med GDPR - Toll...Unntattoffentlighet:offl.§14 Kanikkevidereformidlesutengodkjenning Situasjonsbeskrivelse (funn) personopplysningsbehandlinpunkt2.1-2.5).Intemrevisjonenharimidlertid

Unntatt offentlighet: offl. § 14

Kan ikke videreformidles uten godkjenning

Vedlegg 2: Intemrevisjonens anbefalte tiltak med situasjonsbeskrivelse og risiko

Situasj onsbeskrivelse

(funn)

"Styringsstrukmr, ansvar ogm dighet

Utdyping og risikovurdering Anbefaling

Internrevisjonen vurder

tildeling av ansvar og

myndighet for etterlevelse av

personopplysningsloven

sentralt/på etatsnivå til å

være noe utydelig og

mangelfull.

Det er en vesentlig risiko forbundet med dette

området mht. at ansvarsforholdet for behandlinger

ikke er avklart i organisasjonen.

Ansvarsstruktur må tydeliggjøres og

nedfelles skriftlig. Bør kobles på VFAsprosjekt 'rammeverk styring ogkontroll' som skal tydeliggjøre intem

styring og kontroll i etaten. Må også

sees i sammenheng med pågående

omorganisering.

Ansvar/frist

`

1.2 Intemrevisjonen vurderer

rapporteringskrav og linjer

mht. personvern å være

utydelig.

Det er (så vidt intemrevisjonen kan se) ingen

etablerte strukturer for rapportering av

personvembehandlinger (med formål ogbehandlingsgrurmlag) utenfor sentrale systemer, for

personvernetterlevelse eller avvik fra dette, verken

innad i regionene eller fra regioner til direktoratet.

Det bør etableres rutiner for en

regelmessig gjennomgang, oppdatering

og kontroll.

VFAStøtte fra GDPRprosjektet

November 2018

1.3 Regionene oppgir en rekke

offentlige etater somsamarbeidspartnere. Flere av

disse forholdene er regulert

av sentralt inngåtte

samarbeidsavtaler.

De sentrale samarbeidsavtalene varierer i omfang og

i hvilke grad det hjemles og oppgir grunnlaget

(ramme) for samarbeid og informasjonsdeling.

Dette kan eksempliñseres ved å samenligneinngått avtale med Skatteetaten og Politiet.

Intemrevisjonen ser en risiko for at innholdet i

sentrale samarbeidsavtaler, sammen en avvikende

tolkning av hjemmelsgrumtlaget for samarbeid ogdeling av informasjon, medfører en praksis i

regionene hvor informasjon tidvis deles ukritisk oguten et klart formål.

Det freÆgåf også av revisjonen at

Utarbeide og tydeliggjøre retningslinjerP 77 _

og hjemmelsgrunnlag for samarbeid og

informasjonsdeljng med andre

kontrolletater i sentrale

samarbeidsavtaler. Herunder også

presisere vilkår for deling ogbehandling av personopplysninger i de

enkelte avtalene.

Etaten bør også foreta en vurdering av

hva som kan deles ulike

samarbeidsaktører, og innenfor hvilken

kontekst. Dvs. å utarbeide klare og

tydelige retningslinjer, opplæring og

VFA

November 2018

Stab

VFA og TES gir støtte,

GDPR-prosjektet kan bistå.


(funn)

Utdyping og risikovurdering

informasjonsdeling og samarbeid i mange tilfeller er

basert på regionale og eller personlige relasjoner.



Anbefaling Prior. Ansvar/frist

bevisstgjøring for å redusere risikoen

for uønsket deling av informasjon

eksternt.

`2: ;Kompetansebygging ›

. ; ` ,

2.1 Generell usikkerhet mht. hlfonnasjonssikkerhets-

definisjon og forståelse av leder ogpersonopplysninger og

`

_ , personvernombudpersonvern, bla: Flere regioner oppgir å ha god kontroll mht. çgzzäågfåeleâåågäigr

a

0 Hva er en sensitive personopplysninger, men ikkeinnenfor personvern og

Frist: 2018

pe.rsonopplysning og når personopplysninger generelt.infomasjonssikkerhet. Defineres inn i

bh! det en_ , _ en «tollkontekst»

personopplysmng? R1$1ko for manglende personvern pga manglende0 Hva er skillet mht. forståelse for hva som er personopplysninger, samt

Etablere rutiner for oppdatering avsensitive forståelsen av andre relevante begreper innenfor

oversikt, samt for formidling ogpersonopplysninger? regelverket.

til.

