Ákvörðun Persónuverndar um Lífsýnabanka KÍ
Ákvörðun
Þann 10. desember 2007 tók stjórn Persónuverndar svohljóðandi ákvörðun í máli nr. 2005/463, varðandi lífsýnasafn Rannsóknastofu KÍ í sameinda- og frumulíffræði, þ.e. Lífsýnabanka KÍ:
I.
Grundvöllur máls
Með bréfi Persónuverndar til Krabbameinsfélags Íslands (KÍ), dags. 30. maí 2005, var boðuð úttekt á þeirri vinnslu persónuupplýsinga sem fram fer í lífsýnasöfnum félagsins, þ.e. lífsýnasafni Frumurannsóknastofu leitarsviðs og lífsýnasafni Rannsóknastofu í sameinda- og frumulíffræði, þ.e. Lífsýnabanka KÍ. Hafði vinna við slíka úttekt reyndar byrjað áður, en ákveðið var að hætta henni þegar fyrir lá niðurstaða þess sérfræðings, sem þá vann að málinu með Persónuvernd, um að ekki væri unnt að gera úttektina vegna skorts á gögnum frá KÍ. Síðar bárust Persónuvernd hins vegar ítarlegri gögn með bréfi KÍ til Persónuverndar, dags. 12. apríl 2005, og var þá ákveðið að framkvæma öryggisúttekt hjá umræddum lífsýnasöfnum. Var hún boðuð með framangreindu bréfi, dags. 30. maí 2005.
Töf varð á framkvæmd úttektarinnar. Stafaði hún einkum af því að því að í ljós lom að ekki hafði fengist leyfi heilbrigðisráðherra til reksturs lífsýnasafns Frumurannsóknastofu leitarsviðs, en slíkt leyfi er skilyrði fyrir starfrækslu lífsýnasafns, sbr. 4. gr. laga nr. 110/2000 um lífsýnasöfn. Var úttekt á öryggi safnsins því sett í biðstöðu. Þar sem öryggi þessa lífsýnasafns þótti mjög samtvinnað öryggi Lífsýnabanka KÍ taldi Persónuvernd að einnig yrði að setja úttekt á öryggi hans í biðstöðu. Með bréfi KÍ, dags. 4. júní 2007, var Persónuvernd greint frá því að fengist hefði leyfi til starfrækslu lífsýnasafns Frumurannsóknastofu leitarsviðs. Var málið þá á ný tekið til umfjöllunar. Sendi Persónuvernd bréf til KÍ, dags. 25. júlí 2007, og veitti félaginu kost á að koma á framfæri athugasemdum.
Við síðari umfjöllun var ákveðið að fjalla um lífsýnasafn Frumurannsóknastofu leitarsviðs og lögmæti þess í sérstakri ákvörðun. Lýtur ákvörðun þessi því aðeins að öryggi Lífsýnabanka KÍ.
II.
Aðkoma sérfræðings
1.
Samningur við sérfræðing
Í framangreindu bréfi Persónuverndar til KÍ, dags. 30. maí 2005, var tilkynnt að sem fyrr yrði úttektin unnin með liðsinni sérfræðings og að Persónuvernd hefði í hyggju að leita til Harðar H. Helgasonar, sérfræðings í upplýsingaöryggi, hjá Dómbæ ehf. Félagið gerði ekki athugasemdir við það. Hörður ritaði undir þagnarheit og skilaði í framhaldi af því kostnaðaráætlun til Persónuverndar, dags. 5. ágúst 2005. Með bréfi, dags. 9. s.m., sendi Persónuvernd KÍ afrit af áætluninni og veitti félaginu kost á að gera athugasemdir. Eftir nokkur bréfaskipti náðist sameiginleg niðurstaða um tilhögun mála. Verkefni Harðar fólst í því að rýna þau skjöl sem félagið lagði fram, gera vettvangsathugun og skila Persónuvernd skýrslu um niðurstöður sínar. Henni skilaði hann hinn 30. mars 2006. Skýrslan lýtur bæði að lífsýnasafni Frumurannsóknastofu leitarsviðs og Lífsýnabanka KÍ. Skoða ber tilvísanir til skýrslu hans og til athugasemda KÍ við skýrsluna í ljósi framangreinds, þ.e. að aðeins er átt við efnisatriði að því marki sem þau eiga við um Lífsýnabanka KÍ.
2.
