Årsberetning vedrørende IT-sikkerhedsområdet

DAGSORDEN

for Ordinært møde torsdag den 4. oktober 2001

Årsberetning vedrørende IT-sikkerhedsområdet

Det indstilles, at Økonomiudvalget indstiller til Borgerrepræsentationen

at årsberetningen for 2000 vedrørende IT-sikkerhedsområdet tages til efterretning.

Anbefalet.

Årsberetningen afgives i henhold til § 21 i "Sikkerhedsrgulativ for behandling af personoplysninger i Københavns Kommune og forsøgsbydelene", i det følgende kaldet Sikkerhedsregulativet.

Sikkerhedsregulativet blev godkendt af Borgerrepræsentationen den 20. september 2000 og er en opfølgning på Lov om behandling af personoplysninger, lov nr. 429 af 31. maj 2000, der trådte i kraft den 1. juli 2000 til erstatning for den tidligere registerlovgivning samt Revisionsdirektoratets undersøgelse af kommunens IT-sikkerhed m.v. Sikkerhedsregulativet er udstedt i henhold til § 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige sektor.

Implementering af Persondataloven og Sikkerhedsregulativet pågår i forvaltningerne og forsøgsbydelene i form af tilpasning af forretningsgange, blanketter m.v. for at sikre, at lovens og regulativets bestemmelser opfyldes.

De tidligere registerforskrifter er i medfør af Persondataloven erstattet af anmeldelser, som sendes til Datatilsynet i henhold til Persondatalovens overgangsbestemmelser.

Som opfølgning på Revisionsdirektoratets undersøgelse af kommunens IT-forhold er der blandt andet sket en præcisering i Sikkerhedsregualtivet af IT-sikkerheds-opgaverne og IT-sikkerhedsorganisationen samt ansvarsplaceringen i forvaltningerne og forsøgsbydelene.

Som opfølgning på kommunens IT-strategi igangsatte Økonomiforvaltningen i 2000 en undersøgelse af sikkerheden i Københavnernettet. Resultatet af denne undersøgelse vil tillige med en vejledning fra Datatilsynet om sikkerhedsforanstaltninger danne baggrund for en fornyet revision af Sikkerhedsregulativet, som forventes forelagt Borgerrepræsentationen omkring årsskiftet 2001/2002.

I 2000 er der konstateret eet sikkerhedsbrud, som resulterede i politianmeldelse, og der har været fire henvendelser fra Datatilsynet, som – efter at have modtaget en redegørelse fra de pågældende forvaltninger – ikke har fundet anledning til at foretaget yderligere i sagerne.

Sammenfattende konkluderes, at arbejdet indenfor IT-sikkerhedsområdet ikke giver anledning til særlige bemærkninger.

I henhold til § 21 i "Sikkerhedsregulativ for behandling af personoplysninger i Københavns Kommune og forsøgsbydelene" afgiver Overborgmesteren, den enkelte borgmester og bydelsrådsformand en årsberetning om sikkerhedsarbejdets forløb indenfor hver deres område. Vedkommende udvalg orienteres om årsberetningen. Overborgmesteren koordinerer beretningerne med henblik på en samlet forelæggelse for Økonomiudvalget og Borgerrepræsentationen.

Der er i år 2000 sket ændringer i lovgrundlaget med Folketingets vedtagelse af Lov

om behandling af personoplysninger, lov nr. 429 af 31. maj 2000, også kaldet Persondataloven. Loven trådte i kraft den 1. juli 2000.

Loven, der har til formål – på baggrund af et EF-direktiv fra 1995 – at gennemføre en ny databeskyttelsesretlig regulering, erstatter den tidligere registerlovgivning.

En arbejdsgruppe, bestående af forvaltningernes og bydelenes sikkerhedsledere, afsluttede i 2000 sit arbejdet med udarbejdelse af forslag til et nyt sikkerhedsregulativ, der tager højde for bestemmelserne i Persondataloven.

Forslaget til "Sikkerhedsregulativ for behandling af personoplysninger i Københavns Kommune og forsøgsbydelene" – i det følgende kaldet Sikkerhedsregulativet – blev senere godkendt af Borgerrepræsentationen den 20. september 2000.