.li. .

0 Hvor går grensengjenge ggjørmg.

mellom behandling og

formål? , ,2.2 Noe svak bevissthet om hva` \ GDPR prosjektet

det er Viktig for den enkelte å Utarbeide en enkel «vær varsom»

ta hensyn til' Det oppgis vanskeligheter med å tolke inni enplakat med de viktigste momentene

`

AküVt bidrag fra

praktisk «toll-konteksb›, det gis tilbakemelding omat informasjonen ut til regionene gjerne kan være

`

mer komprimert og spisset, og tilpasset målgruppen.

ut 'fu' informasjons-'

sikkerhetsleder og

Bør baseres på personvemkrav i Policy Personvernombud

for personvern (jf. GDPR gruppens

tiltak T18) I.Frist: 2018

;14:51: hhvliglidxogdjjemmfekgmmdagæa_

.

i_ `

i_

.

v _ .

3“] Det erMeg for å vurdere Ordlyden som følger av tolloven § 13-12 (1) er såpass Intermevisjonen er innforstâtt med atKA

b 'd d VF TESetatens hjemmelsgiulpxxjagvidt formulert at den brukes h'l å legitimere et ordlyd i samtlige av etatens hjemler er ;15:eâls;; fra åDPR-

og

for flere av etatens pagaendevesentlig omfang av Tolletatens aktiviteter (se bla. valgt med omhu for å tilegne etaten et

prt;sjaktet og

k



Situasjonsbeskrivelse

(funn)

personopplysningsbehandlin punkt 2.1-2.5). Intemrevisjonen har imidlertid

ger. Spesielt tollovens § 13-12 usikker på om hjemmelen i sin helhet ligger til

Utdyping og risikovurdering Anbefaling Ansvar/frist

størst mulig handlingsrom.` personvemombud.

; Juni 2019er av regionene ofte trukket grunne for den fortolkning og praksis som regionene Det bør gjøres en gjennomgang avfrem for å legitimere ligger til grunn. eksisterende hjemmelsgrunnlag (mht.

innsamling og behandling av 0 Det er usikkert om «ikke-verifiserte» personopplysningsloven, forskrift ogpersonopplysninger. personopplysninger innen fire måneder ny forordning). Vurder tilstrekkelighet Tiltak 3-1 gjelder

avklares mht. om opplysningene er korrekte og tydeliggjør informasjon internt i helheten/resten, mensog relevante. etaten om hva vi kan gjøre, og om det noen Prioriterte

0 I enkelte tilfeller er det observert lagring av finnes avveininger som må hensynstas. enkelt-punkter er omtalt

personopplysninger utover «det som er spesifikt som punkt 3.2,

nødvendig ut fra formålet med Vurdere behov for lovendringer eller

behandlingen». presiseringer, samt forskrift til bla §13-

0 Usikkert om metodebruk/verktøysbruk for 12

innsamling av personopplysninger (se 2.1-

2.4) er dekket av § 13-12.

0 Det er observert innsamling og registrering

av personopplysninger som er uklart om er

nødvendig (jf. bla. punkt 2.5)

Flere regioner etterlyser en forskrift til § 13-12, somkan definere krav og premisser for innsamling,

\ registrering og bruk/oppbevaring av opplysninger,

herunder nødvendighetskrav, tilstrekkelighetskrav,

oppdatering og andre hensyn.

Det er en vesentlig risiko for at det forekommerbehandlinger som er i strid medpersonopplysrüngsloven. Det er en risiko for at

regionale fortolkninger kan medføre behandlinger

som er i strid med annen lov, og selv om vi kanrettferdiggjøre dette iht. eget hjemmelsgrunnlag, vil



Situasjonsbeskrivelse Utdyping og risikovurdering Anbefaling Prior. Ansvar/frist

(funn)

kunne skade etatens omdømme._

-

;11

3.2 Spaning i Tolletaten Regioner innhenter store mengderreguleres av personopplysninger gjennom spaning (dvs. KAEtterretningshåndbokens observasjoner). Dette omfatter enkeltobservasjoner

tolkning av etatens av bevegelser utenfor grensenære strøk. I flere Utrede hjemelsgmrmlaget forhandlingsfrihet i det. tilfe'ller er det også registrert ogaplysruüpger 0.111 aktiviteten sett opp mot andre krav ogoffenthge rom og en Instruks penfere pef'soner (herunder mmdrgange), lqøretøy, hensyn (herunder Personvem).

