Skriftlig spørsmål fra Ulf Erik Knudsen (FrP) til fornyings- og administrasjonsministeren

Dokument nr. 15:1176 (2007-2008)
Innlevert: 28.05.2008
Sendt: 28.05.2008
Besvart: 05.06.2008 av fornyings- og administrasjonsminister Heidi Grande Røys

Ulf Erik Knudsen (FrP)

Spørsmål

Ulf Erik Knudsen (FrP): Hva vil statsråden gjøre for å øke oppmerksomhet om problemene rundt datasikring, og hva vil statsråden gjøre for å sikre en bedre kontroll, og en bedre forståelse, for at paragraf 13 i personopplysningsloven overholdes?

Begrunnelse

En undersøkelse foretatt for Nasjonal Sikkerhetsdag viser at offentlig virksomhet så vel som de fleste private bedrifter ikke har foretatt en risikovurdering av hvordan de behandler sikkerheten av personalopplysninger, til tross for at personopplysningslovens paragraf 13 pålegger at tilfredsstillende informasjonssikkerhet ivaretas. Også personlige opplysninger av sensitiv karakter er ofte usikret og kan lett komme på avveie.

Heidi Grande Røys (SV)

Svar

Heidi Grande Røys: Personopplysningsloven pålegger den behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet i sin behandling av personopplysninger, jf. personopplysningsloven § 13. Sikkerhetsarbeidet skal drives planmessig og systematisk, jf. bestemmelsen om internkontroll i personopplysningsloven § 14, og risikonivået skal forankres i en risikovurdering, jf. personopplysningsforskriften § 2-4.

Datatilsynet er tilsynsmyndighet på personopplysningslovens område.

På samme måte som alt annet arbeid med sikkerhet og beredskap tar sikkerhetsarbeidet i statlig sektor utgangspunkt i tre bærende tre prinsipper; ansvarsprinsippet, likhetsprinsippet og nærhetsprinsippet. Dette innebærer at alt arbeid med IKT-sikkerhet i hovedsak foregår i sektorene, og da primært innen den enkelte virksomhet. Fornyings- og administrasjonsdepartementets samordningsansvar for IKT-sikkerhet er forankret i samordningsansvaret for IT-politikken, og gjelder bare den forebyggende innsatsen på området, Ansvaret for å klarlegge risikonivå og iverksette sikkerhetstiltak ligger, jf. overnevnte prinsipp, i linjen i de ulike forvaltningsgrener.

Regjeringen er opptatt av at informasjonssikkerheten skal være god, både i offentlig sektor og ellers. Jeg vil her kort nevne noen av tiltakene som setter datasikring og risikovurderinger i fokus.

Fornyings- og administrasjonsdepartementet har i samarbeid med Justisdepartementet, Forsvarsdepartementet og Samferdselsdepartementet utarbeidet nasjonale retningslinjer for å styrke informasjonssikkerheten 2007-2010. Retningslinjene understreker bl.a. viktigheten av å gjennomføre risiko- og sårbarhetsanalyser, særlig gjelder dette for kritisk infrastruktur. Retningslinjene ble sendt ut til alle departementer 11.02.08, og FAD har i denne forbindelse bedt om departementenes tilbakemelding mht hvordan retningslinjene vil bli fulgt opp i den enkelte sektor.

I april 2008 publiserte Fornyingsdepartementet et rammeverk for autentisering og uawiselighet ved kommunikasjon med og i offentlig sektor. Rammeverket er et hjelpemiddel for offentlige virksomheter som skal sikre samhandling på åpne og lukkede nett Dette rammeverket definerer fire risikonivåer som kan benyttes i virksomhetenes risikovurderinger. Anbefalingene gjelder gjennomføring av risikoanalyse og valg av sikkerhetsnivå ved behov for autentisering av brukere av elektroniske tjenester i forvaltningen samt brukere i offentlig sektor som kommuniserer internt. Videre inneholder rammeverket overordnede anbefalinger for valg av sikkerhetsnivå ved behov for å knytte en bruker til en elektronisk transaksjon (uawiselighet, "signering").

Undersøkelsen som ble presentert på Nasjonal sikkerhetsdag viste at bare om lag halvparten avlederne i de forespurte virksomhetene kunne bekrefte at de har gjennomført risikovurderinger. Ved nærmere studium av undersøkelsen nyanseres bildet. Det er naturlig nok betydelige forskjeller mellom mindre og større virksomheter, mens mange av lederne svarer "vet ikke" på spørsmålene, og det synes å være større evne til å gjennomføre konkrete sikkerhetstiltak enn på å velge tiltak basert på en systematisk risikovurdering. Undersøkelsen bekrefter imidlertid Datatilsynets erfaringer fra tilsynsarbeidet om at det relativt ofte er en mangelfull etterlevelse når det gjelder bestemmelsene om internkontroll og informasjonssikkerhet i hht personopplysningsloven, jf. Datatilsynets årsmeldinger senere år. Det er ikke tilfredsstillende, Når arbeidet ikke utføres på en tilstrekkelig systematisk måte, kan faren for sikkerhetsbrudd øke.

Datatilsynet gjennomfører hvert år minst 130 tilsyn hos de behandlingsansvarlige. Vi minner likevel om at det er den behandlingsansvarlige som selv plikter å påse at personopplysningsloven etterleves, og at etterlevelse i hovedsak må forutsette at vi har med ansvarlige virksomheter å gjøre. Et sentralt punkt er derfor at virksomhetene er kjent med sine plikter. For å støtte Datatilsynet i dette arbeidet, ble det i 2007 bevilget ekstra ressurser til å utvikle veiledningsmateriell i hvordan internkontrollen kan innrettes for å etterleve personopplysningslovens krav, herunder plikten til å ha tilfredsstillende informasjonssikkerhet basert på risikovurderinger.

For 2008 er Datatilsynet i tildelingsbrevet bedt særskilt om å prioritere arbeid med å få virksomhetene til å ta i bruk dette materiellet. Vi antar dette arbeidet vil bidra til økt oppmerksomhet om problemene rundt datasikring.

Det er dessuten viktig å sørge for at Datatilsynet har tilstrekkelige formelle virkemidler til å håndheve regelverket når de kommer over alvorligere overtredelser i sin tilsynsvirksomhet I dag er situasjonen at virksomheter som ikke har gjennomført nevnte vurderinger, kan få et pålegg om å gjøre det, og kan ilegges en tvangsmulkt som løper frem til pålegget er oppfylt Fornyings- og administrasjonsdepartementet sendte høsten 2006 på høring et forslag om at Datatilsynet skal få adgang til å ilegge overtredelsesgebyr ved brudd på loven. Et overtredelsesgebyr kan fungere som et "ris bak speilef som vil bidra til bedre etterlevelse av lovens krav. Forslaget blir vurdert som ledd i arbeidet med en proposisjon som Justisdepartementet har under utarbeidelse om endringer i personopplysningsloven. Regjeringen tar sikte på å fremme proposisjonen for Stortinget før sommeren.