Ákvörðun um öryggisbrot við meðferð persónuupplýsinga hjá Borgarhólsskóla
Mál nr. 2017/1566
Persónuvernd hefur ákvarðað að birting trúnaðargagna um nemendur skólans, sem átti sér stað við öryggisbrot við flutning gagna yfir í skýþjónustu, hafi ekki samrýmst lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þá gerir Persónuvernd alvarlegar athugasemdir við að ekki hafi verið útbúin öryggiskerfi um þær persónuuppplýsingar sem unnar eru á vegum skólans, líkt og lög geri ráð fyrir. Jafnframt eru gerðar alvarlegar athugasemdir við vinnubrögð Advania, sem vinnsluaðila skólans, í málinu. Lagt er fyrir Borgarhólsskóla að útbúa öryggisstefnu, áhættumat og öryggisráðstafanir í samræmi við kröfur laga nr. 77/2000 og reglna nr. 299/2001. Þá er lagt fyrir skólann að sannreyna með viðeigandi hætti að Advania geti framkvæmt fullnægjandi öryggisráðstafanir, auk þess sem skólinn skal gera viðeigandi úrbætur á vinnslusamningi sínum við Advania.
Ákvörðun
Á fundi stjórnar Persónuverndar þann 30. apríl 2018 var kveðin upp svohljóðandi ákvörðun í máli nr. 2017/1566.
I.
Upphaf máls og bréfaskipti
1.
Þann 2. nóvember 2017 barst Persónuvernd tilkynning frá Norðurþingi f.h. Borgarhólsskóla, fyrst með símtali en síðar sama dag með tölvupósti, um öryggisbrot við meðferð persónuupplýsinga hjá Borgarhólsskóla á Húsavík. Í tilkynningunni kemur fram að tölvuþjónustufyrirtækið Advania, sem þjónusti skólann, hafi verið að færa gögn kennara og annarra starfsmanna Borgarhólsskóla af s.k. N-drifi yfir í skýjaþjónustu. Mistök hjá starfsmönnum Advania hafi orðið til þess að gögn, sem hýst voru á hörðum diski námsráðgjafa skólans, en ekki á N-drifinu, voru færð í skýið. Önnur mistök hafi orðið þegar starfsmenn Advania voru að lagfæra aðgangsstýringar, en höfðu fyrrgreindan námsráðgjafa sem prufunotanda og gerðu aðgengileg trúnaðargögn sem hann bjó yfir. Samkvæmt upplýsingum frá Advania hafi umræddir starfsmenn lokað aðganginum um leið, en sú aðgerð skilaði sér ekki og nemendur fengu tilkynningu um að gögn námsráðgjafans væru aðgengileg. Með þessu hafi allir nemendur Borgarhólsskóla fengið tímabundinn aðgang að trúnaðargögnum um aðra nemendur skólans. Umrædd gögn innihéldu meðal annars viðkvæmar persónuupplýsingar um nemendur skólans, til að mynda í máli sem tengdist einelti gagnvart nemanda.
Í tilkynningunni kemur fram að gögnin, sem um ræðir, hafi verið aðgengileg frá kl. 11.00, þann 1. nóvember 2017, þangað til grunnskólinn varð öryggisbrotsins var, kl. 12.20, þann 2. nóvember 2017. Þá hafi skólastjóri Borgarhólsskóla fengið upplýsingar um atvikið og haft samstundis samband við Advania, sem gerði lokaði fyrir aðganginn og hóf rannsókn á ástæðu, umfangi og aðdraganda atviksins.
Þá kemur fram að foreldrum nemenda í Borgarhólsskóla hafi samdægurs verið send tilkynning með tölvupósti um atvikið.
2.
