Niðurstaða úttektar á öryggiskerfi lífsýnasafns Hjartaverndar
I.
Boðun úttektar og bréfaskipti
Með bréfi Persónuverndar til Hjartaverndar, dags. 30. júlí 2002, var, með vísan til 2. tl. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, boðuð úttekt á öryggiskerfi lífsýnasafns samtakanna. Eins og greint var frá í bréfinu er úttektin liður í heildstæðri athugun Persónuverndar á öryggi persónuupplýsinga hjá flestum lífsýnasöfnum á landinu.
Í framangreindu bréfi óskaði Persónuvernd eftir því að Hjartavernd legði fram skrifleg gögn um öryggiskerfi lífsýnasafnsins, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. og 3. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, þ.e. öryggisstefnu, áhættumat og lýsingu á öryggi ráðstöfunum.
Nokkuð dróst að Persónuvernd bærust umbeðin gögn, þar sem Hjartavernd fór fram á það við Persónuvernd að fá frest til þess að afhenda gögnin, fyrst með bréfi, dags. 4. september 2002, og síðan aftur með bréfi, dags. 27. nóvember 2002. Þann 17. janúar 2003 bárust Persónuvernd umbeðin gögn frá Hjartavernd, þ.e. "Handbók um öryggi gagna", dags. 15. s.m.
Með bréfi Persónuverndar, dags 13. desember 2002, voru Hjartavernd kynntar hugmyndir stofnunarinnar um framhald úttektarinnar. Þá var gerð grein fyrir áætluðum kostnaði samtakanna vegna hennar, sbr. 4. mgr. 37. gr. laga nr. 77/2000. Með bréfi Hjartaverndar, dags. 15. janúar, voru hins vegar gerðar athugasemdir við fjárhæð kostnaðaráætlunarinnar. Af þessu tilefni og vegna anna Persónuverndar við framkvæmd úttekta á öryggi persónuupplýsinga hjá öðrum ábyrgðaraðilum var ákveðið að slá úttektinni á frest um óákveðinn tíma, sbr. bréf þess efnis til Hjartaverndar dags. 14. febrúar 2003. Var þess jafnframt getið í bréfinu að Hjartavernd yrði tilkynnt um framhald úttektarinnar með hæfilegum fyrirvara.
Með bréfi Persónuverndar, dags. 21. október 2003, var Hjartavernd tilkynnt um þá ákvörðun Persónuverndar að halda úttektinni áfram. Bréfinu fylgdi jafnframt endurskoðuð kostnaðaráætlun sem Hjartavernd var gefið færi á að gera athugasemdir við. Þann 11. desember 2003 féllst Hjartavernd á umrædda kostnaðaráætlun með tilteknum fyrirvara, sbr. bréf samtakanna þess efnis dagsett sama dag. Gerði Persónuvernd fyrir sitt leyti ekki athugasemd við þann fyrirvara.
II.
Aðkoma sérfræðings að úttektinni og
skýrsla hans um niðurstöðu vettvangsathugunar
1.
Þann 9. janúar 2004 gerði Persónuvernd samning við verkfræði- og tölvuþjónustufyrirtækið Stika um framkvæmd vettvangsathugunar á starfsstöð lífsýnasafns Hjartaverndar og um að Persónuvernd yrði afhent skýrsla um niðurstöðu hennar. Eru sérfræðingar félagsins sem unnu samkvæmt samningnum bundnir trúnaðar- og þagnarskyldu um það sem þeir urðu áskynja um í störfum sínum fyrir Persónuvernd, sbr. ákvæði samnings og skriflegar yfirlýsingar þar að lútandi.
Samkvæmt samningnum skyldi sérfræðingur á vegum Stika, þ.e. Svana Helen Björnsdóttir verkfræðingur, fara yfir gögn frá Hjartavernd, s.s. öryggisstefnu, áhættumat og verklýsingar af ýmsu tagi. Því næst skyldi hún heimsækja þá staði þar sem vinnsla samtakanna á persónuupplýsingum færi fram og staðfesta að verklag væri með þeim hætti sem lýst væri í framlögðum gögnum. Að þessu loknu skyldi hún skila Persónuvernd lokaskýrslu um niðurstöður vettvangsskoðunarinnar, þar sem fram kæmi álit hennar á því hvort að vinnsla Hjartaverndar fullnægði kröfum öryggisreglna Persónuverndar nr. 299/2001.
