationen är uppdelad på kundmötesorganisation, gemensamma funktioner och huvudkontor. Försäkringskassan hanterar 49 olika förmånsslag. Försäkringskassan behandlar personuppgifter om ca nio miljoner personer. Det finns ca 12500 användare i Försäkringskassans verksamhetssystem. Försäkringskassans handläggare kan Sida 2 av 7
använda sig av tre olika system vid handläggning av ärenden: ÄHS (ärendehanteringssystem), Din Arbetsplats och TP-Sundsvall. Systemen är egenutvecklade. Vissa beslut, t.ex. beslut om tillfällig föräldrapenning, tas helt automatiskt såvida det inte är någonting som saknas eller är felaktigt. Alla handlingar som handläggs i ÄHS skannas in. Det finns en loggfunktion i ÄHS där det går att se vem som har gjort vad i ett ärende. Behörighetskontrollsystemets utformning Varje anställd har ett behörighetskort som används vid inloggning. Försäkringskassan har en profilbaserad behörighetsadministration, där varje behörighet baseras på tre delar som innehåller olika profiler, yrkesroll, verksamhetsområde och behörighetsområde. En behörighet kan inte justeras för en enskild handläggare. Ändras en profil så gäller det för samtliga som tilldelats den profilen. Den som utan behörighet försöker komma åt information i Din Arbetsplats får ett felmeddelande. Ärendena är inte handläggaranknutna utan kontorsanknutna. En handläggare har elektronisk tillgång till alla ärenden inom det egna kontoret som motsvarar hans eller hennes tilldelade behörighet. När en medarbetare byter kontor tar behörighetsadministrationen med automatik bort alla behörigheter det datum när kontorsbytet sker. Dokument- och ärendehanteringssystem innehåller stora mängder personrelaterad information. En grundläggande princip är att anställda inom en myndighet endast bör ha elektronisk tillgång till personuppgifter som de behöver för sitt arbete. Detta gäller även om uppgifterna är offentliga. Behovet av åtkomst varierar naturligtvis beroende på myndighetens verksamhetsområde och den anställdes arbetsuppgifter. För att begränsa den elektroniska tillgången ska myndigheten ha ett system för behörighetsstyrning. Med hjälp av detta bör åtkomstmöjligheterna tekniskt begränsas så mycket som det är faktiskt och praktiskt möjligt med hänsyn till den aktuella verksamheten och känsligheten hos personuppgifterna. Därutöver ska myndigheten begränsa obehörig åtkomst genom fungerande rutiner, t.ex. arbetsrutiner, rutiner för utbildning och information till anställda samt rutiner för åtkomstkontroll. Datainspektionen bedömer att Försäkringskassan, med hänsyn till sin verksamhet, har en väl avvägd utformning av sitt behörighetskontrollsystem. Åtkomst till inskannat material Hos Försäkringskassan har handläggarna i stort sett samma tillgång till inskannat material som till andra uppgifter i systemen. Handläggare kan öppna inskannade dokument i de ärenden som är knutna till det egna kontoret. Handläggare kan också ha åtkomst till inskannade handlingar som ligger i det postfack som är åtkomliga för handläggare på kontoret. De har alltså även Sida 3 av 7
tillgång till inskannade dokument som ännu inte knutits till ett befintligt ärende. Att handläggarna i stort sett har samma tillgång till inskannat material som till andra uppgifter i systemet är med hänsyn till Försäkringskassans behörighetsstyrning och tillhörande tekniska begränsningar, enligt Datainspektionen, en acceptabel ordning. Åtkomst till historiskt material Avslutade ärenden ligger kvar i handläggarstöden. Handläggarna har samma behörighet till avslutade ärenden som till aktuella ärenden. Försäkringskassan har inte något digitalt långtidsarkiv. Hade den haft ett sådant hade dock behörigheten till uppgifter däri varit densamma. Handläggarna kan för handläggningen av pågående ärenden behöva komma åt information i avslutade ärenden. Även om en myndighet enligt arkivlagen ska arkivera handlingar bör tillgången till handlingarna begränsas. Det är inte lämpligt om systemet gör det möjligt med obegränsade sökningar bland alla inskannade/elektroniska handlingar som finns hos myndigheten. När myndigheten arkiverar handlingar bör de avskiljas från det dokument- och ärendehanteringssystem som används i den dagliga verksamheten. Om arkiveringsfunktionen ingår i samma system, bör systemet innehålla tekniska avgränsningar. Enligt 28 lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration ska personuppgifter som behandlas automatiskt gallras när de inte längre är nödvändiga för de ändamål som anges i 7 samma lag. Det är inte förenligt med varken personuppgiftslagen eller lagen om behandling av personuppgifter inom socialförsäkringens administration att, som Försäkringskassan gör, låta alla avslutade ärenden ligga kvar i handläggarstöden, åtkomliga på samma sätt som aktiva ärenden. Försäkringskassan ska därför föreläggas att inkomma med en skriftlig åtgärdsplan i vilken Försäkringskassan ska ange vilka åtgärder myndigheten avser att vidta för att avskilja avslutade ärenden från de ärendehanteringssystem som används i den dagliga verksamheten i avvaktan på gallring. Åtkomst till skyddade personuppgifter Av de 14000 anställda har omkring 430-440 handläggare som har behörighet att handlägga ärenden som innehåller skyddade personuppgifter. En system- Sida 4 av 7