`

fra 2006 (som fremsta'r noe afiressef', V1rk'somhieter, m.m. Det v11km tas Vurdere behov for lovendringer eller

`

overordnet og utydehgimht. büdér/ñlmes 1 forbmdelse mer? et spamngsoppdrag.presiseringer (effektiv og profesjonell

`

personvern og Pehandhng av Muhg at etaten mangler rettshg grunnlag forobjekmtvelgelse og etterretning).

`

personopplysmnger). verktøybruken.

1

Det er mange ulike spaningsenheter med en mengde Tyd:e1'1ggjørmg 1 Instruks nar

Word-dokumenter og andre dokumenter som al.<t1V1teten kan og 1k.ke kan.

tilhører gitte saker. Det blir fragmentert og ulikt når gjennomføres (mht. mnsamlmg og

det blir opp til den enkelte tjenestemann] registrering), samt hvilke

`

spaningsgruppe eller region/seksjon å bestemme hva hjelpemiddel etaten kan bruke

;

som er krav mht. bearbeidelse og lagring, hvem som (videopptak, lyd0pptak, bilder 05“)-

skal gjennomgå dokumenter, når de skal sjekke ut og Spesifisere hvilke Opplysnmger 30m

fjerne personer som er registrert på saken, samt kan registres, hvor 08 hvordan

hvilken retüng/sletting/kontroll som skal foregå opplysrünger Skal lagres og sikres,

1 underveis og når saken avsluttes. hvor lenge opplysninger skal

oppbevares, når de skal korrigeres med

Risiko for brudd på krav om dataminimering, mer.

formålsbegrensm'ng og krav til

informasjonssikkerhet. Risiko relatert til omdømmedersom denne typen praksis blir kjent for

, offentligheten.

3.3 Etterreüu'ngs-håndbokens Det følger av Etterremimgshåndboken at Tolletaten, Gjennomføre en ny vurdering av4

TES

`

fortolkning av som offentlig myndighetsutøver (med all den personupplysrüngslovms påvirkning.

1

ersonopplysningslovm og informasjon som er tilgjengeligi ulike registre og på etatens etterretxüngsarbeid, og Samarbeld med og støtte fra

4



Nr Situasjonsbeskrivelse

(funn)

Utdyping og risikovurdering Anbefaling Prior. Ansvar/frist

handlingsfrihet i det systemer), i det offentlige rom har handlingsfrihet herunder Tolletatens (som offentlig

offentlige rom sidestilt med den alminnelige borger. myndighet) handlingsfrjhet i det regelverksfortolkmng

offentlige rom (slik dette er beskrevet i

Den vurderingen som her ligger grunn, dvs. sporing Etterretningshåndboken). Eventuelt` Henger sammen med

og overvålcrüng av enkelt-personers bevegelser og oppdatere håndboken og tydelig punkt 3-2

atferd (i det skjulte), kan krenke retten til privatliv. kommunisere dette h'l etatens ansatte.

Frist: 2018

En feiltolkning av hjemelsgrunnlag (hensyntatt

personopplysningsloven) kan danne grunnlag for en

uønsket presedens i store deler av virksomheten

Risiko for tap av omdømme.3-4 S KA i samarbeid med TES

Juni 2019

Omådet bør eüergås 08 utredes mht-

behov, hjemmelsgmmlag 08 omPraksis bør underlegges sentral styring-

Vurdere behov for restriksjoner,

At det er sentral kjennskap til regional praksis lovendringer eller presiseringer_ medfører en form for stilltiende aksept med et (effektiv og profesjonell`

tilhørende uklart ansvarsforhold. objektutvelgelse og etterretning).`_ Tydeliggiøring i instruks når`

aktiviteten kan og ikke brukes_ SiennOmføres (mht innhenting 08registrering av Personopplysninger),

samt hVilke hjelpemiddel etaten kan

bruke_


(funn)





Risiko for brudd på personopplysningsloven mhtrettslig grunnlag, dataminimering, samt

formålsbegrensning. Opplysningene er forsøkt- beskyttet gjennom en rekke særegne tiltak, men det

er fortsatt noe gjenværende risiko knyttet til

`

informasjonssikkerhet, herunder sporbarhet og

1

tilgjengelighet., ,

`

3.5 Åpne kilder (og OSINT).Praksis varierer også mht KA i samarbeid med TES

Enkel ersoner ben er se .''

