Hvem har tilgang til dine sensitive data?

For selv om det kan være større konsekvenser av at utenlandske spioner får tilgang på informasjon om svensk militært personell, enn at uvedkommende med administratorrettigheter kan lese pasientjournalen på sykehjemmet, er problemet prinsipielt sett det samme.

God håndtering av sensitive data fordrer at det faktisk er få personer som i det hele tatt kan hente fram dataene.

I den aktuelle skandalen i Sverige manglet det sikkerhetsklarering for en del IKT-medarbeidere.

– Vi kan ikke bare tenke på økonomi når vi setter ut datasystemer til eksterne, vi må også tenke på sikkerhet, sier IKT-spesialist David Lindahl til Dagens Næringsliv.

NRK avslørte i vår at over 100 utenlandske IKT-medarbeidere har hatt administrasjonsrettigheter til IKT-systemene i Helse Sør-Øst. Helseforetaket bestemte i slutten av juni ifølge NRK å stoppe konkurranseutsetting av IKT-driften inntil videre. Ledelsen har innrømmet at de ikke har hatt kontroll på modernisering av infrastruktur. I mai fortalte Bergensavisen at informasjon om nesten 1.000 personer med diabetes hadde kommet i hendene på et dataselskap.

Det er dessverre liten grunn til å tro at det generelt sett står veldig mye bedre til i Kommune-Norge. Kommunene skal håndtere en rekke til dels svært komplekse systemer, som inneholder mye sensitiv informasjon om svært mange innbyggere.

Ett punkt som det er naturlig å kontrollere for jevnlig, er rett og slett hvor mange og hvem som er inne i systemene og tilegner seg informasjon. Er det de samme som faktisk har behov for tilgang og behov for å kjenne til data som er lagret? Er det personer som er ansatt i kommunen, eller andre steder? Hvilke personer har administratorrettigheter, og hvilke opplysninger har de sett på? Dette er kontrollrutiner som bør fungere, enten kommunen heter Utsira eller Oslo.

Forvaltningsrevisjonsregisteret som Norsk kommunerevisorforbund vedlikeholder, indikerer at det er svært sjelden forvaltningsrevisjon av disse spørsmålene. Ett av unntakene er Øygarden, som for to år siden hadde forvaltningsrevisjon om informasjonssikkerhet, IKT-drift og kommunikasjon. Det er liten grunn til å tro at Øygarden er dårligere enn andre kommuner, men konklusjonen fra firmaet Deloitte var klar:

«Revisjonen vurderer at manglande kunnskap om bruk av IKT-systema vil auke risikoen for at dei ikkje blir nytta på ein effektiv måte, og det kan også auke risikoen for at personopplysningar og anna fortruleg informasjon ikkje vert tilstrekkeleg sikra.»

I forbindelse med rapporten gjennomførte Deloitte en spørreundersøkelse internt i kommunen. 85 prosent av de som svarte, oppga at de kom i kontakt med sensitive personopplysninger. Tre av fire kjente ikke til rutinene for å melde om avvik ved IKT-sikkerheten. I kommunens eget reglement mangler det ifølge revisjonen spesifiserte krav til databehandleravtaler med leverandører.

Rådmannen er ansvarlig for at informasjonen ikke kommer på avveie. Å kontrollere det er en omfattende og viktig oppgave, som sannsynligvis altfor mange offentlige virksomheter tar altfor lett på.

Ikke minst i en tid hvor trenden går i retning av at data lagres i den berømmelige «skyen» (som egentlig ikke er en sky, men en rekke forskjellige datamaskiner som står lagret et annet sted enn i kommunens eget datasenter), er det fort gjort å miste kontroll på hvem som i realiteten har tilgang på dataene som lagres i IKT-systemene.

Til syvende og sist må kontrollutvalget få jevnlig informasjon om at IKT-sikkerheten i kommunen er god nok. Det kunne være naturlig at dette ble et punkt i årsmeldingen fra kontrollutvalget, eller at rådmannen årlig la fram en sikkerhetsrapport som nettopp dokumenterer brudd på IKT-sikkerheten og hva som gjøres for å sikre at ikke hvem som helst kan lese hvilke medisiner de gamle på sykehjemmet får, eller hvilke tilbakemeldinger elevene i 1. klasse har fått.