Rýni skjala
Hörður H. Helgason rýndi gögn KÍ, þ.e. þau skriflegu gögn sem félagið hafði lagt fram um öryggisstefnu sína, áhættumat og öryggisráðstafanir. Þann 20 mars 2006 skilaði Hörður (hér eftir nefndur skýrsluhöfundur) niðurstöðum sínum.
2.1. Öryggisstefna
Skýrsluhöfundur vísar til þess að við mörkun öryggisstefnu lífsýnasafns megi hafa hliðsjón af staðlinum ÍST ISO/IEC 17799:2000 Upplýsingatækni – Starfsvenjur fyrir stjórnun upplýsingaöryggis (nú ISO 27001). Telur skýrsluhöfundur öryggisstefnu KÍ að mestu leyti fullnægja kröfum þess staðals. Hins vegar segir hann:
„Frá því eru tvær undantekningar. Annars vegar er í stefnunni ekki sett fram skilgreining á því hvað félagið telur falla undir upplýsingaöryggi, svo sem ef það lítur svo á að það taki jafnt til leyndar og réttleika upplýsinga sem og tiltækileika þeirra. Hins vegar er í stefnunni ekki fjallað um umfang stefnunnar og öryggiskerfisins, þ.e. hver séu mörk þeirrar vinnslu sem ætlunin er að kerfið taki til. Þrátt fyrir það er framangreind tilvísun í 3. gr. [...] lífsýnareglna Persónuverndar einungis valkvæð og verður hin framlagða öryggisstefna því talin uppfylla þau skilyrði sem gerð eru í því ákvæði, þ.e. að marka stefnu varðandi öryggi lífsýna og gefa út og viðhalda öryggisstefnu fyrir viðkomandi lífsýnasöfn."
Í ljósi framangreinds gerir skýrsluhöfundur ekki athugasemd við öryggisstefnu KÍ.
2.2. Áhættumat
Um áhættumat KÍ segir skýrsluhöfundur:
„Áhættumat þess hluta starfsemi Krabbameinsfélagsins sem lýtur að rekstri lífsýnasafna félagsins er í fjórum aðskildum hlutum [...]. Í lífsýnareglum Persónuverndar, nr. 918/2001, eru ekki settar fram sérstakar kröfur um hvernig staðið skuli að gerð áhættumats, en þess í stað vísað til fyrirmæla í öryggisreglum Persónuverndar, nr. 299/2001. Til viðbótar þeim ákvæðum áskilja lífsýnareglurnar einungis að í skriflegri lýsingu á stjórnun öryggismála lífsýnasafnsins skuli koma fram hvernig staðið hafi verið að gerð áhættumatsins, sbr. 3. tl. 1. mgr. 5. gr. reglnanna. Þrátt fyrir að leiða megi líkur að því hvers konar aðferðafræði hafi einkum verið höfð til hliðsjónar við mat á áhættu í starfsemi Krabbameinsfélagsins [...] er í þeim fjórum áhættumötum sem rýnd voru vegna öryggisathugunarinnar ekki fjallað um hvernig staðið hafi verið að gerð þeirra. Slíka lýsingu er heldur ekki að finna í þeim þremur öðrum áhættumötum sem lögð voru fram af hálfu félagsins vegna úttektar Persónuverndar, eða í öðrum gögnum þess.
Í öryggisreglum Persónuverndar er meðal annars boðið að áhættumat skuli taka til athugunar á umfangi og afleiðingum þeirrar hættu sem steðjar að starfseminni, með tilliti til eðlis þeirra persónuupplýsinga sem unnið sé með, sbr. 2. tl. 1. mgr. 3. gr. reglnanna. Einnig er í ákvæðinu boðið að tilgreina skuli hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á því. [Í] áhættumati Frumurannsóknastofu Krabbameinsfélagsins [er] ekki að finna slíka aðskilda umfjöllun um alvarleika afleiðinga og líkur á þeim. Loks segir í ákvæðinu að markmið áhættumats sé að skapa forsendur fyrir vali á öryggisráðstöfunum, en [nokkuð] skortir [...] á að ljóst sé hvort og þá hvaða áhrif áhættumöt Krabbameinsfélagsins hafi haft á val öryggisráðstafana hjá félaginu.[...]"
Niðurstaðan er því sú að einungis eru gerðar þær athugasemdir að æskilegt sé að í áhættumati komi skýrar fram hvernig staðið hafi verið að gerð þess, svo sem með lýsingum á eða tilvísun í þá aðferðafræði sem fylgt hafi verið, og að betur megi lýsa tengslum áhættumats og vali á öryggisráðstöfunum.
