Lokale procedurer for stikprøvekontrol

I systemer hvor der behandles følsomme/fortrolige personoplysninger, eller hvor medarbejderne har brede adgange (adgang til sager uden for sagsstammen), skal der laves stikprøvekontrol af loggen for at kontrollere, at medarbejderne kun tilgår personoplysninger, de har et arbejdsbetinget behov for at tilgå.

Det er systemejer, der er ansvarlig for at kontrollen udføres. IT & Digitalisering har systemforvaltningen på SAPA, SBSYS og Nexus og understøtter logudtræk på disse systemer. IT & Digitalisering har som det klare udgangspunkt ikke adgang til at lave logudtræk i andre systemer, idet det ofte kræver adgang til systemet samt særlige rettigheder.

Når det fastlægges, hvor ofte der skal laves stikprøvekontrol af medarbejdernes opslag tages der udgangspunkt i en risikovurdering efter databeskyttelsesforordningen art. 32. Er der tale om brede adgange, hvor brugere har adgang til mange følsomme personoplysninger, og/eller adgang til oplysninger om mange borgere vil stikprøvekontrol minimum hvert halve år være nødvendigt.

Anvendelse af CPR-registret er underlagt vilkår, hvoraf det fremgår, at stikprøvekontrol af anvendelsen skal gennemføres med højest 3 måneders mellemrum. Er det muligt at få direkte adgang til CPR fra et af kommunens systemer og herefter hente data direkte ind i egne systemer, fremgår det af vilkårene for anvendelse af CPR-registret, at kommunen skal føre en tilsvarende kontrol. Er der tale om et system, der kun henter en begrænset mængde oplysninger fra CPR-registret, kan tilsynsintervallerne sættes højere end tre måneder. I SAPA er det besluttet at foretage stikprøvekontrol hver 3 måned, hvilket skyldes at de oplysninger, der kan fremsøges i CPR-registret stort set, er de samme som i SAPA. Intervallet for stikprøvekontrol i SBSYS er sat til hver 6. måned, fordi de stamoplysninger, der kan slås op i SBSYS er mere afgrænsede end dem, der fremgår af CPR-registret. Samtidig er der opsat en skarp brugerstyrring i SBSYS.

Stikprøvekontrollen skal være effektiv og bør derfor tage udgangspunkt i antallet af brugere af systemet og hvad der er muligt. Hvis det f.eks. er muligt automatisk at frasortere en stor mængde opslag i data som værende arbejdsrelateret (sagsbehandler/borger-relation), så kan stikprøven i de resterende opslag være mere begrænset eller målrettet, end hvis stikprøven skulle dække samtlige opslag. Hvis et system har forskellige roller med forskellige rettigheder og sagsindhold, kan det ud fra et risikovurderingssynspunkt give god mening at fokusere mere på de meget kritiske brugere uden dog at undtage andre fra kontrol. Hvordan den enkelte logkontrol praktisk tilrettelægges afhænger af, hvilket materiale der er til rådighed.

Der kan tages udgangspunkt i nedenstående oversigt ved fastlæggelsen af, hvor mange stikprøver der skal laves pr. system. Såfremt det kan udledes, hvor mange reelle brugere, der var i systemet indenfor f.eks. det sidste halve år, kan der tages udgangspunkt i antallet af reelle brugere. Alternativt tages der udgangspunkt i antallet af oprettede brugere.

Stikprøverne bør gennemføres efter en fast procedure, uden at stikprøvetagningen bliver forudsigelig for brugerne. Det kan være en fordel, at stikprøven vedrører forholdsvis nylig anvendelse således at brugeren med rimelighed kan forventes at kunne redegøre for sin anvendelse af personoplysningerne.

Bliver det i forbindelse med en stikprøvekontrol opdaget, at en medarbejder har lavet uberettigede opslag, bør det udløse, at der laves yderligere stikprøvekontrol i forhold til den enkelte medarbejder.