2.
Við framkvæmd úttektar á starfsstöð Hjartaverndar í febrúarmánuði voru haldnir tveir fundir með forsvarsmönnum samtakanna auk þess sem vettvangsskoðun fór fram. Greint er frá niðurstöðum þessarar skoðunar í skýrslu Svönu Helen Björnsdóttur frá mars 2004. Í niðurstöðukafla skýrslunnar er lagt mat á þau skriflegu gögn um öryggi persónuupplýsinga sem lögð voru fram af hálfu ábyrgðaraðila safnsins og liggja til grundvallar úttektinni, þ.e. öryggisstefna og áhættumat Hjartaverndar.
Um öryggisstefnu samtakanna segir eftirfarandi:
Um áhættumat Hjartaverndar segir eftirfarandi:
Þá er lagt heildstætt mat á það hvort að öryggiskerfi lífsýnasafns Hjartaverndar, þ.m.t. öryggishandbók þess, fullnægi kröfum laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, auk reglna nr. 299/2001 sem settar hafa verið með stoð í lögunum. Um þetta segir í skýrslunni:
3.
Varðandi umfjöllun um einstaka efnisþætti í öryggiskerfinu er í skýrslunni fylgt efnisröðun öryggisstaðalsins ÍST ISO 17799:2000, en í kafla hennar um skipulag öryggismála er jafnframt tekið mið af reglum Persónuverndar nr. 918/2001, um öryggi við meðferð og varðveislu lífsýna í lífsýnasöfnum. Ekki eru talin vera efni til þess að fjalla sérstaklega um þær öryggisráðstafanir sem að við skoðun reyndust vera, að mati skýrsluhöfundar, í samræmi við kröfur öryggisreglna Persónuverndar nr. 299/2001 og fyrrgreindar reglur nr. 918/2001. Hins vegar verður farið yfir þau atriði í öryggiskerfi Hjartaverndar sem skýrsluhöfundur taldi gefa tilefni til athugasemda í ljósi nefndra reglna.
3.1. Flokkun eigna og stýring þeirra
Í öryggishandbók Hjartaverndar eru helstu upplýsingaeignir samtakanna teknar saman í sjö eignahópa, sem þar er gerð nánari grein fyrir. Varðandi þessa flokkun upplýsingaeigna segir í skýrslu sérfræðingsins:
3.2. Starfsmenn og öryggi
Í 3. tl. 5. gr. reglna nr. 299/2001 segir að gera skuli eftirfarandi öryggisráðstafanir varðandi starfsmannamál, sbr. og 2. mgr. 7. gr. reglna nr. 918/2001: "Skilgreina með skýrum hætti hlutverk og skyldur hvers starfsmanns sem hefur aðgang að persónuupplýsingum, þ.á m. hverjir beri ábyrgð á einstökum skráasöfnum.". Þá segir í 6. tl. 5. gr. reglna nr. 918/2001, sbr. og 3. mgr. 7. gr. þeirra, að í skriflegri lýsingu á stjórnun öryggismála lífsýnasafns skuli eftirfarandi koma fram: "Hvaða leiðbeiningar starfsmenn hafi fengið um viðbrögð við öryggisógnun og öryggisbrotum."
Í kafla um starfsmenn og öryggi segir eftirfarandi í skýrslu sérfræðingsins:
Í öryggishandbók er fjallað um viðbrögð við misnotkun gagna og í skipulagsskrá lífsýnasafns er fjallað um brot á öryggisreglum. Fram kemur að öryggisstjóri skuli rannsaka mál og tilkynna forstöðulækni um niðurstöður sínar. Forstöðulæknir ákveði síðan frekari aðgerðir. Ekki liggur fyrir hvaða leiðbeiningar starfsmenn fá varðandi viðbrögð við öryggisógnum og öryggisbrotum."
