Datum Diarienr 2009-06-23 1755-2008 Kronofogdemyndigheten 171 94 Solna Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Kronofogdemyndigheten, KFM. Datainspektionens beslut Datainspektionen förelägger KFM att komma in med en skriftlig åtgärdsplan i vilken myndigheten ska ange hur man avser utföra systematisk och återkommande logguppföljning i syfte att upptäcka och beivra obehörig åtkomst av personuppgifter i myndighetens verksamhetssystem. Åtgärdsplanen ska innehålla en uppgift om när åtgärderna kan vara införda. Åtgärdsplanen ska vara oss tillhanda senast den 15 oktober 2009. Sammanfattning KFM föreläggs att komma in med en åtgärdsplan enligt ovan. Datainspektionen förutsätter vidare att KFM har rutiner för incidenthantering avseende skyddade personuppgifter. För övrigt bedömer Datainspektionen att KFM:s behörighetstilldelning, avseende såväl tekniska aspekter som rutiner, håller en god kvalitet. Redogörelse för tillsynsärendet Inspektionen Datainspektionen genomförde den 15 januari 2009 en inspektion av Kronofogdemyndighetens personuppgiftsbehandling. Vid inspektionen granskade Datainspektionen i huvudsak rutiner för behörighetsstyrning, rutiner för behandlingshistorik/loggar och åtkomstkontroll/logguppföljning samt omfattningen av anställdas åtkomst till inskannat material i elektroniska ärendehanteringssystem. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Skäl för beslutet Tillämplig lagstiftning Informationssäkerhet är en viktig del av skyddet för den personliga integriteten. För KFM:s verksamhet gäller lagen (2001:184) om behandling av uppgifter i Kronofogdemyndigheternas verksamhet - KfmdbL. Enligt 3 i KfmdbL gäller personuppgiftslagens PuL:s bestämmelser om säkerhet vid behandling när personuppgifter behandlas enligt KfmdbL eller enligt andra föreskrifter i det ämne som regleras i lagen. Av 30 PuL framgår att den som arbetar under den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Enligt 31 PuL ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av: de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade personuppgifterna är. Allmänt om KFM och dess IT-system 2006 blev KFM en central myndighet för hela landet och sedan 2008 är KFM en egen myndighet helt fristående från Skatteverket. Huvudkontoret ligger i Solna, men kontor finns ute i landet. I januari 2009 hade KFM 2359 anställda. KFM behandlar personuppgifter om ca 500,000 gäldenärer. Alla anställda på KFM har inte tillgång till alla system och det är inte säkert att man i ett system har tillgång till hela systemet. Handläggare har tillgång till de ärenden de är satta att betjäna. KFM arbetar enligt Ledningssystem för informationssäkerhet - LIS. KFM:s arbetssätt är processtyrt, indelat i fyra verksamhetsprocesser. Varje process har egna IT-system. Dessa system är Rex för verkställighetsprocessen som byts successivt ut mot INIT (Utsöknings- och indrivningsdatabasen). I utsöknings- och indrivningsdatabasen ingår också Duffex som hanterar verkställigheten av försäljning av fastigheter, bostadsrätter, skepp och luftfartyg. Cirka 1 700 handläggare arbetar i den processen. Supro för den summariska processen (Betalningsföreläggande- och handräckningsdatabasen). Sida 2 av 10
Skusan för skuldsanering (Skuldsaneringsdatabasen). Cirka 70 handläggare arbetar i den processen. Optima för tillsyn i konkurs (Konkurstillsynsdatabasen). Ca 70 handläggare arbetar i den processen. Behörighetskontrollsystemets utformning Det finns profiler för olika arbetsuppgifter. Men det går att göra vissa avgränsningar. Man kan ha behörighet för flera system. KFM har ett gemensamt kundcenter som i januari 2009 sysselsätter 85 årsarbetskrafter (94 anställda) på fem orter. De som arbetar i kundcentret har inga handläggande uppgifter, men de har behörighet till flera processer. Behörigheten omfattar endast läsning. Behörigheternas tekniska begränsningar motsvarar det som användarna behöver tillgång till för att utföra sina arbetsuppgifter och tekniken sätter stopp för