., .

av åprt: kilder 111 inny:tamlir;gg- PC'er MWM/“tema wuneuet' °s"' Pa hk

Utrede behov for virkemiddelbruken Iuni 2019av inform 'on inkludert

linje med_1 er denne typen(når hvorfor o hvordan) Utrede

informasjc::J on;informasjonsinns

.

g ikke underlagt sentralhjenlxmelsgrumâlag for bru.k samt

a1keltpersoner (behandlingstynng.

eventuelle behov for lovendringer eller

av personopplysmnger).Hjemelsgrumdaget for denne typen behandling og Pr?:1:st:r:âe:1(e:f:k::t:åeä:eâlmen

I all h vedsak innebærermnsamhn'

'

g av personopplysninger er uklart,Gb) 5 s 5 g '

dette :ruk ulikeinkludert registrering, lagring og sammenstillm' g T d 11'

. . _

truks n° lik f

søkemotor::(kjente 0med andre opplysninger fra andre kilder. Det er, i

få:: :miglafål 1:: kilder:r 1Iillndtzzrfarmer

Ukjente) annonsesidefmangler På klare re

.

gslinjer og risikovurdering,sentral stynn'

P0 sålede: r eregst

(Finnno, og Proffno) og

ingen systematikk mht. bruk ogmht bruk utsiekgning, hva :år: kan

sosial media (herundermformaswnsmkkerhet (herunder for egne ansatte).

registres, hvor og hvordan

TIWltzjiräaçüèoä :gDette er også området hvor det er stor risiko fpplysnmlger kan håres og ideas, hvor

_

' mm Iforbundet med eventuelle brudd på 8.1138 Opp ysnmger an opp evares,

utstrekmng forekommerersono l snin loven (både mht s 1

.

er 0nar de skal komgeres med mer

også søk på DarkWeb («det:md PI;;

g ' on g

mørke nettet»).'

3.6 Risiko og I noen tilfeller innebærer kontrollene samarbeid med Det bør foretas en utredning KA i samarbeid med TESTrusselvurderinger av og innhenting av informasjon fra andre (herunder hjemmelsgrunnlaget for denne type Desember 2019ansatte i tollrelaterte og primært politiet - og sensitive opplysninger om aktivitet, sett opp mot krav til

tollnære Virksomheter.`

straffbare forhold) som lagres i mapper innenfor personvern.


(funn)

I etterretningsøyemed

gjennomfører enkelte

regioner ulike kontroller av

ansatte i andre virksomheter,

for eksempel ved flyplasser,

sjåfører, piloter i flyselskap

og ansatte ved tollager:

Noen regioner driver en


tollnettet. Det er mer utbredt at regionene sjekker

personene opp mot tolls egne registre, f.eks. PUS.

Det er uklart hvor bredt etaten kan gå mht. andre

virksomheters ansatte, og fortsatt være irmenfor

nødvendighetskravet i § 13-12, samt krav til

formålsbegrensning og dataminimering. Det er

uklart om etaten har hjemmel til å lagre og

sammenstille denne type opplysninger fra politiets

systemer.



Anbefaling

Vurdere behov for lovendringer eller

presiseringer (effektiv og profesjonell

objektutvelgelse og etterretning).

Prior. Ansvar/frist

relativt systematisk analyse Med hensyn til tollager har enkelte regioner valgt en

og trusselvurdering, mens praksis med egenerklæringsskjema, dvs. at foretaket

andre gjør dette i mindre erklærer selv at det er plettfri vandel hos selskapets

utstzekning ansatte. I tollforskriften § 3-1-18 annet ledd bokstav bfremgår det at det er et vilkår for tillatelse at

«søkeren personer i ledelsen iforetaket, foretakets

juridiske representanter og personer iforetaket som er

ansvarligfor oppgaver relatert til tollbehandling av varer

ikke har begått alvorlige eller gjentatte overtredelser av

, toll-, skatte- og avgiftslavgivningen de siste tre år».