2.3. Lýsing öryggisráðstafana
Um lýsingu KÍ á öryggisráðstöfunum segir skýrsluhöfundur:
„Framlögð öryggishandbók Krabbameinsfélagsins ber með sér að mikil vinna hefur verið lögð í skipulag öryggismála hjá félaginu. Er handbókin í flesta staði prýðilega unnin og veitir ágæta yfirsýn yfir þær öryggisráðstaf[a]nir sem hafa verið innleiddar í upplýsingavinnslu félagsins.
Lýsingar á öryggisráðstöfunum í lífsýnasöfnum þurfa að uppfylla þær kröfur sem settar eru fram í lífsýnareglum Persónuverndar, nr. 918/2001 og er sú raunin með framlagða öryggishandbók að allflestu leyti. [...]
Þá telur skýrsluhöfundur vafa undirorpið hvort handbókin uppfylli kröfur reglnanna um að í skriflegri lýsingu á stjórnun öryggismála lífsýnasafnsins komi fram með hvaða hætti rekstri lífsýnasafns sé haldið aðskildum frá annarri starfsemi leyfishafa, sbr. 1. tölul. 1. mgr. 5. gr. reglnanna. Síðan segir:
„Þá má draga í efa að uppfylltar séu að fullu kröfur lífsýnareglnanna, sbr. einkum 2. mgr. 6. gr. og 4. tl. 1. mgr. 5. gr. reglnanna, um að viðhafa skuli vinnuferli er tryggi órofinn rekstur og að í skriflegri lýsingu á öryggisráðstöfunum skuli settar fram viðlagaáætlanir, þ.e. tekið fram hvernig brugðist verði við áföllum í rekstri vinnslukerfisins."
Niðurstaðan er því sú að lýsing á öryggisráðstöfunum uppfylli að stórum hluta ákvæði reglna Persónuverndar nr. 918/2001 en skýrar megi koma fram með hvaða hætti rekstri lífsýnasafns sé haldið aðskildum frá annarri starfsemi leyfishafa, sbr. 1. tölul. 1. mgr. 5. gr. reglnanna.
2.4. Innra eftirlit
Um skráningu innra eftirlits hjá KÍ segir skýrsluhöfundur:
„Í niðurlagi lífsýnareglna Persónuverndar er kveðið á um að viðhafa skuli stöðugt innra eftirlit í því skyni að tryggja að þær aðgerðir sem gripið er til á grundvelli reglna þessara séu örugglega viðhafðar. Einnig skuli innra eftirlit lúta að því að sannreyna að unnið sé í samræmi við reglur þessar, gildandi lög og reglugerð um lífsýnasöfn og önnur lög sem kunna að eiga við um rekstur lífsýnasafna.
Telja verður að ákvæði framlagðra gagna um öryggiskerfi lífsýnasafna Krabbameinsfélagsins, sbr. einkum öryggishandbók félagsins, uppfylli þessar kröfur lífsýnareglnanna."
Niðurstaðan er því sú að ekki verði gerð athugasemd við skjölun um framkvæmd innra eftirlits.
3.
Vettvangsathugun
Skýrsluhöfundur framkvæmdi vettvangsathugun og er greint frá niðurstöðum hennar í skýrslu hans frá 20. mars 2006. Margar öryggisráðstafanir reyndust vera í samræmi við framlögð gögn. Verður ekki fjallað sérstaklega um þær. Vissar öryggisráðstafanir voru hins vegar ekki viðhafðar eða voru með öðrum hætti en lýst hafði verið í framlögðum gögnum.
3.1. Skipulagslegar og tæknilegar öryggisráðstafanir
Samkvæmt 7. gr. reglna nr. 299/2001, sbr. og 7. gr. reglna nr. 918/2001, skal ábyrgðaraðili lífsýnasafns grípa til viðeigandi ráðstafana í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum bilana og óheimils aðgangs að vinnslubúnaði. Eina öryggisráðstöfun, sem lýtur að þessari kröfu, taldi skýrsluhöfundur ekki standast prófun. Það var sú ráðstöfun að hvorki mætti fjarlægja tilteknar eignir né gögn úr húsnæðinu. Í vettvangsskoðun kannaði skýrsluhöfundur þetta. Var því til svarað að umræddu verklagi væri ekki fylgt og þyrfti að endurskoða texta öryggishandbókar um þetta.