Rammen for vurderingen af om et opslag er berettiget er forvaltningslovens § 32, der omhandler medarbejderes tavshedspligt og har følgende ordlyd "Den der virker indenfor den offentlige forvaltning, må ikke i den forbindelse skaffe sig fortrolige oplysninger, som ikke er af betydning for udførelsen af den pågældendes opgaver". Det kan være en udfordring at udlede hvorvidt et givent opslag var berettiget, idet log-dataene ikke viser hjemmel eller den saglige grund til opslaget, hvorfor den enkelte leder oftest vil være nød til at inddrage den pågældende medarbejder. I kontrollen skal der være særlig fokus på medarbejdernes opslag udenfor sagsstammen.

Systemejer vurderer konkret, om der med fordel kan føres kontrol med opslag i personer/sager af særlig interesse. Det kan være kendte personers sager eller sager med høj mediedækning. Den enkelte systemejer foranlediger konkret denne overvågning af sager/personer opsat.

Henvender en borger sig til kommunen med en mistanke om, at borgerens sag er blevet tilgået uberettiget, bør dette kontrolleres ved hjælp af logudtræk. Systemejer er ansvarlig for gennemførelsen af en sådan logkontrol. Systemejer bør overveje, hvordan der kan laves logudtræk, der understøtter logkontrollen. Ligeledes bør det fastlægges, hvem der er ansvarlig for udarbejdelsen af sådanne udtræk. Herefter sikres det, at vedkommende er tildelt korrekte adgange.

Beder borgeren om indsigt i logoplysningerne, er det en konkret vurdering, hvorvidt disse kan udleveres til borgeren. Processen for indsigt i logoplysninger vil blive beskrevet i kommunens centrale procedure om behandling af indsigtsanmodninger, der kan findes på Broen. Alternativt kan du kontakte dpo@rander.dk for råd og vejledning.

Alle medarbejdere skal orienteres om, at deres aktivitet logges, samt at der udføres stikprøvekontrol. Eksisterende medarbejdere er orienteret om dette via skrivelse i e-Boks. Nye medarbejdere orienteres via bilag til ansættelsesbrevet. Af bilaget fremgår det, at medarbejdere kun må tilgå oplysninger de har et arbejdsbetinget behov for at tilgå, samt hvad konsekvenserne af misbrug kan være. Det er systemejers ansvar, at nye medarbejdere modtager denne information senest samtidig med ansættelsen. Det gælder også løst tilknyttede medarbejdere.

Det forhold at medarbejderne orienteres om, at der føres kontrol med opslag, bør samtidig virke forebyggende.

Laver en medarbejder uberettigede opslag, er der tale om et brud på persondatasikkerheden, der skal anmeldes via Serviceportalen på computerens skrivebord. Vælg "Anmeld sikkerhedshændelse" og "Anmeld brud på datasikkerheden". Samtidig skal det overvejes om personaleafdelingen bør inddrages.

• Kortlæg hvilke systemer, der skal laves stikprøvekontrol i. Begynd med de mest kritiske.
• Find ud af hvordan du kan trække logmateriale fra et givent system. Spørg først din superbruger/systemadministrator, alternativt kan du henvende dig til din systemleverandør.
• Hvor skal opgaven placeres. Sørg for at der tildeles de rigtige adgange til involverede personer.
• Fastlæg din procedure ud fra en risikovurdering
  • Hvordan laver jeg kontrollen
  • Hvor ofte laver jeg kontrollen
  • Hvor mange er omfattet af kontrollen.

Tip: Når du indkøber et nyt system, der behandler følsomme/fortrolige personoplysninger eller, hvor der er brede adgange, bør du stille krav om, at kommunen nemt, enkelt og vederlagsfrit kan generere en retvisende hændelseslog over medarbejdernes opslag i systemet. Loggen skal indeholde oplysninger om brugerhandlinger så som læsning, søgning, sletning, ændring, tilføjelse og loginforsøg.

Tip: Overvej om medarbejderne har behov for de adgange de er tildelt adgang til eller om adgange kan indskrænkes. Dette kan mindske behovet for stikprøvekontrol.

Tip: Find ud af hvor lang tid hændelsesloggen gemmes i systemet.

Tip: På kitos.dk kan du se hvem, der er systemejer for alle systemer i Randers Kommune. Vælg "Log ind via fælleskommunal adgangsstyrring", Vælg "Randers Kommune" og tryk ok. Tryk på ikonet "Systemer", gå ind under "IT Systemer i Randers Kommune". I tredje kolonne kan du se, hvem der er systemejer for et givent system.