Með tölvupósti, dags. 3. nóvember 2017, leiðbeindi Persónuvernd Norðurþingi f.h. Borgarhólsskóla um að fá mat óháðs þriðja aðila, sem væri sérfræðingur í upplýsingaöryggi, til að meta umfang atviksins. Þá óskaði Persónuvernd eftir nánari upplýsingum um atvikið. Var óskað eftir því að upplýst yrði hvort gerður hefði verið vinnslusamningur við Advania, í samræmi við 13. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sem og að afrit af honum yrði sent Persónuvernd. Þá var einnig óskað eftir upplýsingum um hvernig grunnskólinn hefði sannreynt að Advania gæti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit, sbr. 13. gr. laga nr. 77/2000.
Persónuvernd bárust umbeðin gögn með tölvupósti frá skrifstofu- og skjalastjóra Norðurþings þann 6. nóvember 2017. Þar kemur fram að það hafi verið mat skólastjórnenda Borgarhólsskóla að gögnin væru tryggilega geymd inni á læstu sérsvæði hvers kennara. Advania hafi aftur á móti lagt til og mælt með því að gögnin yrðu flutt í skýið. Þá fylgdu með framangreindum tölvupósti þeir samningar sem í gildi eru á milli Norðurþings og Advania.
Með tölvupósti þann 14. nóvember 2017, óskaði Persónuvernd eftir upplýsingum um stöðu málsins og hvort frekari upplýsingar lægju fyrir varðandi öryggisbrotið, s.s. varðandi þau gögn sem um var að ræða. Þá var ítrekuð beiðni Persónuverndar um upplýsingar varðandi það hvernig grunnskólinn hefði sannreynt að Advania gæti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Var í því sambandi meðal annars vísað til ákvæðis í almennum samningsskilmálum, sem fram komu í fylgiskjali við samning um hýsingu og rekstur, en þar segir að Advania teljist vera vinnsluaðili og viðskiptavinur (Norðurþing) ábyrgðaraðili. Þá var jafnframt óskað eftir því að stofnuninni bærust afrit af öryggisstefnu, áhættumati og lýsingu á öryggisráðstöfunum skólans.
Svar barst frá [starfsmanni] Norðurþings með tölvupósti, dags. 24. nóvember 2017. Kemur þar meðal annars fram að Borgarhólsskóli hafi ekki haft þá tæknilegu þekkingu til að sannreyna hvort Advania gæti framkvæmt viðeigandi öryggisráðstafanir, heldur hafi ábyrgðaraðili treyst Advania fyrir því að fyrirtækið, sem vinnsluaðili, gæti framkvæmt örugga vinnslu persónuupplýsinga, enda hafi fyrirtækið alþjóðlega vottun upplýsingaöryggi samkvæmt ÍST ISO/IEC 27001 Upplýsingatækni - Öryggistækni - Stjórnkerfi upplýsinga - Kröfur, en í því felist ákveðin trygging fyrir ábyrgðaraðila. Borgarhólsskóli hafi auk þess hvorki fjármagn né burði til að fá þriðja aðila til að meta hvort vinnsluaðili geti framkvæmt þau verk sem samið er um. Varðandi beiðni Persónuverndar um afrit af öryggisstefnu, áhættumati og lýsingu á öryggisráðstöfunum skólans kemur fram að þau gögn séu ekki fyrir hendi, umfram þær handbækur og skjalavistunaráætlanir sem fylgdu með svarinu.
Svari Norðurþings, dags. 24. nóvember 2017, fylgdi minnisblað frá Advania, dags. 9. s.m., þar sem er að finna nánari lýsingu á atvikinu. Kemur þar meðal annars fram að verkefnið hafi snúist um að flytja notendagögn af gagnaþjónum Norðurþings yfir í OneDrive, sem sé eitt af þeim svæðum sem hýsa gögn í Office 365 umhverfi grunnskólans. OneDrive sé notað fyrir gagnageymslu á persónulegum gögnum hvers og eins notanda. Uppruna atviksins megi rekja til rangra aðgangsskilgreininga á svæði viðkomandi starfsmanns. Aðgangsskilgreiningarnar urðu rangar í kjölfar vinnu tæknimanns við bilanagreiningu á vandamálum sem komu upp við gagnaflutningana. Var skráarsvæði umrædds starfsmanns opið öllum í Office 365 kerfum skóla Norðurþings, en þegar atvikið uppgötvaðist var strax farið í að loka fyrir aðgengi að gögnum og aðgangsheimildir afturkallaðar.