4.f , .i

ii 7 v i

'

Behandling av personopplysnmger4.1 Regionene behandler en Regionen foretar en omfattende innsamling av Den enkelte region bør utarbeide en

omfattende mengde informasjon (fra observasjoner, resultat av fullstendig oversikt over hvilke Alle regiondirektører

personopplysninger i lokale kontroller, tips og deling av informasjon fra private personopplysm'nger som behandles

systemer og mapper. og offentlige samarbeidspartnere, m.m.). hvor, hva som er formålet og antatt Mars 2019

hjemmelsgrurmlagVirksomheter som behandler Regionene mangler stort sett en oversikt over hvor (behandlingsgruxmlag) for

personopplysninger er pålagt personopplysningene som samles inn registreres og behandlingene.

å ha en fullstendig og lagres, samt hva som er formålet og hjemmel

nøyaktig oversikt over hvilke (behandlingsgrunnlag) for de enkelte Avvik og uklarheter bør rapporteres

personopplysninger som behandlingene. I en rekke ulike dgøftes med TOD




(funn)

behandles, hvor de behandlingsaktiviteter (særlig innenfor innsamling

oppbevares, hvor de kommer og registrering) er ikke formål for behandling lett å

Utdyping og risikovurdering Anbefaling Prior. Ansvar/frist

V/personvemombudet

fra, samt det rettslige forstå/tydelig.

grunnlaget for behandling

Det er imidlertid ingen Som en konsekvens er regionene langt unna å kunne

`

regioner som kan fremstille dokumentere etterlevelse av regelverket, noe somen slik oversikt. utgjør en risiko for brudd. Det er også en risiko for at

innsyn iht. personopplysningsloven ikke vil kunnehåndteres i eksisterende regime (uten oversikt).

4.2 Det er observert eller Formålsprinsippet innebærer også at data ikke skal

rapportert (i skjema) uttrekk, gjenbrukes til uforenelige formål. Alle regionenesammenstilling og

bearbeiding av opplysninger I revisjonens gjennomgang er det funnet en rekke Med utgangspunkt i"

Mars 2019fra flere ulike kilder og sammensüllinger hvor det er usikkert om formålet behandlingsprotokoll, må den enkelte *

registre, slik som: TVINN, ved behandlingen er forenelig med bruk av de region/avdeling vurdere om nyePUS, TRL, VIRK, NCTS, samme opplysningene innen andre formål (andre behandlinger 1 form av

FKR, Tollflaten, ANPR fagområder). Det er også flere tilfeller der sammenstillinger, analyser og gjenbmk `

Valutaregisteret, AA, TASS, opplysninger som i utgangspunktet kan være samsvarer med definerte formål ogsamt info fra andre utenfor hjemmel, sammenstilles med annen behandlingsgnmnlag.etater/samarbeidspartnere. informasjon, og spørsmålet er om resultatet da er

lovlig. Formålet for viderebruk og sammenstilling er Den enkelte region bør vurdere

i mange tilfeller utydelig. eksisterende analyser og

sammenstillinger -for å se omFunnene som fremgår av revisjonen tyder på at det i behandlingene der er innenfor formål

liten grad er gjort refleksjoner rundt formål og eller om de inneholder data som ikke

lovh'ghet ved gjenbruk, analyser og kan brukes til formålet. Avvik ogsammenstillinger, og at tilgjengelig informasjoni uklarheter drøftes med TODstor utstrekning brukes og sammenstilles relativt V/personvemombudet

\BetydeligLisiko for eigtaten behandler


(funn)


personopplysninger utenfor formål og hjemler i

forbindelse med gjenbruk, sammenstilling og

analyse (med data fra flere ulike kilder)



Anbefaling Ansvar/frist

personopplysninger i andres

systemer (primært

Utover registre er tilgang til å bruke Vegvesenets

(SVV) kameraer mht. ANPR et annet eksempel.