3.2. Innra eftirlit
Samkvæmt 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001, sem og 10. gr. reglna nr. 918/2001, skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Þrjár öryggisráðstafanir, sem lúta að þessari kröfu, reyndust, að mati skýrsluhöfundar, ekki standast prófun. Þær eru þessar:
a) Í skjalinu „Öryggishandbók Krabbameinsfélags Íslands" er fjallað um yfirlitsferðir sem fara skuli tvisvar á ári til að taka helstu öryggisatriði fyrir. Í vettvangsskoðun óskaði skýrsluhöfundur þess að sér yrðu sýnd gögn um síðustu öryggisyfirlitsferð, s.s. listi yfir atriði sem skoðuð voru og upplýsingar um niðurstöður skoðunar. Var þá upplýst að enn hefði ekki verið farið í slíkar yfirlitsferðir.
b) Í skjalinu „Öryggishandbók Krabbameinsfélags Íslands" segir m.a.: „Hver starfsmaður KÍ hefur einstakt notendaauðkenni sem hann notar til að skrá sig inn á útstöð og á netkerfi KÍ. Þannig má rekja allan umgang starfsmanns sé þess þörf." Í vettvangsskoðun óskaði skýrsluhöfundur þess að sér yrði sýnt hvernig rekja mætti aðgang tiltekins starfsmanns að netkerfi félagsins. Var þá upplýst að aðgangur starfsmanna væri ekki skráður.
c) Í skjalinu „Öryggishandbók Krabbameinsfélags Íslands" segir m.a.: „Við yfirstandandi endurskoðun á stefnumótun félagsins verður skjalfest meginstefna og framkvæmdaáætlun um rekstrarsamfellu í samræmi við meginmarkmið og forgangsröðun félagsins." Þá segir að samþykktar áætlanir og ferli verði prófuð reglulega. Í vettvangsskoðun óskaði skýrsluhöfundur þess að sér yrðu sýndar niðurstöður prófana. Hann fékk þau svör að þessu hefði ekki verið hrint í framkvæmd.
4.
Niðurstöður skýrsluhöfundar
Í lokakafla skýrslunnar er lagt heildstætt mat á niðurstöður prófana. Segir að sá raunveruleiki, sem vettvangsskoðunin hafi leitt í ljós, sé allnálægur lýsingu kerfisins í framlögðum gögnum. Athugunin hafi þó leitt í ljós níu atriði sem þurfi að skoða sérstaklega, þ.e.:
- [Fyrsta athugasemd skýrsluhöfundar lýtur að lífsýnasafni Frumurannsóknastofu, en eins og fyrr segir er fjallað um það í sérstakri ákvörðun.]
- 2. Setja þurfi fram skýrari lýsingu á aðskilnaði lífsýnasafns frá annarri starfsemi og bæta lýsingu á umfangi öryggiskerfisins, þ.e. hvað heyri undir það og hvað skuli falla utan þess.
- 3. Endurskoða þurfi stefnu um viðlagaáætlun og semja þegar áætlanir til að tryggja örofinn rekstur.
- 4. Endurskoða þurfi galla sem virðist vera á úthlutun lykla sem ganga að öllum rýmum húsnæðisins, þar á meðal beggja lífsýnasafna þess. Tryggja þurfi að slíkir lyklar séu ekki í höndum starfsmanna félagsins sem hvorki gegna neinum ábyrgðarstöfum tengdum hússtjórn eða þjónustu húsnæðisins né eru starfsmenn viðkomandi lífsýnasafna
- 5. Æskilegt sé að í mati á áhættu í starfsemi tengdri lífsýnasafni komi skýrar fram en nú hvernig staðið hafi verið að gerð slíks mats, svo sem með lýsingum á eða tilvísun í þá aðferðafræði sem fylgt hafi verið. Þá megi koma betur fram hvernig afrakstur slíks mats tengist því hvaða öryggisráðstafanir hafa verið valdar í rekstri lífsýnasafnanna.
- [Sjötta athugasemd skýrsluhöfundar lýtur að lífsýnasafni Frumurannsóknastofu, en eins og fyrr segir er fjallað um það í sérstakri ákvörðun.]
- 7. Tilefni kunni að vera til að huga að öryggi þess rýmis sem hýsir vatnsinntök og loftræstikerfi hússins að Skógarhlíð 8.