Persónuvernd barst ennfremur þann 29. nóvember 2017 afrit af atvikaskýrslu Syndis vegna málsins, en það fyrirtæki sérhæfir sig í upplýsingaöryggi. Kemur þar meðal annars fram að Syndis hafi verið beðið um að leggja mat á hvort hægt væri að fá upplýsingar um hvaða skjöl hafi verið opnuð og hugsanlega dreift, hverjir hafi gert það, og lagt þannig mat á umfang atviksins. Í skýrslunni er að finna tímalínu í málinu, en sá fyrirvari er til dæmis gerður að Syndis geti ekki fullyrt að enginn þeirra aðila, sem samhýstir voru með Borgarhólsskóla, alls 472 notendur, hafi opnað skjöl sem tilheyrðu Borgarhólsskóla, þótt telja megi það ólíklegt nema að einhverjir þeirra hafi vitað um aðgengið. Þá er ekki hægt að útiloka að einhver skjöl hafi verið opnuð af nemendum frá tölvum utan skólans auk þess sem ekki sé hægt að staðfesta að myndir hafi verið teknar af skjölum og þær séu enn til staðar á símum eða öðrum tækjum þeirra sem sáu/opnuðu skjölin. Auk þess er tekið fram að rannsóknin beindist einungis að tveimur tölvum í eigu Borgarhólsskóla. Í skýrslu Syndis kemur aftur á móti fram að tiltekin skjöl hafi verið opnuð, auk þess sem önnur þar tilgreind skjöl hafi hugsanlega verið opnuð.
II.
Ákvörðun Persónuverndar
1.
Gildissvið
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Þá segir í 1. mgr. 9. gr. reglugerðar nr. 897/2009, um miðlun og meðferð upplýsinga um nemendur í grunnskólum og rétt foreldra til aðgangs að upplýsingum um börn sín, að skólastjóri beri ábyrgð á meðferð og vörslu upplýsinga og að uppfylltar séu þær kröfur sem gerðar eru til ábyrgðaraðila samkvæmt lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og lögum nr. 66/1985 um Þjóðskjalasafn Íslands, nú lögum nr. 77/2014 um opinber skjalasöfn. Eins og hér háttar til telst Borgarhólsskóli því vera ábyrgðaraðili að umræddri vinnslu.
2.
Lagaumhverfi og sjónarmið
Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Má þar nefna að aflað sé samþykkis, sbr. 1. tölul. 1. mgr. þeirrar greinar, eða að vinnslan sé nauðsynleg til að gæta lögmætra hagsmuna, enda vegi grundvallarréttindi og frelsi hins skráða ekki þyngra, sbr. 7. tölul. sömu málsgreinar. Þá verður vinnsla viðkvæmra persónuupplýsinga, s.s. heilsufarsupplýsinga, sbr. 8. tölul. 2. gr. sömu laga, að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna. Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu.
Samkvæmt þeim upplýsingum sem liggja fyrir í máli þessu var birting framangreindra persónuupplýsinga afleiðing mistaka og engin heimild fyrir henni samkvæmt 1. mgr. 8. gr. og 1. mgr. 9. gr. laga nr. 77/2000. Var hún því andstæð ákvæðum laganna.
Öll vinnsla persónuupplýsinga þarf jafnframt að samrýmast meginreglum 7. gr. laga nr. 77/2000. Samkvæmt 1. tölul. 1. mgr. 7. gr. skal þess gætt við meðferð persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga. Liður í því að tryggja vandaða vinnsluhætti er að uppfylla kröfur um upplýsingaöryggi. Í upplýsingaöryggi felst meðal annars að persónuupplýsingum sé leynt gagnvart óviðkomandi og að þær séu einungis aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda.
Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr. 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga. Í 11. gr. er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.
Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði 11. gr. laga nr. 77/2000, sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.
Persónuvernd hefur sett nánari reglur um öryggi persónuupplýsinga, nr. 299/2001. Í 2. tölul. 3. gr. reglnanna eru ábyrgðaraðilum veittar nánari leiðbeiningar um hvernig skuli standa að gerð áhættumats. Þar segir að áhættumat sé mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat taki einnig til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið sé með. Markmið áhættumats sé að skapa forsendur fyrir vali á öryggisráðstöfunum, sbr. III. kafla reglnanna. Þá skuli tilgreina hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku.
Samkvæmt 12. gr. laga nr. 77/2000, sbr. nánari fyrirmæli í 8. gr. reglna nr. 299/2001, skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.
Samkvæmt 13. gr. laganna, sbr. einnig 9. gr. reglnanna, er ábyrgðaraðila heimilt að semja við annan aðila um að annast, í heild eða að hluta til, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á, en í lögunum er slíkur aðili nefndur vinnsluaðili, þ.e. aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. laganna. Eins og fram kemur í 13. gr. laganna og 9. gr. reglnanna er umrædd samningsgerð þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að vinnsluaðilinn geti viðhaft þær öryggisráðstafanir sem um vinnsluna gilda og framkvæmt innra eftirlit með henni. Þá skal hann gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. Jafnframt vekur Persónuvernd athygli á leiðbeiningum til ríkisstofnana um notkun á tölvuskýjalausnum, dags. 17. nóvember 2016, sem er að finna á vefsíðu fjármála- og efnahagsráðuneytis.
3.
Um öryggi vinnslu persónuupplýsinga hjá ábyrgðaraðila
Samkvæmt reglum nr. 299/2001 skal ábyrgðaraðili útbúa öryggiskerfi og byggja það á skriflegri öryggisstefnu og skriflegu áhættumati. Á grundvelli áhættumats skal ákveða nauðsynlegar öryggisráðstafanir, sem kemur til dæmis sérstaklega til skoðunar við ákvörðun um að flytja gögn í skýþjónustu.
Í skriflegum svörum Norðurþings kemur fram að áðurnefnd skjöl, sem reglur nr. 299/2001 gera ráð fyrir að séu til staðar, hafi ekki verið útbúin. Var öryggisráðstöfunum Borgarhólsskóla því ábótavant hvað þetta varðar og gerir Persónuvernd alvarlegar athugasemdir við að ekki hafi verið útbúið öryggiskerfi um þær persónuupplýsingar sem unnar eru á vegum skólans, líkt og lög gera ráð fyrir.
Í skýrslu Advania kemur fram að unnt sé að skrá skjalaaðgang í atburðaskrá en að slökkt hafi verið á þeirri stillingu. Persónuvernd bendir á að mikilvægt er að atburðaskrá sé í kerfum þar sem viðkvæmar persónuupplýsingar geta verið skráðar. Jafnframt er mikilvægt, þegar gögn eru flutt eða aðgangsheimildum er breytt, að sannreyna að aðgangur sé með þeim hætti sem ætlað er. Verður að telja verulega ámælisvert að fyrirtæki, sem veitir sérfræðiþjónustu á þessu sviði, skuli viðhafa slík vinnubrögð.