4.3 Tolletatens regioner har en Ved innsamling av personopplysninger*i

silisigiem ersamletPerS°n°PP1stmger skal begrenses til de* S°m er å::83353355?31;;I:”I Èn er

P PP y 8 nødvendig for innsamlingsformålet. Det gjelder _

3 g P P? y gmn og lagret utenom sentrale _ _ . er umenfor mnsamlmgsformalet, og

bade for mengden av opplysmnger som samles mn . ., .

systemer. Det er blant annet , unnga a samle mn det som faller_ (dybde) og antall personer det samles mnmnsamlet og lagret mye . . utenfor., _ opplysnmger ørn/antall personer 1 et datasettmformaspn om mange

(bredde)personer, som i hht prinsipp

'

Den enkelte region bør vurdere

om da,

efmg kan Det er stor sannsynlighet for at etaten innhenter ogallerede .et data

være vanskellg a forsvare. _ . . (personopplysnmger) og vurdere omreglstrerer en betydehg større mengde opplysnmger

disse er i henhold tilenn hva som er nødvendig for formålet. Betydelig _ _ ,

. . . umsamhngsformalet, eller det omfatternSlkO for at etaten behandler personopplysnmger

. . . , for mange enkeltpersoner eller for myesom 1kke er nødvend1g for formalet. Lagrmg avinformas'on om I 1 rsoner

informasjon om bipersoner, tidligere kjærester, Jtpe '

:m111

Eni-liesiko

er osv. har betydehgAvvik og utfordringer bør rapporteres

'

til/drøftes med TODi v/personvemombudet

4.4 Tolletatens ansatte har I flere regioner er det ansatte som har h'lganger til Det må gjennomføres en vurdering av i

tilgang til andre kontrolletaters registre, herunder også Indicia. hvilke grad Tolletaten skal ha tilgang

til denne typen registre og i hvilke grad

dette kan brukes i Tolletatens arbeid

innsamling), herunder Dette innbefatter tilgang til kameraer som ikke er (formålsforenelig).

Indicia, Statens vegvesen, «grensenære».

m.m. Avvik mht. felles database for ANPRIntemrevisjonen er usikker på hjenmælsgrunnlaget ogSW er (så vidt internrevisjonen

Dette innebærer at etaten har for tilgangen til denne typen eksterne registre og kjent) allerede identifisert avtilgang til et vesentlig kameraer, herunder om dette er informasjon toll systemeier, og det er iverksatt iiltak.

Alle regionene/

regiondirektører

Mars 2019

KASamarbeid med TES ogstøtte fra GDPRprosjektet

Juni 2019


(funn)





foregår også i egne analyse

omfang av (sensitive) faktisk har tilgang til å benytte i analyser/

personopplysninger som er saksbygging. Dette er en form for innsamling somsamlet inn og behandlet med Datatilsynet og media har fokusert på, og eventuelle

andre formål enn det som brudd vil utgjøre en stor risiko for etaten (både mht.

Tolletaten legger til grunn i sanksjoner og omdømme).sitt arbeid. i

'5,Internkontroll (popply' §14)

.

_› 4

4.i

5.1 Det følger av Tollregionenes befatning med innsyn er i all

i

Personvemombudetpersonopplysningsloven at hovedsak relatert til innsynsbegjæringer i P360, med

`

Virksomheter som behandler bakgrunn i publisering på offentlig elektronisk Desember 2018personopplysninger (private postjournal (OEP). Regionene har liten befatning

PgoffentPige) har plikt til å gi med at innsyn flirekte relateres til

- . Utarbeide føringer/instrukser ogmformaspn om dette, bade personopplysnmger, herunder behandlmg, formal . , _

. . . . . . . . . . retnmgshnjer for hvordan man svarerpa eget 1mt1a11v og nar det og overSIkter. Flere regloner oppglr en usnkker mht. ,

bes om inns . hvordan denne en henv del er skal håndterut og handterer denne typeyn typ en 5 eshenvendelser

innenfor eksisterende praksis (dvs. manglendeoversikt over behandling og informasjon).