- [Áttunda athugasemd skýrsluhöfundar lýtur að lífsýnasafni Frumurannsóknastofu, en eins og fyrr segir er fjallað um það í sérstakri ákvörðun.]
- 9. Gera verði gangskör að því að bæta úr öðrum þeim vanköntum sem í ljós komu við prófanir í vettvangsskoðunarhluta öryggisathugunarinnar, en falla ekki undir aðra liði í þessari upptalningu, svo sem varðandi skráningu fjarlægðra eigna, áætlaðar yfirlitsferðir, prófanir á samþykktum áætlunum o.fl.
III.
Athugasemdir KÍ
Með bréfi, dags. 28. apríl 2006, var KÍ boðið að tjá sig um þá skýrslu sem skýrsluhöfundur hafði skilað hinn 20. mars s.á. Svarað var með bréfi, dags. 1. ágúst s.á., og fylgdu því ýmis skjöl. Verða hér raktar athugasemdir KÍ við þær meginniðurstöður skýrsluhöfundar sem raktar eru hér að framan. Eins og fyrr greinir lúta fyrsta, sjötta og áttunda athugasemd skýrsluhöfundar í þeirri umfjöllun að Frumurannsóknastofu leitarsviðs og verður því ekki fjallað um þær hér.
Annar liður: KÍ bendir á að mikil tengsl eru á milli starfsemi einstakra deilda og sviða KÍ. Segir að til standi að endurskoða öryggiskerfi KÍ og þá verði sérstaklega tekið tillit til þessa þáttar – þ.e. aðskilnaðar lífsýnasafns frá annarri starfsemi.
Þriðji liður: KÍ segir að samin verði viðlagaáætlun um hvernig bregðast skuli við meiri háttar áföllum, s.s. vegna náttúruhamfara eða bilana í tölvukerfum.
Fjórði liður: KÍ segir að húsnefnd hafi farið yfir aðgangskerfi, þ.e. lykla- og segulkortakerfi. Allir lyklar hafi verið skráðir og gengið þannig frá að hver starfsmaður hafi aðgang í samræmi við þarfir. Segulkortalásar séu á öllum krítískum svæðum og aðgangur gegnum þá sjálfkrafa skráður í aðgerðaskrá.
Fimmti liður: KÍ vísar til fjölda fylgiskjala um endurbætur á áhættumati og segir að þar sé brugðist við athugasemdum skýrsluhöfundar, m.a. um hvernig staðið hafi verið að gerð áhættumats.
Sjöundi liður: KÍ segir að nú standi yfir miklar breytingar á húsnæði KÍ. Samfara þeim sé verið að skipta út eldri öryggiskerfum fyrir ný og við það verði einhverjar breytingar.
Níundi liður: KÍ bendir á að skjölun á öryggiskerfi sé svo nýlega komin í gagnið að lítið hafi reynt á yfirlitsferðir og endurskoðun. Til standi að öryggisstjóri, í samvinnu við forstjóra KÍ og sviðsstjóra, fari yfir alla þætti öryggiskerfisins – endurskoði m.a. áhættumöt og áhættugreiningar – og sameini helst í eitt mat fyrir KÍ. Einnig verði eignaskráning og ýmislegt fleira endurskoðað.
Eins og áður segir var í nóvember 2006 ákveðið að fresta framkvæmd úttektarinnar af tilgreindum ástæðum. Tilkynnt var um framhald hennar með bréfi, dags. 25. júlí 2007, þar sem Persónuvernd veitti KÍ kost á að koma á framfæri frekari athugasemdum. Frestur til athugasemda var veittur til 8. september s.á. Engar athugasemdir bárust. Liggur því fyrir Persónvernd að komast að niðurstöðu um öryggi Lífsýnabanka KÍ.
VI.
Niðurstaða
1.