om en användare försöker använda sin behörighet på fel sätt. Bedömningar relaterade till användarnas arbetsuppgifter ligger till grund för begränsningarna i behörigheterna. Det finns möjlighet att ytterligare begränsa behörigheterna. KFM arbetar teamorienterat. Stöd för detta arbetssätt införs successivt i ITsystemen, t.ex. i INIT där teamet har tillgång till en samling ärenden inom sitt område via en inkorg. Ärenden kan fördelas om till annan handläggare, inom samma process och inom samma team. I verkställighetsärenden (INIT) låses exempelvis ärenden/arbetsuppgifter automatiskt på viss handläggare. De olika processerna har inte tillgång till varandras ärenden, handläggarna kan varken se eller läsa. Dokument- och ärendehanteringssystem innehåller stora mängder personrelaterad information. En grundläggande princip är att anställda inom en myndighet endast bör ha elektronisk tillgång till personuppgifter som de behöver för sitt arbete. Detta gäller även om uppgifterna är offentliga. Behovet av åtkomst varierar naturligtvis beroende på myndighetens verksamhetsområde och den anställdes arbetsuppgifter. För att begränsa den elektroniska tillgången ska myndigheten ha ett system för behörighetsstyrning. Med hjälp av detta bör åtkomstmöjligheterna tekniskt begränsas så mycket som det är faktiskt och praktiskt möjligt med hänsyn till den aktuella verksamheten och känsligheten hos personuppgifterna. Därutöver ska myndigheten begränsa obehörig åtkomst genom fungerande rutiner, t.ex. arbetsrutiner, rutiner för utbildning och information till anställda samt rutiner för åtkomstkontroll. Sida 3 av 10
PuL gäller i de delar som anges i KfmdbL. PuL:s grundläggande krav på behandlingar av personuppgifter är i stora delar tillämpliga i KFM:s verksamhet (jfr 1 kap. 3, tredje punkten KfmdbL samt 9 PuL). KFM:s verksamhet regleras dessutom av en rad sekretessregler. Dessa regler gäller inte bara i förhållandet mellan KFM och allmänheten samt i förhållandet mellan KFM och andra myndigheter, utan även inom KFM mellan verksamhetsgrenar som är att betrakta som självständiga i förhållande till varandra (jfr prop. 2005/06:200 s. 147 f.). Det ställs alltså i PuL och via sekretesslagen krav som påverkar hanteringen av personuppgifter. Krav som måste mötas av KFM vid utformningen av såväl behörighetskontrollsystemet och loggarna som den tillhörande logguppföljningen. Den interna sekretessen inom KFM måste kunna upprätthållas vid hanteringen av personuppgifter. Därför vill vi påpeka att bedömningarna som görs avseende behörighetskontrollsystemet, loggarna samt logguppföljningen var för sig också måste göras i förhållande till varandra. Enligt vår bedömning har KFM en för sin verksamhet god utformning av sitt behörighetskontrollsystem. Arbetet med LIS har i KFM:s fall fått ett tydligt och positivt genomslag. De tekniska begränsningarna motsvarar det som användarna behöver tillgång till för att utföra sina arbetsuppgifter. Bedömningar av det slaget är grundläggande för att skapa ett dels ändamålsenligt och effektivt, dels integritetsskyddande behörighetskontrollsystem. Datainspektionen har inget att erinra. Åtkomst till inskannat material Skanning används idag endast i Duffex. All ingående papperspost skannas. Utgående post kan läsas elektronsikt men är inte inskannad utan skapad i systemet. Vilka som har tillgång till inskannat material i ett ärende är styrt från behörigheten (rollen). Alla som behöver det för att fullgöra sin arbetsuppgift har läsbehörighet. Varje team har behörighet till ärenden/arbetsuppgifter i sin egen inkorg. Vi anser att KFM även i denna del har löst åtkomsten till personuppgifter på ett sätt som främjar integritetsskyddet. Åtkomst till historiskt material I Duffex finns avslutade ärenden inte i inkorgen, men de går att söka upp på diarienummer eller personnummer. Ärenden ligger inte kvar för alltid, det finns gallringsregler i registerlagen. En del uppgifter blockeras innan gallring sker eller vid rättelse. Tiden för gallring får förlängas. KFM arbetar med gall- Sida 4 av 10
