Datum Diarienr 2009-06-23 1739-2008 CSN 851 82 Sundsvall Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter Centrala studiestödsnämnden (CSN) Datainspektionens beslut Ärendet avslutas. Sammanfattning Bland annat med hänsyn till de nya bestämmelser som kommer att träda ikraft den 1 januari 2011 har Datainspektionen inte funnit anledning att förelägga CSN att vidta några specifika åtgärder. Datainspektionen kommer att följa upp nedanstående påpekanden före ikraftträdandet av de aktuella bestämmelserna i studiestödsdatalagen (2009:287). Datainspektionen påpekar följande: Utifrån ett integritetsskyddsperspektiv anser Datainspektionen att CSN med tekniska åtgärder bör begränsa åtkomsten till personuppgifter så att inte samtliga handläggare på myndigheten har åtkomst till i stort sett samtliga personuppgifter i STIS, även t.ex. uppgifter om Rg-bidrag. Datainspektionen förutsätter att CSN har fungerande rutiner för sekretessmarkeringen av läkarintyg. Datainspektionen förutsätter att CSN löpande prövar vilka som behöver åtkomst till uppgifterna i ArkivSvar och begränsar åtkomsten därefter. CSN bör begränsa antalet personer med åtkomst till skyddade personuppgifter till ett minimum. CSN förutsätts också ha rutiner för att hantera eventuella incidenter rörande skyddade personuppgifter. CSN bör förbättra rutinerna för borttagning av behörigheter. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Datainspektionen förutsätter att CSN inte inväntar ikraftträdandet av den nya studiestödsdatalagens bestämmelser utan påbörjar arbetet med att nå upp till de krav på systematiska och återkommande åtkomstkontroller som redan idag följer av personuppgiftslagens säkerhetsbestämmelser. Redogörelse för tillsynsärendet Datainspektionen genomförde den 4 februari 2009 en inspektion av CSN:s personuppgiftsbehandling. Vid inspektionen granskade Datainspektionen i huvudsak rutiner för behörighetsstyrning, rutiner för behandlingshistorik (logg) och åtkomstkontroll (logguppföljning) samt omfattningen av anställdas åtkomst till inskannat material i elektroniska ärendehanteringssystem. Skäl för beslutet Tillämplig lagstiftning Informationssäkerhet är en viktig del av skyddet för den personliga integriteten. Den lag som idag är tillämplig på all personuppgiftsbehandlingen inom CSN är personuppgiftslagen (PuL). Den 1 januari 2010 kommer delar av den nya studiestödsdatalagen (2009:287) att träda ikraft. De nya bestämmelserna om intern elektronisk tillgång och gallring ska dock inte börja tillämpas förrän den 1 januari 2011. Samtidigt ska motsvarande bestämmelser i studiestödsdataförordningen (2009:321) börja tillämpas. Av 30 personuppgiftslagen framgår att den som arbetar under den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Enligt 31 personuppgiftslagen ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av: de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade personuppgifterna är. Sida 2 av 9
Allmänt om CSN och dess IT-system Inom CSN arbetar cirka 1000 personer. Verksamheten finns på 15 orter. Cirka 700 handläggare är användare av verksamhetssystemen i den dagliga grundverksamheten. De IT-stöd som CSN använder har CSN utvecklat själv. Dessa IT-system är de viktigaste för handläggning av ärenden. STIS (Studiestödets informationssystem) är grundsystemet för handläggning av ärenden. Personuppgifter om omkring fyra miljoner personer behandlas i STIS. Det s.k. Rg-bidraget (bidrag till vissa funktionshindrade elever i gymnasieskolan) ligger sedan maj 2008 inom STIS. Rgbidraget rör cirka 400-500 personer. Rg-ärenden handläggs av ca fem personer på Örebrokontoret men kan ses av alla som har behörighet att titta i STIS. TUFF-stödet (stadsbidrag för teckenspråksutbildning för vissa föräldrar) ligger kvar i en helt lokal miljö. TUFF-stödet rör en litet antal kunder (cirka 170 elever) och handläggs endast på CSN:s Örebrokontor av cirka fem handläggare. HUT är ett helt lokalt system som används av handläggarna på enheten för utländska medborgare (EUM-enheten) där hemutrustningslån till flyktingar