Implementering af Persondataloven og Sikkerhedsregulativet i forvaltningerne og bydelene er sket i form af information og kurser for de berørte medarbejdere. Herefter skal der i forvaltningerne og bydelene ske en tilpasning af forretningsgange, blanketter m.v., så det sikres, at lovens og regulativets bestemmelser opfyldes.

Nogle af de væsentlige ændringer i Persondataloven – og hermed også i Sikkerhedsregulativet – i forhold til den tidligere lovgivning er, at

• såvel manuelle som edb-registre er omfattet
• loven er gældende for enhver form for behandling af personoplysninger
• de hidtidige registerforskrifter er erstattet af anmeldelser til Datatilsynet
• borgernes rettigheder er blevet styrket, blandt andet med udvidet oplysningspligt overfor den registrerede og indsigtsret for den registrerede mod, at behandling finder sted, samt ret for borgeren til at få rettet, slettet eller blokeret urigtige eller vildledende oplysninger
• de IT-sikkerhedsmæssige krav også gælder hos eksterne databehandlere

Det nye sikkerhedssregulativ indeholder derudover ændringer i IT-sikkerheds-organisationen og præciseringer vedrørende IT-sikkerhedsforanstaltninger m.v., se herom nedenfor.

Samtidig med godkendelsen af Sikkerhedsregulativet i Borgerrepræsentationen i september 2000 blev der – som opfølgning på kommunens IT-strategi – igangsat en undersøgelse af sikkerheden på Københavner-nettet.

For at kunne tage højde både for de anbefalinger, denne undersøgelse måtte resultere i, og den vejledning Datatilsynet havde planlagt udsendt ultimo 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, blev Borgerrepræsentationen stillet i udsigt, at et revideret sikkerhedsregulativ blev forelagt til godkendelse i 1. halvår af 2001.

Imidlertid tog undersøgelsen af sikkerheden i Københavner-nettet, som blev foretaget af Kommunedata, længere tid end beregnet, og Datatilsynets vejledning forelå ikke med udgangen af år 2000, men først den 2. april 2001. Dette har medført, at et revideret sikkerhedsregulativ ikke kunne forelægges til godkendelse i 1. halvår af 2001, men forventes at kunne forelægges ved årsskiftet 2001/2002, hvor forsøgsbydelenes opgaver tilbageføres til kommunen, og IT-sikkerhedsorganisationen ændres i overensstemmelse hermed.

Det nye Sikkerhedsregulativ indeholder ændringer i IT-sikkerhedsorganisationen, herunder at Borgerrepræsentationen samtidig med godkendelsen af Sikkerhedsregulativet har delegeret sin kompetence til at godkende behandlinger af personoplysninger til Økonomiudvalget, de stående udvalg og bydelsrådene.

Endvidere har Revisionsdirektoratet i 2000 afsluttet en generel undersøgelse af kommunens IT-forhold. I forbindelse med udarbejdelsen af det nye sikkerhedsregulativ blev behovet for at supplere retningslinier m.v. som opfølgning herpå derfor vurderet. Dette gav blandt andet anledning til at IT-organisationen og placering af IT-opgaverne blev ændret og præciseret tillige med ansvaret for opgaverne.

Ved udgangen af 2000 havde Overborgmesteren, den enkelte borgmester henholdsvis bydelsrådsformand i henhold til § 24 i "Sikkerhedsregulativ for behandling af personoplysninger i Københavns Kommune og forsøgsbydelene" udpeget i alt 17 sikkerhedsledere, der fordeler sig således på de enkelte forvaltninger og forsøgsbydele:

Forvaltning/ Antal

Bydel: sikkerhedsledere:

Økonomiforvaltningen 3

Kultur- og Fritidsforvaltningen 1

Uddannelses- og Ungdomsforvaltningen 1

Sundhedsforvaltningen 1

Familie- og Arbejdsmarkedsforvaltningen 1

Bygge- og Teknikforvaltningen 4

Miljø- og Forsyningsforvaltningen 1

Bydelen Kgs. Enghave 1

Bydelen Valby 1

Bydelen Indre Nørrebro 1

Bydelen Indre Østerbro 1

Revisionsdirektoratet 1

Sikkerhedslederens opgaver fremgår af Sikkerhedsregulativet.