3.3. Stjórnun á rekstrarsamfellu
Rekstraraðili lífsýnasafns skal viðhafa sérstakar ráðstafanir til að draga úr hættu á truflunum, að rekstur rofni eða lífsýni og öryggi skaðist, af völdum náttúruhamfara, slysa, bilunar í búnaði eða skemmdarverka, sbr. nánar efni 2. mgr. 6. gr. reglna nr. 918/2001, sbr. og 3. tl. 3. gr. reglna nr. 299/2001.
Um öryggisráðstafanir í þessu sambandi segir eftirfarandi í skýrslu sérfræðingsins:
3.4. Öryggi persónuupplýsinga við förgun
Vikið er sérstaklega að förgun persónuupplýsinga í skýrslu sérfræðingsins, en þar segir:
III.
Athugasemdir málsaðila við skýrslu sérfræðings
Með bréfi Persónuverndar, dags. 2. apríl 2004, var Hjartavernd send skýrsla sérfræðingsins og samtökunum boðið að gera athugasemdir við hana. Athugasemdir Hjartaverndar bárust Persónuvernd með bréfi, dags 28. maí 2004, og voru þær svohljóðandi:
Í tilefni af athugasemdum í skýrslu sérfræðingsins varðandi starfsmenn og öryggi, þ.e. að ekki hafi komið fram hvort starfslýsingar væru til fyrir alla starfsmenn eða hvort sérstaklega væri getið um ábyrgð á upplýsingaöryggi í þeim, þótti Persónuvernd að leita eftir skýringum Hjartaverndar á þessu tiltekna atriði, sbr. bréf stofnunarinnar dags. 2. júlí 2004. Svar Hjartaverndar barst Persónuvernd með bréfi, dags. 15. júlí sl., en í því segir m.a. eftirfarandi:
Varðandi meðferð persónuupplýsinga í vísindagrunni þá eru þær alfarið í höndum gagnagrunnsstjóra Hjartaverndar (sem nú er Ingólfur Þór Ágústsson verkfræðingur) sem ber ábyrgð á og stýrir aðgangi vísindamanna að vísindagrunninum. Um verklag og hans skyldur er ítarlega fjallað í öryggishandbók Hjartaverndar. [...]
Við teljum að samkvæmt 3 tl. 5. gr. reglna nr. 299/2001 og 2. mgr. 7. gr. reglna nr. 918/ 2001 falli einungis starf gagnagrunnsstjóra undir ofangreindar reglur og að lýsing á starfi hans og skyldum í öryggishandbók Hjartaverndar uppfylli þær að fullu enda ekki gerð sérstök athugasemd um það af hálfu úttektaraðila í skýrslu Svönu Helenar Björnsdóttur."
IV.
Niðurstaða
1.
Lög nr. 77/2000 fjalla um vinnslu persónuupplýsinga. Samkvæmt 1. tölul. 1. mgr. 2. gr. laganna er með persónuupplýsingum átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Eru lífsýni því talin til persónuupplýsinga nema þau séu varðveitt án auðkenna sem rekja megi til tiltekinna einstaklinga og séu eðli sínu samkvæmt ekki þannig að þau beri með sér persónuauðkenni, s.s. DNA. Lífsýni sem bera hins vegar með sér erfðaefni (DNA) teljast til persónuupplýsinga, þótt þau beri ekki með sér auðkenni s.s. nafn eða númer, enda geta þau eðli sínu samkvæmt ekki talist ópersónugreinanleg séu til staðar samanburðargögn sem gera unnt að rekja sýnin til tiltekinna einstaklinga.
Samkvæmt 2. tölul. 1. mgr. 2. gr. laganna er með vinnslu átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn. Með vinnslu er þannig t.d. átt við söfnun og skráningu og undir það fellur m.a. flokkun, varðveisla, breyting, leit og miðlun. Af því leiðir að starfsemi lífsýnasafns sem felst í söfnun lífsýna, vörslu, meðferð, nýtingu og vistun þeirra telst til vinnslu persónuupplýsinga í þessum skilningi. Fellur mál þetta því undir gildissvið laga nr. 77/2000 og þar með undir ákvörðunarvald Persónuverndar.
2.
Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju af skilyrðum 8. og/eða 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 8. gr. laganna, en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 9. gr. laganna. Heilsufarsupplýsingar, þ. á m. um erfðaeiginleika og annað sem lífsýni bera með sér, teljast til viðkvæmra persónuupplýsinga, sbr. c-lið 1. mgr. 2. gr. laga nr. 77/2000.
Við mat á því hvort sú vinnsla sem fram fer hjá lífsýnasafni Hjartaverndar uppfylli skilyrði framangreindra ákvæða og sé þar með lögmæt verður að líta til þess að um starfsemi lífsýnasafna fer samkvæmt lögum nr. 110/2000 um lífsýnasöfn. Gildissvið þeirra er skilgreint í 2. gr. Þar kemur fram að lögin gilda um söfnun lífsýna, vörslu, meðferð, nýtingu og vistun þeirra í lífsýnasöfnum. Þau gilda ekki um tímabundna vörslu lífsýna sem safnað er vegna þjónusturannsókna, meðferðar eða afmarkaðra vísindarannsókna, enda sé slíkum sýnum eytt þegar þjónustu, meðferð eða rannsókn lýkur. Í 2. tl. 9. gr. laga nr. 77/2000 kemur fram að vinnsla viðkvæmra persónuupplýsinga er heimil standi sérstök heimild til hennar samkvæmt öðrum lögum. Að því virtu að starfsemi umrædds lífsýnasafns byggir á lögum nr. 110/2000 og hefur fengið leyfi heilbrigðisráðherra, dags. 4. febrúar 2004, telst vinnslan falla undir skilyrði framangreinds töluliðar og vera lögmæt. Hafa ber í huga að einstök ákvæði lífsýnalaga takmarka heimildir lífsýnasafna til vinnslu persónuupplýsinga sem ella kynni að vera heimil samkvæmt ákvæðum laga nr. 77/2000. Hins vegar varðar úttekt Persónuverndar nú aðeins þá vinnslu sem fellur undir gildissvið laga nr. 110/2000, s.s. hvort að fullnægt sé kröfum þeirra um öryggisráðstafanir, en ekki aðra vinnslu á vegum Hjartaverndar, þ. á m. vegna afmarkaðra vísindarannsókna. Að því er varðar mat á því hvort vinnslan uppfylli skilyrði 1. mgr. 8. gr. laga nr. 77/2000 má einkum líta til 1. tl. um samþykki hins skráða, en fyrir liggur að þeirra lífsýna sem varðveitt eru í safninu hefur verið aflað á grundvelli upplýsts samþykkis.
3.
Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001.
Í 11. gr. er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.
Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að fullnægja ákvæðum þessarar greinar, sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.
Samkvæmt 12. gr. skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.
Samkvæmt 13. gr. skal hann og gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr.
Auk ofangreindra ákvæða laga nr. 77/2000 verður að líta til sérákvæða í lögum nr. 110/2000 um lífsýnasöfn. Samkvæmt 8. tl. 5. gr. þeirra er það gert að skilyrði fyrir veitingu leyfis til reksturs lífsýnasafns "að öryggismat og öryggisráðstafanir við söfnun og meðferð lífsýna séu í samræmi við reglur sem Persónuvernd setur um öryggi persónuupplýsinga í lífsýnasöfnum". Með stoð í þessu ákvæði hefur Persónuvernd sett reglur nr. 918/2001, um öryggi við meðferð og varðveislu lífsýna í lífsýnasöfnum. Við framkvæmd úttektarinnar var sérstaklega tekið mið af kröfum umræddra reglna, enda mynda þær sérstakan réttargrundvöll fyrir öryggisúttektir á lífsýnasöfnum.
4.
Með vísan til 2. tl. 3. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. og 2. mgr. 12. gr. laga nr. 110/2000, um lífsýnasöfn, hefur Persónuvernd, með aðstoð sérfræðings, látið framkvæma athugun á því hvort uppfyllt séu fyrirmæli framangreindra laga og reglna, þ.e. að því er varðar örugga meðferð persónuupplýsinga hjá lífsýnasafni Hjartaverndar. Hefur Persónuvernd komist að eftirfarandi niðurstöðu varðandi öryggi persónuupplýsinga í lífsýnasafni Hjartaverndar.