beviljas. Antalet handläggare som har åtkomst till HUT är cirka 20 st. De personer som förekommer i detta system är särskilt skyddsvärda individer och därför har handläggningen av deras ärenden lagts i ett helt särskilt system. Allt material som kommer in till CSN skannas i det skick det anländer. Även sjukintyg skannas in i STIS. Om e-post kommer in rörande ett visst ärende kan en enskild handläggare lägga till försändelsen som en handling till det specifika ärendet. När en akt når en handläggare för handläggning är akten helt elektronisk. Behörighetskontrollsystemets utformning Alla handläggare kan ta del av alla personuppgifter och dokument i alla ärenden förutom sådana personuppgifter och dokument som försetts med en sekretessmarkering. För att en handläggare ska kunna göra annat än bara läsa uppgifter ur systemet måste handläggaren tilldelas särskilda behörigheter. CSN har sammanställt vad en normalhandläggare behöver för att kunna utföra en viss typ av arbete. Det finns fyra basbehörigheter (studiemedelsbehörighet, studiehjälpsbehörighet, återbetalningsbehörighet och Rg-behörighet vilken är ny i STIS sedan Rg-bidraget fördes över till STIS). Beroende på vad handläggaren ska arbeta med så finns sedan en mängd små behörigheter (behörighetsgrupper) som kan läggas till basbehörigheten. Hela behörighetsstrukturen är baserad på behörighet till fönster i olika arbetsflöden. För att Sida 3 av 9
klara av en arbetsuppgift kan en handläggare behöva ha behörighet till sju fönster (från olika systemdelar). CSN har ett centralt fördelningssystem för ärenden. Handläggarna arbetar mot en ärendekö. Ansökan, kompletteringar osv kan mottas/handläggas av olika handläggare. Om handläggaren behöver titta på en specifik person, istället för att arbeta mot ärendekön, måste han eller hon söka via Ärendeöversikt. Där finns urvalsmöjligheter via antingen personnummer eller s.k. CSN-nummer. Handläggare kan alltså bara göra förändringar inom det specifika arbetsflöde de tilldelas, men de kan titta på övriga flöden. Skälet till att handläggare kan titta på ärenden och flöden som de inte aktivt handlägger är att de exempelvis kan behöva se en individs tidigare studiestöd. Det är dessutom en fråga om service till kunder. De flesta handläggare sitter och svarar på frågor via telefon eller e-post. Då måste de kunna se uppgifter från alla flöden för att kunna besvara dessa frågor. Många överväganden gällande det beskrivna arbetssättet bottnar ytterst i att det rör sig om offentliga uppgifter och, historiskt sett, arbetssättet inom CSN. Rg-kunderna har en egen kanal in till Örebrokontoret, men dessa elever har också studiehjälp som handläggs på andra kontor. Studiestödshandläggare på andra kontor behöver därför också kunna se att en elev har Rg-bidrag. Studiestödshandläggaren ser då samma uppgifter som man ser på Rg-kontoret i Örebro. Detta behövs för att CSN ska klara av arbetstrycket under terminsstarterna. Dokument- och ärendehanteringssystem innehåller stora mängder personrelaterad information. En grundläggande princip är att anställda inom en myndighet endast bör ha elektronisk tillgång till personuppgifter som de behöver för sitt arbete. Detta gäller även om uppgifterna är offentliga. Behovet av åtkomst varierar naturligtvis beroende på myndighetens verksamhetsområde och den anställdes arbetsuppgifter. För att begränsa den elektroniska tillgången ska myndigheten ha ett system för behörighetsstyrning. Med hjälp av detta bör åtkomstmöjligheterna tekniskt begränsas så mycket som det är faktiskt och praktiskt möjligt med hänsyn till den aktuella verksamheten och känsligheten hos personuppgifterna. Därutöver ska myndigheten begränsa obehörig åtkomst genom fungerande rutiner, t.ex. arbetsrutiner, rutiner för utbildning och information till anställda samt rutiner för åtkomstkontroll. Av studiestödsdatalagen 9 och studiestödsdataförordningen 8 framgår uttryckligen att elektronisk tillgång ska begränsas till vad som behövs för att Sida 4 av 9