Hvað varðar það hvort vinnslusamningur hafi verið til staðar líkt og áskilið er í 13. gr. laga nr. 77/2000 liggur fyrir þjónustusamningur á milli Norðurþings og Advania hf., dags. 26. nóvember 2015. Í almennum samningsskilmálum, sem fram koma í fylgiskjali 1 við samninginn, segir, að að svo miklu leyti sem samningurinn kann að taka til vinnslu persónuupplýsinga fyrir viðskiptavin teljist Advania vera vinnsluaðili og viðskiptavinur ábyrgðaraðili í skilningi laga nr. 77/2000. Við slíka vinnslu sé vinnsluaðila einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila nema lög mæli fyrir á annan veg. Skyldur ábyrgðaraðila samkvæmt fyrrgreindum lögum gildi einnig um þá vinnslu sem vinnsluaðili annast. Í samningnum kemur aftur á móti ekki nánar fram hver fyrirmæli ábyrgðaraðila um vinnslu persónuupplýsinga séu og telur Persónuvernd, í ljósi eðlis þeirra persónuupplýsinga sem hér um ræðir, þ.e. viðkvæmar persónuupplýsingar um nemendur í grunnskóla, þurfi að liggja fyrir skýr fyrirmæli ábyrgðaraðila um hvernig vinnsluaðili skuli starfa þegar hann vinnur verkefni fyrir hönd ábyrgðaraðila.
Er því lagt fyrir ábyrgðaraðila að gera viðeigandi úrbætur á vinnslusamningi sínum við Advania þannig að samningurinn uppfylli ákvæði laga nr. 77/2000, sbr. 13. gr. varðandi trúnaðarskyldu vinnsluaðila við meðferð persónuupplýsinga og sendi Persónuvernd afrit af þeim samningi fyrir 20. maí 2018. Þá þarf að athuga að áætlað er að ný persónuverndarlöggjöf taki gildi á þessu ári, sem innleiðir reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipurnar 95/46/EB, en í henni eru gerðar mun ítarlegri kröfur til efnis vinnslusamninga en lög gera ráð fyrir í dag.
4.
Í málinu liggur fyrir að ábyrgðaraðili tilkynnti Persónuvernd um atvikið að eigin frumkvæði án ótilhlýðilegrar tafar, sama dag og hann varð öryggisbrotsins var. Þá brást ábyrgðaraðili strax við þegar atvikið kom upp til að takmarka tjón og gera viðeigandi ráðstafanir til að koma í veg fyrir að upplýsingar yrðu gerðar aðgengilegar fleiri óviðkomandi en þegar var orðið. Ennfremur voru foreldrar upplýstir án ótilhlýðilegrar tafar um atvikið með greinargóðum hætti, í formi sérstaks tölvupósts um atvikið, enda um að ræða öryggisbrot sem líklegt má telja að geti leitt af sér mikla áhættu fyrir réttindi og frelsi þeirra nemenda sem upplýsingarnar vörðuðu, en hér var um að ræða viðkvæmar upplýsingar sem vörðuðu börn. Þá innihélt tilkynning ábyrgðaraðila til Persónuverndar nauðsynlegar upplýsingar um atvikið, auk þess sem Persónuvernd voru til viðbótar veittar umbeðnar upplýsingar með greinargóðum hætti, eftir því sem þær lágu fyrir. Að mati Persónuverndar greip ábyrgðaraðili því til fullnægjandi ráðstafana til að lágmarka það tjón sem gat hlotist af framangreindu öryggisbroti.
Telur Persónuvernd af þessum sökum ekki ástæðu til að aðhafast frekar vegna þessa.
Ákvörðunarorð
Birting trúnaðargagna um nemendur Borgarhólsskóla samrýmdist ekki lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Persónuvernd gerir alvarlegar athugasemdir við að ekki hafi verið útbúið öryggiskerfi um þær persónuupplýsingar sem unnar eru á vegum skólans, líkt og lög gera ráð fyrir. Þá gerir Persónuvernd alvarlegar athugasemdir við fyrrgreind vinnubrögð Advania.
Lagt er fyrir Borgarhólsskóla að útbúa öryggisstefnu, áhættumat og öryggisráðstafanir í samræmi við kröfur laga nr. 77/2000 og reglna nr. 299/2001. Þá er lagt fyrir skólann að sannreyna með viðeigandi hætti að Advania geti framkvæmt fullnægjandi öryggisráðstafanir, auk þess sem skólinn skal gera viðeigandi úrbætur á vinnslusamningi sínum við Advania. Skal Borgarhólsskóli senda Persónuvernd framangreind gögn fyrir 20. maí næstkomandi.