4.1. Skrifleg gögn um öryggi persónuupplýsinga í lífsýnasafni Hjartaverndar
Eins og fyrr greinir fór úttektin fram á grundvelli skriflegra gagna sem Hjartavernd lagði fram, þ.e. fyrst og fremst öryggishandbók samtakanna sem hefur að geyma bæði öryggisstefnu og áhættumat. Er það mat sérfræðingsins að umrædd gögn séu að flestu leyti fullnægjandi, sbr. þó eftirfarandi athugasemdir hans.
Varðandi öryggisstefnu Hjartaverndar er fundið að því að markmið hennar megi vera skýrari, auk þess sem hún hafi ekki verið formlega staðfest með dagsetningu og undirritun stjórnenda.
Í 1. tl. 3. gr. reglna nr. 299/2001 segir eftirfarandi: "Ábyrgðaraðili setur sér skriflega öryggisstefnu. Í henni skal m.a. koma fram almenn lýsing á afstöðu æðsta stjórnanda ábyrgðaraðila til öryggismála. Við mótun öryggisstefnu skal taka mið af því hvaða persónuupplýsingar skuli vernda, hvernig skuli vernda þær og þeirri aðferð sem viðhöfð verður við vinnslu þeirra." Eins og ráða má af orðalagi ákvæðisins er öryggisstefna ábyrgðaraðila eins konar markmiðsyfirlýsing hans varðandi þær kröfur sem hann gerir til sinnar eigin vinnslu. Gert er ráð fyrir því að kröfur um öryggi persónuupplýsinganna taki mið af þeim þáttum sem ábyrgðaraðili telur einkenna vinnsluna, s.s. hvort það sé aðgengileiki, áreiðanleiki eða öryggi viðkomandi persónuupplýsinga sem varði mestu. Persónuvernd tekur undir þá skoðun sérfræðingsins að markmið öryggisstefnunnar mættu vera skýrari í ljósi þessa. Þar sem öryggisstefna lýsir afstöðu æðstu stjórnanda ábyrgðaraðila til öryggismála og skuldbindingu þeirra við hana telur Persónuvernd mikilvægt að hún hljóti formlega staðfestingu með dagsetningu og undirritun stjórnenda Hjartaverndar.
Þá er gerð athugasemd varðandi áhættumatið þess efnis að ekki komi fram hvort stjórnendur Hjartaverndar hafa samþykkt hvað sé ásættanleg áhætta fyrir hverja eign.
Í 2. tl. 3. gr. reglna 299/2001 er að finna reglur fyrir ábyrgðaraðila persónuupplýsinga um hvernig skuli standa að gerð áhættumats. Fjallað er um lýsingu á öryggisráðstöfunum í 3. tl. ákvæðisins en þar segir: "Í lýsingunni skal m.a. koma fram afstaða ábyrgðaraðilans til þess hvað sé ásættanleg áhætta við vinnsluna." Er eðlilegt að lýsing á ásættanlegri áhættu sé hluti af sjálfu áhættumatinu. Telja verður að ekki fáist að fullu raunsönn mynd af alvarleika þeirrar hættu sem steðja kann að persónuupplýsingum, nema að jafnframt komi fram hver afstaða ábyrgðaraðilans er til þess hvort að hún sé ásættanleg eður ei. Má því fallast á þá skoðun sérfræðingsins að áhættumatið sé ábótavant að þessu leyti.
Telur Persónuvernd rétt að við næstu endurskoðun öryggishandbókar verði umrædd skjöl, þ.e. öryggisstefna og áhættumat Hjartaverndar, lagfærð til samræmis við framangreind sjónarmið Persónuverndar. Hins vegar telur Persónuvernd að fyrrnefndir annmarkar gefi ekki tilefni til sérstakra fyrirmæla stofnunarinnar um úrbætur þar að lútandi, einkum í ljósi þess hversu öryggishandbókin er að öðru leyti góð.
4.2. Flokkun eigna og stýring þeirra
Samkvæmt skýrslu sérfræðingsins telur hann að skráning upplýsingaeigna í öryggishandbók sé ófullnægjandi.