förändring i mars 2009 kommer innebära att Försäkringskassan har en teknisk möjlighet att styra ärenden med skyddade identitetsuppgifter till vissa kontor. En sådan styrning innebär att antalet handläggare för sådana ärenden kan hållas nere. För att obehöriga inte ska komma åt skyddade personuppgifter är det bland annat viktigt att det vid myndigheter finns sekretessmarkeringar som syns tydligt vid sökningar i register, att all personal som hanterar personuppgifter ges grundlig information om skyddade personuppgifter och sekretessfrågor, att kretsen av personer som har tillgång till skyddade personuppgifter begränsas så mycket som möjligt, att skyddade personuppgifter inte sprids till områden där sekretess för uppgifterna inte föreligger och att myndigheten regelbundet följer upp att regler och rutiner kring skyddade personuppgifter efterlevs och respekteras. Datainspektionen bedömer att Försäkringskassan har godtagbara rutiner för hantering av skyddade personuppgifter. Det är viktigt att Försäkringskassan genomför de planerade åtgärderna för att begränsa hanteringen av skyddade personuppgifter. Försäkringskassan bör även ha rutiner för att hantera eventuella incidenter. Rutiner för tilldelning/ändring/borttagning av behörigheter Den anställdes närmaste chef beslutar om tilldelning, ändring och borttagning av behörighet i IT-systemen. Behörighetsbeställningar och vidtagna åtgärder loggas. Enligt Försäkringskassans riktlinjer och enligt RFFS 2004:1 14 ska cheferna en gång per år kontrollera behörigheterna för sina anställda och dokumentera att kontrollen genomförts. Det sker dock ingen uppföljning av om detta görs. Som Datainspektionen anför i sina allmänna råd, Säkerhet för personuppgifter, bör det finnas rutiner för tilldelning och kontroll av behörigheter. Datainspektionen har vid inspektionen inte funnit annat att anmärka på när det gäller rutiner för tilldelning/ändring/borttagning av behörigheter än att det bör göras en uppföljning av att de behörighetstilldelande cheferna en gång per år kontrollerar behörigheterna för sina anställda i enlighet med Försäkringskassans egna riktlinjer. Behandlingshistorik (loggar) och åtkomstkontroll (logguppföljning) Försäkringskassan loggar åtkomst till uppgifter i de tre handläggarstöden. Behörighetsbeställningar och de åtgärder beställningarna föranlett loggas också. Det skapas omkring nio miljoner loggposter varje dag och loggarna Sida 5 av 7
sparas i tio år. Det är tio personer på säkerhetschefens enhet som har tillgång till loggverktyget. Försäkringskassan utför endast åtkomstkontroll på förekommen anledning. Cheferna har en skyldighet att följa upp loggarna en gång per år. Av Datainspektionens allmänna råd om säkerhet för personuppgifter framgår det att för att åtkomsten ska kunna kontrolleras bör det, beroende på känsligheten hos personuppgifterna, finnas en behandlingshistorik (loggar) som sparas en viss tid. En behandlingshistorik bör följas upp och skyddas mot otillåtna ändringar. En behandlingshistorik bör normalt vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. Behandlingshistoriken bör, beroende på känsligheten hos personuppgifterna, ange till exempel läsning, ändring, utplåning eller kopiering av personuppgifter. En behandlingshistorik bör inte utformas eller utnyttjas så att den medför risk för intrång i personalens integritet. Enligt Riksförsäkringsverkets föreskrifter 15 RFFS 2004:1, ska Försäkringskassan säkerställa att rutiner finns för uppföljning av loggar för att kontrollera hur behörigheterna nyttjas i socialförsäkringsdatabasen. Logguppföljningen ska genomföras regelbundet. Särskild uppföljning kan genomföras på förekommen anledning. Datainspektionen bedömer att Försäkringskassan loggar åtkomst genom handläggarstöden på ett sätt som uppfyller personuppgiftslagens och registerförfattningarnas krav. Åtkomstkontroller (logguppföljning) sker emellertid endast på förekommen anledning. Med beaktande av bestämmelsen i RFFS 2004:1 samt att Försäkringskassan till stor del behandlar känsliga personuppgifter om ett mycket stort antal personer ska, förutom kontroll på förekommen anledning, även systematiska och återkommande åtkomstkontroller göras i syfte att upptäcka och beivra obehörig åtkomst. Försäkringskassan ska därför föreläggas att inkomma med en skriftlig åtgärdsplan i vilken Försäkringskassan ska ange hur myndigheten avser att utföra systematiska och återkommande åtkomstkontroller i syfte att upptäcka och beivra obehörig åtkomst av personuppgifter i sina IT-system. Information och utbildning Alla nyanställda går en säkerhetsutbildning. För alla anställda finns det även en förvaltningsrättslig utbildning som inkluderar sekretesslagen och personuppgiftslagen. Information om behörighetskontrollssystemets utformning finns tillgängligt på intranätet. Sida 6 av 7
Det måste finnas instruktioner som anger under vilka förutsättningar myndighetens anställda får ta del av personuppgifter. Instruktionerna bör vara skriftliga och finnas allmänt tillgängliga för anställda, t.ex. på intranätet. Myndigheten bör också se till att alla som har tillgång till personuppgifter får relevant utbildning. Genom att ge de anställda en klar uppfattning om, vad som är tillåtet, vilka konsekvenserna blir om man bryter mot instruktionerna och andra bestämmelser, och hur efterlevnaden av instruktionerna följs upp minskas risken för otillåten åtkomst. Datainspektionen bedömer att Försäkringskassans information och utbildning till sina anställda uppfyller personuppgiftslagens och registerförfattningarnas krav. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta yttrande har beslutats av generaldirektören Göran Gräslund i närvaro av teamledaren Britt-Marie Wester, IT-säkerhetsspecialisten Magnus Bergström, juristerna Lena Carlsson, Lars Söderberg och Anna Hörnlund, föredragande. Göran Gräslund Anna Hörnlund Sida 7 av 7