ringsfrågan tillsammans med Riksarkivet. KFM håller på att gå över till elektroniska arkiv för det som ska bevaras. Det går att blockera ärenden. Vid blockering är de inte längre sökbara i systemen, men blockering är inte så vanligt förekommande. Just nu ligger ärendena kvar i Duffex tills Riksarkivets utredning är klar. Även om en myndighet enligt arkivlagen ska arkivera handlingar bör tillgången till handlingarna begränsas. Det är inte lämpligt om systemet gör det möjligt med obegränsade sökningar bland alla inskannade/elektroniska handlingar som finns hos myndigheten. När myndigheten arkiverar handlingar bör de avskiljas från det dokument- och ärendehanteringssystem som används i den dagliga verksamheten. Om arkiveringsfunktionen ingår i samma system, bör systemet innehålla tekniska avgränsningar. Det finns visserligen gallringsregler i KfmdbL för respektive databas. Men det kan, som ovan sagts, finnas skäl att ur verksamhetssystemen avskilja - eller blockera - ärenden som är avslutade innan gallringsfristen enligt KfmdbL löpt ut. Mot bakgrund av att KFM uppgett att man arbetar med Riksarkivet i frågor rörande bl.a. detta så har vi inga ytterligare synpunkter i detta skede. Åtkomst till skyddade personuppgifter Inom verkställighetsprocessen och Supro handläggs dessa typer av ärenden endast på särskilda kontor. Uppgifter om dessa personer kommer ingen annan än dessa handläggare åt. Övriga handläggare ser inga uppgifter om namn och adress. Handläggaren måste göra en aktiv handling för att komma åt uppgifterna. I verkställighetsprocessen (INIT) styrs ärenden med skyddade personuppgifter automatiskt till det team som svarar för handläggning av skyddade personer. Sådana ärenden kommer inte upp i inkorgen hos övriga team. Den tekniska begränsningen ligger i behörighetsrollen. För att obehöriga inte ska komma åt skyddade personuppgifter är det bland annat viktigt att det vid myndigheter finns spärrmarkeringar som syns tydligt vid sökningar i register, att all personal som hanterar personuppgifter ges grundlig information om skyddade personuppgifter och sekretessfrågor, att kretsen av personer som har tillgång till skyddade personuppgifter begränsas så mycket som möjligt, att skyddade personuppgifter inte sprids till områden där sekretess för uppgifterna inte föreligger och att myndigheten regelbundet följer upp att regler och rutiner kring skyddade personuppgifter efterlevs och respekteras. Sida 5 av 10
I KFM:s fall har vi inte kännedom om det exakta antalet handläggare som har tillgång till skyddade personuppgifter. Datainspektionens inställning är att antalet handläggare som hanterar skyddade personuppgifter ska hållas till ett minimum. Den verksamhetsspecifika hantering som KFM har av skyddade personuppgifter är enligt vår bedömning god. Vi förutsätter att KFM har rutiner för att hantera eventuella incidenter rörande skyddade personuppgifter. Rutiner för tilldelning/ändring/borttagning av behörigheter Det finns styrande dokument som anger hur tilldelning av behörigheter till KFM:s IT-system ska ske. Alla styrande dokument följer LIS och finns publicerade på Intranätet. Behörigheter för fast anställda gäller för ett år i taget och måste förnyas varje år. För visstidsanställda är behörigheten tekniskt begränsad till den tid denne är anställd. Behörighetstilldelningen sker i flera steg. Närmaste chef ansvarar för hanteringen av behörigheterna och beslutar om och beställer tilldelning av behörigheter. Avdelningen Verksamhetsstöd verkställer beställningen av behörigheterna. En särskild blankett fylls i där det framgår vilka behörighetsklasser, tidssättning m.m. som är aktuella i det enskilda fallet. Blanketten skickas därefter till Verksamhetsstöd, antingen fysiskt eller i skyddad e-post. Blanketten signeras av Verksamhetsstöd och skickas tillbaka. Även om blanketten gått till Verksamhetsstöd i skyddad e-post så skickas ett fysiskt exemplar tillbaka till behörig