Flokkun og skráning upplýsingaeigna er í reynd forsenda þess að ábyrgðaraðila sé unnt að framkvæma áhættumat. Eðli málsins samkvæmt geta hættur sem persónuupplýsingum eru búnar verið breytilegar og mismunandi alvarlegar eftir því hvert efni upplýsinganna er og á hvaða formi þær eru geymdar. Eftir því sem gerð er ítarlegri greining á upplýsingaeignum þeim mun áreiðanlegra verður áhættumatið. Þegar litið er til reglna nr. 299/2001 er á hinn bóginn ekki unnt að gera kröfu til þess að Hjartavernd tilgreini með nákvæmari hætti upplýsingaeignir sínar en gert er í öryggishandbókinni.
Samkvæmt framangreindu er það álit Persónuverndar að flokkun og skráning upplýsingaeigna í öryggishandbók Hjartaverndar fullnægi að þessu leyti kröfum reglna nr. 299/2001, varðandi gerð áhættumats.
4.3. Starfsmenn og öryggi
Í skýrslu sérfræðingsins segir að við framkvæmd vettvangsskoðunarinnar hafi ekki komið fram hvort starfslýsingar eru til fyrir alla starfsmenn eða hvort sérstaklega er getið um ábyrgð á upplýsingaöryggi í þeim. Þá segir einnig að leiðbeiningar skorti fyrir starfsmenn í öryggishandbók um viðbrögð við öryggisógnum og öryggisbrotum.
Í 3. tl. 5. gr. reglna nr. 299/2001 segir að gera skuli eftirfarandi öryggisráðstafanir varðandi starfsmannamál, sbr. og 2. mgr. 7. gr. reglna nr. 918/2001: "Skilgreina með skýrum hætti hlutverk og skyldur hvers starfsmanns sem hefur aðgang að persónuupplýsingum, þ.á m. hverjir beri ábyrgð á einstökum skráasöfnum."
Telja verður það mikilvæga og eðlilega öryggisráðstöfun að starfsmönnum ábyrgðaraðila, sem í störfum sínum vinna með persónuupplýsingar, sé ljóst hvert hlutverk þeirra er varðandi meðferð og öryggi persónuupplýsinganna og að þeir séu jafnframt meðvitaðir um ábyrgð sína í þeim efnum. Þá er það forsenda fyrir því að hægt sé að viðhafa aðgangsstýringu að persónuupplýsingum að fyrir liggi skilgreining á starfsskyldum og ábyrgð starfsmanna ábyrgðaraðilans hvað þetta varðar.
Fram kemur í bréfi Hjartaverndar, dags. 15. júlí 2004, að starfslýsingar séu til fyrir alla starfsmenn samtakanna og að sérstaklega sé getið um trúnað þeirra varðandi meðferð persónuupplýsinga í störfum sínum. Hins vegar sé meðferð persónuupplýsinga í vísindagagnagrunni alfarið á ábyrgð gagnagrunnstjóra Hjartaverndar og stýri hann aðgangi annarra að grunninum. Um verklag og starfsskyldur hans sé ítarlega fjallað í öryggishandbók. Í ljósi skýringa Hjartaverndar getur Persónuvernd fallist á það með samtökunum að umrætt fyrirkomulag fái samrýmst ákvæðum 3. tl. 5. gr. reglna nr. 299/2001 og 2. mgr. 7. gr. reglna nr. 918/2001.
Varðandi hið síðara atriði sem fram kemur skýrslu sérfræðingsins í kaflanum um starfsmenn og öryggi, þ.e. að leiðbeiningar skorti fyrir starfsmenn í öryggishandbók um viðbrögð við öryggisógnum og öryggisbrotum, verður að horfa til þess að samkvæmt 6. tl. 5. gr. reglna nr. 918/2001, sbr. og 3. mgr. 7. gr. þeirra, skal í skriflegri lýsingu á stjórnun öryggismála lífsýnasafns eftirfarandi koma fram: "Hvaða leiðbeiningar starfsmenn hafi fengið um viðbrögð við öryggisógnun og öryggisbrotum."