anställda ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Samma krav gäller dock enligt personuppgiftslagen, om än inte uttryckligen, redan idag. Vilken elektronisk åtkomst till personuppgifter som en enskild handläggare behöver för att kunna fullgöra sina arbetsuppgifter är i första hand upp till CSN att bedöma. CSN har uppgett att alla handläggare behöver kunna ta del av alla uppgifter i alla ärenden, förutom sådana personuppgifter som försetts med en sekretessmarkering, eftersom deras arbetsuppgifter kräver det. Utifrån ett integritetsskyddsperspektiv anser dock Datainspektionen att CSN med tekniska åtgärder bör begränsa åtkomsten till personuppgifter så att inte samtliga handläggare på myndigheten har åtkomst till i stort sett samtliga personuppgifter i STIS, även t.ex. uppgifter om Rg-bidrag. Om det inte införs några tekniska begränsningar som reglerar åtkomsten är det än viktigare att CSN på andra sätt, genom bl.a. information till anställda och effektiv åtkomstkontroll, aktivt arbetar för att minska riskerna för otillåten åtkomst av personuppgifter som handläggarna inte behöver för sina arbetsuppgifter. Åtkomst till inskannat material Allt som kommer in skannas. Även läkarintyg. Alla kan se allt material såvida det inte finns en sekretessmarkering. Handläggare kan ange att exempelvis läkarintyg ska sekretessbeläggas. Då döljs hela det dokumentpaket (exempelvis en ansökan och det därtill bifogade läkarintyget) där sekretessmarkeringen läggs. Datainspektionen anser att det är bra att tillgången till läkarintyg begränsas genom att dessa sekretessmarkeras. Datainspektionen förutsätter att CSN har fungerande rutiner för detta. Åtkomst till historiskt material För lagring av historiskt material finns ArkivSvar. Uppgifter har avskiljts från STIS till ArkivSvar när system ersatts. Det sker ingen årlig överföring av uppgifter till ArkivSvar. Det senaste avskiljandet till ArkivSvar skedde under 2004. När material avställdes till ArkivSvar uppdaterades samtidigt stödhistoriken i STIS. Det har alltid funnits kvar en sammanställning i STIS av hur mycket stöd en person har beviljats. Den informationen utgör ett nödvändigt underlag för prövningen. Skälet till att stödhistorik ligger kvar i STIS är att uppgifterna behövs maskinellt för exempelvis beräkningar. Vill en handläggare se mer fyllig historik om en individ måste hon eller han logga in i ArkivSvar. Till ArkivSvar finns en separat inloggning. Alla handläggare har behörighet att titta i ArkivSvar. Ärenden är aktiva hos CSN under lång tid i och med den Sida 5 av 9
återbetalningsskyldighet som finns i studiestödsystemet. Handläggarna kan behöva titta på historiskt material i sin dagliga handläggning. Även om en myndighet enligt arkivlagen ska arkivera handlingar bör tillgången till handlingarna begränsas. Det är inte lämpligt om systemet gör det möjligt med obegränsade sökningar bland alla inskannade/elektroniska handlingar som finns hos myndigheten. När myndigheten arkiverar handlingar bör de avskiljas från det dokument- och ärendehanteringssystem som används i den dagliga verksamheten. Om arkiveringsfunktionen ingår i samma system, bör systemet innehålla tekniska avgränsningar. När det gäller åtkomst till historiskt material kommer 9 studiestödsdatalagen och 7 studiestödsförordningen att få betydelse. Från och med den 1 januari 2011 ska historiska uppgifter efter en viss tid och under vissa förutsättningar bara vara tillgängliga för ett begränsat antal personer hos CSN. Inom ramen för den här inspektionen nöjer sig Datainspektionen med att konstatera att CSN idag för över äldre uppgifter i ett separat system med separat inloggning. Datainspektionen förutsätter att CSN löpande prövar vilka som behöver åtkomst till uppgifterna i ArkivSvar och begränsar åtkomsten därefter. Åtkomst till skyddade personuppgifter Vid inspektionen angavs att det bestämts att det skulle finnas 50 personer med åtkomst till personer med skyddade personuppgifter. CSN har efter inspektionen meddelat att det idag finns 58 personer med sekretessbehörighet. Om en obehörig person får ett sekretessärende så kopplas