Lögmæti
Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga og einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu persónuupplýsingar er átt við ,,sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi," sbr. 1. tölul. 2. gr. laganna. Þá merkir hugtakið vinnsla ,,[sérhverja] aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn." Með vinnslu er þannig t.d. átt við söfnun og skráningu og undir það fellur m.a. flokkun, varðveisla, breyting, leit og miðlun. Af framangreindu leiðir að hjá Lífsýnabanka KÍ fer fram vinnsla persónuupplýsinga, í skilningi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju af skilyrðum 1. mgr. 8. gr. og, eftir atvikum, 1. mgr. 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 8. gr. laganna, en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 9. gr. laganna. Heilsufarsupplýsingar, þ. á m. um erfðaeiginleika og annað sem lífsýni bera með sér, teljast til viðkvæmra persónuupplýsinga, sbr. c-lið 8. tölul. 1. mgr. 2. gr. laga nr. 77/2000. Er hér um slíkar upplýsingar að ræða og þarf vinnslan þar af leiðandi að eiga sér stoð í einhverju af heimildarákvæðum 1. mgr. 9. gr. laga nr. 77/2000. Samkvæmt 2. tölul. þess ákvæðis er vinnsla viðkvæmra persónuupplýsinga heimil standi sérstök heimild til hennar samkvæmt öðrum lögum. Samkvæmt 2. gr. laga nr. 110/2000 um lífsýnasöfn gilda þau um söfnun lífsýna, vörslu, meðferð, nýtingu og vistun þeirra í lífsýnasöfnum, en af fyrirliggjandi lýsingu á Lífsýnabanka KÍ má ráða að sú starfsemi sem þar fer fram falli hér undir. Þá liggur fyrir að heilbrigðisráðherra hefur veitt leyfi til starfrækslu safnsins í samræmi við 4. gr. laganna. Telst vinnsla persónuupplýsinga hjá Lífsýnabaka KÍ því styðjast við heimildarákvæði 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Við vinnsluna ber og að uppfylla almenn skilyrði þeirra laga, sem og sérstök skilyrði í lögum nr. 110/2000 um lífsýnasöfn. Ekki hefur annað komið fram en að vinnsla persónuupplýsinga í Lífsýnabanka KÍ sé með þeim hætti að samrýmist framangreindum lögmætiskröfum. Er þá til skoðunar að hvaða marki uppfylltar séu kröfur til öryggis persónuupplýsinga í lífsýnasöfnum, þ.e. samkvæmt 11.–13. gr. laga nr. 77/2000, sbr. reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, og reglum nr. 918/2001 um öryggi við meðferð og varðveislu lífsýna í lífsýnasöfnum, sbr. 8. tölul. 1. mgr. 5. gr. laga nr. 110/2000.
2.
Öryggi
2.1.
Almennt
Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með. Í 11. gr. laganna er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.
Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir séu endurbættar að því marki sem þörf krefur til að uppfylla ákvæði 11. gr., sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.
Samkvæmt 12. gr. skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.
2.2.
Öryggi hjá Lífsýnabanka KÍ
Með vísan til 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. og 2. mgr. 12. gr. laga nr. 110/2000 um lífsýnasöfn, hefur Persónuvernd athugað hvort uppfyllt séu fyrirmæli framangreindra laga og reglna um öruggi við meðferð persónuupplýsinga hjá Lífsýnabanka KÍ.
a. Öryggisstefna
Í 1. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 segir: ,,Ábyrgðaraðili setur sér skriflega öryggisstefnu. Í henni skal m.a. koma fram almenn lýsing á afstöðu æðsta stjórnanda ábyrgðaraðila til öryggismála. Við mótun öryggisstefnu skal taka mið af því hvaða persónuupplýsingar skuli vernda, hvernig skuli vernda þær og þeirri aðferð sem viðhöfð verður við vinnslu þeirra." Einnig er mælt fyrir um öryggisstefnu í 3. gr. reglna nr. 918/2001.
Persónuvernd telur öryggisstefnu KÍ fullnægja kröfum framangreindra ákvæða.
b. Áhættumat
Í 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 eru fyrirmæli um gerð áhættumats. Þar segir: ,,Áhættumat er mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat tekur einnig til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið er með. Markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum. Þá skal tilgreina hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku. Áhættumat skal endurskoðað reglulega." Í 3. tölul. 1. mgr. 5. gr. reglna nr. 918/2001 er vísað til framangreinds ákvæðis reglna nr. 299/2001. Þá segir þar að fram skuli koma í skriflegri lýsingu á stjórnun öryggismála lífsýnasafns hvernig staðið hafi verið að gerð áhættumats.