Risiko for feil håndtering av denne type

henvendelser. _5.2 Tolletaten behandler og Det behandles og oppbevares store mengder

i

Behandlingsaktiviteter utenfor de VFAsammenstiller store mengder personopplysninger utenfor sentrale system. sentrale systemene må gjennomgås ogpersonopplysninger i Sentrale systemer oppgis av regionene å ha mangler vurderes. Dette omfatter Tolletatens Input og støtte fra

mapper på datamaskin, på når det kommer til sammenstilling, analyse og egne behandlingsaktiviteter systemeier/

telefoner, Internett, i e-post utarbeidelse av oversikter. Pragmatiske holdninger (innsamling og registrering), og fra avdelingsdirektør for

med mer. Behandlinger og mangelfull forståelse av personvern og Eksterne kilder. tilhørende systemer: KA,formålsbegrensninger, vil også ligge til grunn for

og saksbyggingssystem. behandlinger. Enkelte regioner oppgir også at Det bør stilles tydelige krav til hvilke

terskelen for å legge inn informasjon i sentrale av personopplysningsbehandljngeneOpplysningene behandles og systemer (eks. PUS og P360) tidvis er høyere enn for som regionene kan og ikke kanlagres pga. mappestrukturer. fortsette å gjennomføre utenfor sentrale

TES, TV, Og IT\

2018

10


(funn)

dokumentasjonsbehov eller

fordi det kan eller vil være


Opplysninger som behandles utenfor kan være



Anbefaling

systemer (på kort og lang sikt, jf.

TREFF). Herunder må det tydeliggjøres

sentrale systemer, og disse er

ikke underlagt den sammeinternkontroll mht. sletting

eller korrigering sominfomasjon som f.eks. ligger

i PUS.

rekke ulike tollprosesser. Vedleggsrapporten viser

hvilke prosesser og aktiviteter dette gjelder, samt

hvordan og hvor det eventuelt lagres

personopplysninger.

Det er en betydelig risiko for at persønopplysgigger

nyttig/nødvendig for sensitive personopplysninger og/eller erklæringer på hvilken måte og i hvilken

eksempel for en målrettet som er vesentlige for saksgang eller saksbygging, utstrektüng behandlingene kan ivaretas

kontroll. Flere regioner men som ikke nødvendigvis skal inngå i det i sentrale systemer.

oppgir også usikkerhet mht. endelige produktet. Eksempler er:

hva som kan registreres i 0 OP-saker med underlagsdokumentasjon, Det bør utarbeides retningslinjer

sentrale systemer. spaningslogger med mer og/eller stilles tydelige krav/kjøreregler

- ANPR-«Target-lister» |

til behandling av personopplysninger

Det er ikke all infomasjon 0 NETROM utenfor smtrale systemer

som nødvendigvis kan eller 0 Ulike oversikter og lister, herunder også

skal registreres i gitte postsperrer

systemer på kort og lang sikt, .

og det er et behov for å Personopplysninger som behandles utenfor de

behandle informasjonen på sentrale systemene er underlagt en annen

en annen måte. informasjonssikkerhet og internkontroll. Det er

risiko for brudd på en rekke krav, herunder krav til

lagringsbegrensning, riktighet, formålsbegrensxüng,

datamirümering, integritet og fortrolighet. Risikoen

antas å være betydelig, ettersom behandling og

formål/hjemmelsgrunnlag i stor grad vil være basert

på enkeltpersoners eller gruppers vurderinger.

:5.37 Tollregionène lagrer store Gjennomgangen viser at det er Aktiviteter og prosesser bør

mengder personopplysningsbehandlinger med gjennomgås, og det bør stilles tydelige`

personopplysninger utenfor lagring/oppbevaring utenfor sentrale systemer i en krav til hvilke av personopplysningene

som regionene kan og må slette og

rette. Det bør gis anbefalinger omhvilke typer behandlinger som skal

prioriteres for sletting og retting, og

hva regionene kan og bør lagre.

Prior. Ansvar/frist

Input og støtte fra

systemeier/

avdelingsdirektør for

tilhørende systemer: KA,

iTES, TV, og IT

11


(funn)


lagres lenge etter at formål er avsluttet, og at




Herunder nevnes følgende

Gjennomgangen viser at myelagres langt utover formål (i

de tilfeller der formål kan

beskrives).