ärendet omedelbart vidare till en behörig handläggare som tar över. För att obehöriga inte ska komma åt skyddade personuppgifter är det bland annat viktigt att det vid myndigheter finns spärrmarkeringar som syns tydligt vid sökningar i register, att all personal som hanterar personuppgifter ges grundlig information om skyddade personuppgifter och sekretessfrågor, att kretsen av personer som har tillgång till skyddade personuppgifter begränsas så mycket som möjligt, att skyddade personuppgifter inte sprids till områden där sekretess för uppgifterna inte föreligger och att myndigheten regelbundet följer upp att regler och rutiner kring skyddade personuppgifter efterlevs och respekteras. Datainspektionen har svårt att se varför CSN har 58 personer med behörighet att ta del av skyddade personuppgifter. Datainspektionen förutsätter att CSN begränsar antalet personer med åtkomst till skyddade personuppgifter till ett Sida 6 av 9
minimum. CSN förutsätts också ha rutiner för att hantera eventuella incidenter rörande skyddade personuppgifter. Rutiner för tilldelning/ändring/borttagning av behörigheter Enligt arbetsordningen är det respektive linjechef (gruppchef, kontorschef, enhetschef samt avdelningschef) som beslutar om tilldelning av behörighet. En särskild blankett fylls i av respektive chef och skickas via e-post till en särskild behörighetsbrevlåda. Cirka sex till tio personer har tillgång till brevlådan. Normalt verkställs beställningen av cirka tre till fyra personer. En kvittens går sedan tillbaka till beställaren och bekräftar att beställningen är klar eller anger att den behöver kompletteras eller liknande. E-postkonversationen avseende en behörighetsbeställning sparas hos behörighetsadministratören för dokumentation. Förändringar och borttagning av behörigheter sker på samma sätt. Efter sommaren 2008 fick varje chef i uppdrag att kontrollera att de behörigheter som deras anställda har är korrekta. Det konstaterades att det var många behörigheter som kunde tas bort. Det har inte tidigare gjorts en så omfattande uppföljning inom CSN, men tanken är att uppföljningen ska bli årligen återkommande. Som stöd för den beslutande chefen finns en sammanställning av behörighetsgrupper som en normalhandläggare kan behöva för sitt arbete. Denna sammanställning finns upptagen i ett Microsoft Excelark där ett antal flikar representerar ett motsvarande antal handläggarbehörigheter (exempelvis Normalhandläggare SM, Normalhandläggare shj., Normalhandläggare åb, Normalhandläggare Rg). Dessa roller ser ut på ett visst sätt i sammanställningen men kan också byggas ut. Som Datainspektionen anför i sina allmänna råd om säkerhet för personuppgifter bör det finnas rutiner för tilldelning och kontroll av behörigheter. På myndigheter som CSN, som behandlar många personuppgifter och har många systemanvändare, är det enligt Datainspektionens mening nödvändigt att det finns sådana rutiner. Vid inspektionen har det framkommit att CSN efter en kontroll förra året kunde konstatera att det var många behörigheter som kunde tas bort. Datainspektionen förutsätter att CSN, med anledning därav, förbättrar rutinerna för kontroll och borttagning av behörigheter. För att behörighetstilldelningen ska fungera tillfredsställande är det viktigt att den som har till uppgift att beställa behörigheter har ett bra och begripligt Sida 7 av 9
underlag för att kunna avgöra vilken typ av behörighet en anställd faktiskt behöver. Datainspektionens intryck är att CSN:s behörighetsstruktur, baserad på behörighet till fönster i olika arbetsflöden, är relativt komplicerad och att det stöd som finns för den beslutande chefen kan vara svårbegripligt. Behandlingshistorik (loggar) och åtkomstkontroll (logguppföljning) Såsom loggen är konstruerad kan CSN inte följa upp vad någon tittat på, bara vad någon har gjort. Det finns ingen fastställd period under vilken loggarna sparas. Detta är närmast kopplat till lagringsutrymmet. Vid misstanke om oegentligheter eller om något inte fungerar som det ska görs en logguppföljning. Det finns