Að virtum framkomnum athugasemdum KÍ telur Persónuvernd áhættumat félagsins fullnægja kröfum framangreindra ákvæða.
c. Skrifleg lýsing á öryggi – Öryggisráðstafanir
Samkvæmt 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 ber ábyrgðaraðila að setja fram skriflega lýsingu á þeim öryggisráðstöfunum sem hann hefur valið til þess að tryggja öryggi persónuupplýsinga. Er ákvæðið svohljóðandi: ,,Ábyrgðaraðili velur hvaða öryggisráðstafanir skulu viðhafðar í samræmi við III. kafla reglna þessara og set[ur] fram skriflega lýsingu á þeim. Í lýsingunni skal m.a. koma fram afstaða ábyrgðaraðilans til þess hvað sé ásættanleg áhætta við vinnsluna. Þá skal rakið hvaða öryggisráðstöfunum verði beitt og hvernig þær verði útfærðar, þ. á m. við hönnun, þróun, rekstur, prófun og viðhald þess kerfis, þ.m.t. hugbúnaðar, sem notað verður við vinnslu upplýsinganna. Þar skal og tekið fram hvernig brugðist verði við áföllum í rekstri vinnslukerfisins, hvernig flutningi persónuupplýsinga milli vinnslukerfa verði hagað, þ. á m. mögulegum flutningi gagna milli ábyrgðar- og vinnsluaðila. Öryggisráðstafanir skal endurskoða reglulega." Einnig er mælt fyrir um skyldu til skráningar öryggisráðstafana í 1. mgr. 5. gr. reglna nr. 918/2001. Þá felur 2. mgr. 6. gr. reglna nr. 918/2001 í sér kröfu til skráningar öryggisráðstafana, en af því ákvæði leiðir að skjalfesta verður vinnuferli sem tryggir órofinn rekstur lífsýnasafns og dregur úr hættu á truflunum vegna óhappa eða annarra atvika sem ógna öryggi þess, t.d. af völdum náttúruhamfara, slysa, bilunar í búnaði eða skemmdarverka. Er skjalfesting á slíku oft nefnd „viðlagaáætlun".
Persónuvernd telur að í langflestu sé farið að þeim kröfum sem að framan er lýst. Hins vegar skorti á að tilgreint sé nægilega hvernig rekstri Lífsýnabankans er haldið aðskildum frá annarri starfsemi KÍ, að viðlagaáætlun sé ekki fullnægjandi, bæta þurfi úr skráningu á frávikum frá banni við því að taka úr húsnæði Lífsýnabankans eignir hans eða gögn og bæta úr aðgangsstýringum og aðgerðaskráningu.
d. Innra eftirlit
Samkvæmt 12. gr. laga nr. 77/2000, skal reglulega viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Innra eftirlit skal a.m.k. fara fram árlega en oftar sé eðli gagna slíkt að kalli á það, sbr. 2. og 3. mgr. Þá skulu gerðar skýrslur um niðurstöður innra eftirlits. Samkvæmt 8. gr. reglna nr. 299/2001 ber og að jafnaði að viðhafa slíkt eftirlit samkvæmt fyrirfram skilgreindu kerfi og eru í ákvæðinu jafnframt talin upp þau atriði sem það skal beinast að.
Persónuvernd telur gögn KÍ um innra eftirlit fullnægjandi, en standa þurfi betur að framkvæmd þess, þ.e. með því að farnar séu tvisvar á ári yfirlitsferðir til að taka út helstu öryggisatriði, bætt sé úr aðgerðaskráningu (sbr. einnig c-lið hér að ofan) og samþykktar séu áætlanir varðandi rekstrarsamfellu og þær prófaðar reglulega.
Á k v ö r ð u n a r o r ð:
Í samræmi við framangreint skal KÍ tryggja, sbr. 1. mgr. 40. gr. laga nr. 77/2000, að eigi síðar en 1. febrúar 2008 hafi verið gerðar eftirfarandi úrbætur á öryggi við vinnslu persónuupplýsinga hjá Lífsýnabanka félagsins:
Tilgreina ítarlega í skráningu öryggisráðstafana hvernig rekstri Lífsýnabankans er haldið aðskildum frá annarri starfsemi KÍ og haga starfsemi í samræmi við þá skráningu.
Gera fullnægjandi viðlagaáætlun.
Skrá á sérstakt frávika/villublað þegar gögn eru fjarlægð úr húsnæði Lífsýnabanka KÍ.
Fara árlega í eftirlitsferðir í Lífsýnabanka KÍ til að taka út helstu öryggisatriði.
Gera skriflega lýsingu á aðgangsheimildum og skrá aðgang hvers notanda í tölvukerfi KÍ þannig að unnt sé að rekja umgang hans.
Samþykkja áætlanir varðandi rekstrarsamfellu og prófa þær reglulega.