chef. Den anställde kvitterar, och blanketten förvaras sedan i fysisk form hos chefen. Denna procedur görs minst en gång om året enligt internkontrollplanen. Närmaste chef beslutar om borttagning och inaktivering av behörigheter. Vid beslut om anställningens upphörande används en blankett som heter Beslut om behörigheter KFM, där alla behörigheterna tas bort. Personal- och organisationsadministrationen släcker ner kontot t.ex. när någon slutar eller vid längre tjänstledighet. Detta sker automatiskt vid ett beslut om tjänstledighet eller upphörande av anställning, och nedsläckningen får direkt genomslag i behörighetssystemet. Som Datainspektionen anför i sina allmänna råd Säkerhet för personuppgifter bör det finnas rutiner för tilldelning och kontroll av behörigheter. På myndigheter som KFM, som behandlar många personuppgifter och har många systemanvändare, är det enligt Datainspektionens mening nödvändigt att det finns sådana rutiner. Sida 6 av 10
KFM har utifrån sin verksamhet urformat goda rutiner för tilldelning, borttagning och ändring av behörigheter. Rutinerna ger i praktiken en uppföljning av tilldelade behörigheter. Det ger en god överblick över eventuella överflödiga behörigheter som kan finnas i systemet. Behandlingshistorik (loggar) och åtkomstkontroll (logguppföljning) KFM har uppgett att man dokumenterar vilka handläggare som haft elektronisk tillång till personuppgifter genom loggar. Man loggar per individ, kopplat till ett individuellt behörighetskonto som i sin tur är kopplat till folkbokföringen. Detta gäller alla system, även de äldre. KFM uppgav vid inspektionstillfället att man i Rex vid läsning kan se vilken fråga som ställts men att det är mycket svårt eller omöjligt att exakt se vad som visats för användaren. Den huvudsakliga anledningen är att utdata som skickas till användarens skärm inte loggas. Uppgifter i REX gallras också enligt gällande regler vilket kan innebära att uppgifter som visats vid ett tillfälle inte får finnas kvar vid ett senare tillfälle när en frågetransaktion upprepas. Åtkomstkontroll sker enbart vid misstanke om felaktig systemanvändning. Det loggas att en användare försökt göra något. Det loggas också huruvida personen i fråga lyckats göra något eller inte eftersom det kan finnas juridiska skillnader i förhållande till en fullbordad handling och en icke fullbordad. Begäran om åtkomstkontroll kan bara göras av ett fåtal högre chefer, ca tio st. Beställning skickas krypterat till en databas som är krypterad. Utredarna har bara tillgång till begränsade arbetssteg. Det är endast tre personer som har tillgång till hela kedjan. Om fler personer av någon anledning skulle bli inblandade och behöva kontrollera så får den nya personen endast tillgång till det lilla informationssnitt som hon eller han ska kunna kontrollera. Resultatet av utredningen skickas krypterat till behörig beställare och till den krypterade databasen där utredningen lagras. Inget görs utan att det finns en beställning från en behörig beställare. Regler för när man ska beställa en kontroll finns i anvisningarna. Obehörig beställning verkställs inte. Utredningarna sparas som längst ett år efter avslut, ofta kortare tid. Förfaringssättet utgår från LIS och anvisningarna. KFM har genomfört sex eller sju loggkontroller under 2008 för att se om någon obehörig åtkomst till uppgifterna förekommit. Det görs inga stickprovskontroller av medarbetarnas åtkomst till systemen. Sida 7 av 10