På baggrund af den nævnte sikkerhedsbekendtgørelse fra Justitsministeriet er der i Sikkerhedsregulativet sket præciseringer af sikkerhedsforanstaltningerne hos eksterne databehandlere, ligesom der er sket en præcisering af de generelle kontroller og den orientering, der skal gives den enkelte medarbejder om IT-sikkerheds-bestemmelserne.

Kommunedata varetager driftsafviklingen for størsteparten af de fælles IT-systemer, der anvendes i Københavns Kommune. Kommunedata indestår i henhold til outsourcingaftalen blandt andet for, at kommunens sikkerhedsregulativ til enhver tid overholdes. Kommunedatas sikkerhedsanschef udarbejder hvert år tilsvarende forvaltningernes og forsøgsbydelenes sikkerhedsledere en årsberetning om sikkerhedsarbejdet i forhold til Københavns Kommune.

Endvidere udarbejder Kommunernes Revisionsafdeling årligt en revisionserklæring, hvis primære formål er at påpege mangler eller andre forhold af betydning for opretholdelsen af et tilfredsstillende sikkerhedsniveau i Kommunedata og påse, at gældende sikkerhedsbestemmelser overholdes.

Af revisionserklæringen fra Kommunernes Revisionsafdeling for 2000 fremgår blandt andet, at Kommunedata har behov for et langt mere detaljeret sikkerhedsniveau end angivet i sikkerhedsbekendtgørelsen, hvorfor en række af revisionskravene tager mere hensyn til det detaljerede niveau end til de formelle krav i bekendtgørelsen.

Det fremgår endvidere af revisionserklæringen, at revisionen ikke har givet anledning til forbehold. Erklæringen, som er godkendt af Kommunedatas bestyrelse, vedlægges som bilag til nærværende årsberetning.

Al adgang til IT-registre er betinget af en konkret autorisation fra en sikkerhedsleder. Antallet af personer, der er autoriseret til én eller flere funktioner i kommunens systemer og netværk, udgør ca. 12.000, hvoraf hovedparten er til systemer, der driftsafvikles på Kommunedata. Et mindre antal brugere er autoriseret til systemer, der driftsafvikles på edb-centralen i Københavns Energi og andre edb-service-bureauer samt internt i forvaltningerne på lokale servere.

Der er i Familie- og Arbejdsmarkedsforvaltningen konstateret eet sikkerhedsbrud, idet en medarbejder ved et lokalt center har foretaget udbetalinger uden lovhjemmel. Medarbejderen blev bortvist, da forholdet blev opdaget, og sagen blev meldt til politiet. Der er efterfølgende faldet dom i sagen.

Der er herudover konstateret tilfælde, hvor fejlbetjening, fejlsøgning og mistede eller glemte kendeord har forårsaget, at de pågældende er blevet afvist adgang til datasæt og konkrete systemer. Tilfældene betegnes ikke som egentlige sikkerhedsbrud.

Endelig har Datatilsynet i 2000 rettet henvendelse til Økonomiforvaltningen og Familie- og Arbejdsmarkedsforvaltningen om

• berigtigelse af oplysninger, som borgeren mente var urigtige
• klage over søgning om en borger i et register.

Efter at de konkrete forhold er blevet undersøgt i forvaltningerne og beskrevet overfor Datatilsynet, har Datatilsynet ikke fundet anledning til at foretage sig yderligere i de pågældende sager.

De hidtidige registerforskrifter er i Persondataloven erstattet af anmeldelser til Datatilsynet. Anmeldelserne er efter godkendelse i de respektive udvalg foretaget til Datatilsynet af forvaltningernes sikkerhedsledere i henhold til Persondatalovens bestemmelser herom.

I 2000 blev fremsat 14 anmodninger fra borgere om generel indsigt i registre h.h.v. behandlinger og 2 om indsigt i specifikke registre henholdsvis behandlinger.

Anmodningerne blev imødekommet og gav ikke anledning til særlige bemærkninger.

Sammenfattende konkluderes, at arbejdet indenfor IT-sikkerhedsområdet i år 2000 ikke giver anledning til særlige bemærkninger.

-

-

• Sikkerhedsregulativ for behandling af personoplysninger i Københavns Kommune og forsøgsbydelene.

• Revisionserklæring for 2000 om Kommunernes Revisionsafdelings edb-revision i Kommunedata A/S.

Erik Jacobsen