Hins vegar verður að taka tilliti til athugasemda Hjartaverndar í þessu sambandi, sbr. fyrrgreint bréf samtakanna dags. 28. maí 2004. Í athugasemdunum kemur fram að við starfsþjálfun starfsmanna Hjartaverndar fái þeir leiðbeiningar um viðbrögð við öryggisógnun og öryggisbrotum. Þá sé fjallað um það öryggishandbókinni í hverjum kafla fyrir sig hvaða viðbrögð skuli viðhafa varðandi hinar ýmsu hættur.
Þó svo að vissulega væri til bóta að veita starfsmönnum almennar leiðbeiningar um viðbrögð við öryggisógnum og öryggisbrotum í sérstökum kafla telur Persónuvernd að sú leið sem farin er í öryggishandbók Hjartaverndar, þ.e. að fjalla um viðbrögð við tilteknum hættum í hverjum kafla fyrir sig, standist fyllilega kröfur fyrrgreindra ákvæða í reglum nr. 918/2001. Er þá horft til þess að öryggishandbók Hjartaverndar er starfsmönnum aðgengileg og skulu þeir hafa kynnt sér efni hennar.
4.4. Stjórnun rekstrarsamfellu
Í skýrslu sérfræðingsins er gerð athugasemd varðandi það að ekki skuli hafa verið settar fram formlegar áætlanir um hvernig tryggja eigi rekstur Hjartaverndar ef áföll verða.
Í 2. mgr. 6. gr. reglna nr. 918/2001 eru gerðar strangar kröfur til rekstaraðila lífsýnasafns um að hann viðhafi sérstakar ráðstafanir til að draga úr hættu á truflunum, að rekstur rofni eða lífsýni og persónuvernd skaðist. Þótt ekki hafi verið sett fram formleg og heildstæð áætlun um hvernig tryggja eigi rekstur Hjartaverndar, ef áföll verða, er í öryggishandbókinni gerð ítarleg grein fyrir ráðstöfunum sem tryggja eiga ytra öryggi lífsýnasafnsins. Hafa þessar ráðstafanir m.a. að geyma fyrirmæli um það hvernig skuli brugðist við áföllum í rekstri, s.s. vegna tjóns vegna eldsvoða, vatns, raka og hita, rafmagnsleysis og skemmdarverka. Verður að telja að þessar ráðstafanir feli í sér fullnægjandi áætlun af hálfu Hjartaverndar um hvernig tryggja eigi órofinn rekstur og persónuvernd, ef áföll verða, sbr. 2. mgr. 6. gr. reglna nr. 918/2001.
4.5. Öryggi persónuupplýsinga við förgun
Samkvæmt 2. tl. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga telst eyðing persónuupplýsinga til vinnslu persónuupplýsinga, sbr. athugsemdir við umrætt ákvæði í greinargerð sem fylgdi frumvarpi því sem varð að fyrrgreindum lögum.
Nauðsynlegt er að ráðstafanir sem ábyrgðaraðili viðhefur til að tryggja öryggi persónuupplýsinga nái til vinnslu þeirra í heild, þ.e. frá því að þær eru fyrst skráðar og þangað til þeim er hugsanlega eytt. Í ljósi þessa er mikilvægt að í skriflegum gögnum Hjartaverndar um öryggi persónuupplýsinga komi fram afstaða samtakanna til þess hvort að sérstakar hættur geti steðjað að persónuupplýsingum við eyðingu og þá hvernig skuli brugðist við þeim.
Í ljósi þess sem fram kemur í bréfi Hjartaverndar, dags. 28. maí sl., um að unnið sé að gerð reglna um förgun persónuupplýsinga, telur Persónuvernd að ekki sé tilefni til þess að beina sérstökum fyrirmælum til Hjartaverndar um úrbætur þar að lútandi. Væntir stofnunin þess að vinnu við gerð umræddra reglna verði lokið fyrir næstu endurskoðun öryggishandbókarinnar.
5.
Með tilliti til alls framangreinds er því niðurstaða Persónuverndar sú að öryggiskerfi lífsýnasafns Hjartaverndar hafi staðist þá prófun sem fram fór með úttekt stofnunarinnar á því.