Av Datainspektionens allmänna råd framgår det att för att åtkomsten ska kunna kontrolleras bör det, beroende på känsligheten hos personuppgifterna, finnas en behandlingshistorik (logg) som sparas en viss tid. En behandlingshistorik bör följas upp och skyddas mot otillåtna ändringar. En behandlingshistorik bör normalt vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. Behandlingshistoriken bör, beroende på känsligheten hos personuppgifterna, ange till exempel läsning, ändring, utplåning eller kopiering av personuppgifter. En behandlingshistorik bör inte utformas eller utnyttjas så att den medför risk för intrång i personalens integritet. KFM har enligt vår bedömning tagit god hänsyn till de anställdas personliga integritet vid sin logguppföljning. Den interna sekretessen och i förlängningen skyddet för den personliga integriteten måste upprätthållas genom bland annat rutinerna för behörighetstilldelning samt utformningen av loggarna och logguppföljningen (jfr ovan under rubriken Behörighetskontrollsystemets utformning ). Logguppföljning sker endast vid misstanke om felaktig systemanvändning och alltså inte systematiskt och återkommande. KFM har många systemanvändare och behandlar stora mängder personuppgifter om ett stort antal personer. Det kan förekomma känsliga personuppgifter samt uppgifter om lagöverträdelser. Därför måste, förutom kontroll vid misstanke om felaktig systemanvändning, också verkningsfulla, systematiska och återkommande logguppföljningar göras i syfte att upptäcka och beivra obehörig åtkomst. KFM ska därför föreläggas att komma in med en skriftlig åtgärdsplan i vilken myndigheten ska ange hur man avser utföra systematisk och återkommande logguppföljning i syfte att upptäcka och beivra obehörig åtkomst av personuppgifter i myndighetens verksamhetssystem. Åtgärdsplanen ska innehålla en uppskattning om när åtgärderna kan vara införda. Information och utbildning Anställda som hanterar personuppgifter genomgår en interaktiv utbildning om säkerhet och informationssäkerhet när de anställs. Informationssäkerhet och fysisk säkerhet är viktiga delar i utbildningen. Riktlinjer och regler finns på Intranätet. Det finns ett utbildningspaket, som nu ses över, med åtta olika specialistutbildningar, beroende på vilken befattning man har. Anställda kan också gå externa utbildningar. Sida 8 av 10
KFM har angående information till anställda om åtkomstkontroller upplyst bl.a. att det ur deras interna dokument framgår att logguttag kan ske och där regleras närmare hur logguttagen ska gå till. Dokumenten finns publicerade på Intranytt KFM. I samband med anställningen undertecknas en förbindelse om tystnadsplikt där det bl.a. framgår att all kommunikation via brandväggsdatorn loggas när det gäller användning av Internet, e-post och datalagringsutrymme. Denna blankett är nu föremål för översyn och revidering där det ska förtydligas att utöver användningen av Internet och e-post kan loggning också ske vid användning av verksamhetsuppgifter. Vidare kommer under året en förändring att ske av Intranytt KFM för att uppnå tydligare tillgänglighet till information liknande denna. Det måste finnas tydliga instruktioner som anger under vilka förutsättningar myndighetens anställda får ta del av personuppgifter. Instruktionerna bör vara skriftliga och finnas allmänt tillgängliga för anställda, t.ex. på intranätet. Myndigheten bör också se till att alla som har tillgång till personuppgifter får relevant utbildning. Genom att ge de anställda en klar uppfattning om, vad som är tillåtet, vilka konsekvenserna blir om man bryter mot instruktionerna och andra bestämmelser, och hur efterlevnaden av instruktionerna följs upp minskas risken för otillåten åtkomst. KFM förefaller enligt vår bedömning ge sina anställda goda möjligheter till utbildning i informationssäkerhet. Anställda ges dessutom via KFM:s intraät tillgång till de regler och riktlinjer som gäller internt. Dessa åtgärder kan sammantaget bidra till att höja informationssäkerheten inom KFM. Mot bakgrund av dels den information som ges i dagsläget, dels det arbete som bedrivs inom KFM avseende tillgängligheten till, och innehållet i, informationen har vi inga synpunkter i denna del. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Sida 9 av 10
Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av teamledaren Britt-Marie Wester, IT-säkerhetsspecialisten Magnus Bergström, juristerna Lena Carlsson, Anna Hörnlund samt Lars Söderberg, föredragande. Göran Gräslund Lars Söderberg Sida 10 av 10