inga rutiner för systematiska loggkontroller. Det har inte heller funnits skäl att göra stickprovskontroller. Av Datainspektionens allmänna råd om säkerhet för personuppgifter framgår det att för att åtkomsten ska kunna kontrolleras bör det, beroende på känsligheten hos personuppgifterna, finnas en behandlingshistorik som sparas en viss tid. En behandlingshistorik bör följas upp och skyddas mot otillåtna ändringar. En behandlingshistorik bör normalt vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. Behandlingshistoriken bör, beroende på känsligheten hos personuppgifterna, ange till exempel läsning, ändring, utplåning eller kopiering av personuppgifter. En behandlingshistorik bör inte utformas eller utnyttjas så att den medför risk för intrång i personalens integritet. Den nya studiestödsdatalagen anger uttryckligen att CSN från och med den 1 januari 2011 kommer att vara skyldig att dokumentera elektronisk tillgång till personuppgifter och att systematiskt och återkommande kontrollera om någon obehörig åtkomst till uppgifterna har förekommit. Med stöd av personuppgiftslagens säkerhetsbestämmelser och mot bakgrund av den stora mängden personuppgifter som CSN behandlar, att det i registret finns uppgifter av känslig natur, och den vida tillgång som CSN idag medger sina anställda anser Datainspektionen att CSN redan idag borde ha en behandlingshistorik som loggar åtkomst, inte bara förändring. Av samma anledning anser Datainspektionen att CSN redan idag borde utföra systematiska och återkommande kontroller av åtkomst till personuppgifter i STIS. Det gäller framförallt kontroller av åtkomst till uppgifter om Rg-bidrag och sekretessbelagda uppgifter. Datainspektionen noterar att lagstiftaren, vid tillkomsten av studiestödsdatalagen, bedömt att CSN behöver fram till 1 januari 2011 på sig för att införa de nya rutiner och genomföra de informations- och utbildningsinsatser som krävs för bland annat detta (prop. 2008/09:96 s. 75 f.). Datain- Sida 8 av 9
spektionen förutsätter dock att CSN snarast påbörjar arbetet med att nå upp till de krav på systematiska och återkommande åtkomstkontroller som redan idag följer av personuppgiftslagens säkerhetsbestämmelser. Information och utbildning Det finns skriftliga instruktioner för hur användare får bruka sin behörighet. Alla anställda får då de inleder sin anställning ta del av ett informationspaket inom ramen för en introducerande utbildningsinsats. Dessa utbildningsinsatser görs lokalt. Det finns även utbildningspaket om förvaltningsrätt som ska genomföras årligen. När en nyanställd får del av utbildningspaketet hänger samman med när på året anställningen påbörjas. Det finns även vissa utbildningspaket rörande informationssäkerhet, i form av ett presentationsbildspel, som är riktat till handläggare. Handläggare som ska ha behörighet att ta del av sekretesskyddade personuppgifter genomgår en särskild utbildning först. I introduktionspaketet ingår även information om att kontroll av loggen kan komma att genomföras vid misstanke. Det måste finnas tydliga instruktioner som anger under vilka förutsättningar myndighetens anställda får ta del av personuppgifter. Instruktionerna bör vara skriftliga och finnas allmänt tillgängliga för anställda, t.ex. på intranätet. Myndigheten bör också se till att alla som har tillgång till personuppgifter får relevant utbildning. Genom att ge de anställda en klar uppfattning om, vad som är tillåtet, vilka konsekvenserna blir om man bryter mot instruktionerna och andra bestämmelser, och hur efterlevnaden av instruktionerna följs upp minskas risken för otillåten åtkomst. Med hänsyn till vad som framkommit under inspektionen har Datainspektionen har inga synpunkter på den information och utbildning som CSN tillhandahåller sina anställda. Detta yttrande har beslutats av generaldirektören Göran Gräslund i närvaro av teamledaren Britt-Marie Wester, IT-säkerhetsspecialisten Magnus Bergström samt juristerna Anna Hörnlund, Lars Söderberg och Lena Carlsson, föredragande. Göran Gräslund Lena Carlsson Sida 9 av 9