Det savnes en tydeliggjøring opplysninger ikke korrigeres/rettes ved nye behandlinger og lagringsmedier som Frist: juni 2019av hva som kan lagres, hvor opplysninger. Risiko for brudd på bør kommenteresog hvor lenge (retningslinjer personopplysningsloven. - NETROM (VPA)fra TOD). - Manifester

- Vaktjoumaler- OP saksdokumenter og

underlagsdokumentasjon fra

avsluttede saker

- Etterkontroll saksdokumenter og

underlagsdokumentasjon fra

avsluttede saker- Gjennomførte/ferdigstilte analyser- Varslingslister

- Felles e-postkasser

- Postsperrer,.

54 Ved gjennomgang er Dette omfatter personopplysninger lagret på papir Regiondirektørermntrykket at det er lagret (utsknftèr og eksemplarer), opplysnmger lagret

Regionene må tilpasse 4

store mengder elektromsk 1 mapper og e-postmapper mnenfor_ . _ Desember 2018

. . . personopplysnmgsbehandhngene t11personoPplysnmger Pa en tollnettet (felles og hlhørende enkelt-personer),- krav fra direktoratet mht behandlinger.rekke uhke steder, pa uhkemaler og ved bruk av 1.111ke Det gjelder

Frem til dette foreligger må den enkeltesystemer, og at dette gjerne lagnng pa reg10ns-, avdelmgs-, seks]ons-, kontor-,

_

d 11 'lk beh dl'lagres over lang tid. gruppe eller individnivå. Både mht. stasjoner,

reglon vur ere VI e an mger

mappestrukturer og enkeltdokumenter.

Knapp tid, organisasjonsendringer og usikkerhet

mht hvem som har ansvar for mapper og

dokumenter oppgis også som en begrunnelse for at

dokumenter med personopplysninger ikke slettes (i

tide). Praksisen er omfattende.

som eventuelt er i strid med krav til

lagringsbegrensning og riktighet (og

må således avsluttes og/eller endres for

å være innenfor lovverket). Ved tvil mådirektoratet (ved personvemombudet)

kontaktes.

12


(funn)


Lik risiko som ovenfor.




vurderinger kan bli foretatt på et for subjektivt

grunnlag (både internt i regioner og regioner

imellom). I denne uklarheten er det en risiko for at

skjerming og tilgangsbegrensning til opplysninger

ikke er tilpasset formålet.

L`6.

. Informasjonssikkerhet - styringssystem

6.1 Begrensninger 03 -1

InformaSjons-

bmkergrensesrüttietatens Etablere???”WMV“ °gi

sikkerhetsleder

sentrale systemer medfører M?mas]°r,'ss “het 1 etaten °g `

. runner for mtemkontroll og _ _

atbehandlmg av ` Samarbeld med regmner. egenkontroll. ,personopplysmnger ogavdehnger

gienmmføres i andre

systemer, stasjoner og` Desember 2018

mappestrukturer _1

6.2 Manglende konkretisering av Utarbeide konkrete retrüngslinjer og Informasjons-

krav til informasjons- krav mht informasjonssikkerheten til sikkerhetsleder

sikkerhet gjør det vanskelig behandling av personopplysninger ogfor den enkelte å vurdere om sensitive personopplysninger i Samarbeid med regioner

valgte utenfor-løsninger er kontorstøttesystemer (utenfor de og avdelinger

tilfredsstillende sikret. sentrale systemene). Bør sees opp motde vurderinger som gjøres mht. hvilke Desember 2018_ behandlinger som kan være utenfor

sentrale systemer

6.3 Ved tildeling av tilganger til Det er regionen, ved nærmeste leder, som skal En god definisjon (tydelig og enhetlig VFA og IT

systemer som inneholder vurdere om «tjenstlig behov» ved tildeling av fortolkning) av begrepet «tjenstlig

personopplysninger tilgang. Regionene gjør seg ulike refleksjoner rundt behov» vil kunne bidra til å

(herunder sensitive) skal (kravet til) tjenstlig behov til informasjon mht. tydeliggjøre hvilke kriterier regionene

«tjenstlig behov» ligge til tilgangstildeling. Med utgangspunkt i uklarheter er pålagt å vurdere når det skal

grunn for tildeling. relatert til personopplysninger er det en fare for at innvilges tilganger/opprettes brukere.

En gjennomgang av antall tilganger

(brukere), herunder ulike roller, i

sentrale systemer, bør gjennomføres for ,å

å kartlegge om tildelinger er på et

13


(funn)





hensiktsmessig nivå.

6.4 Fysisk sikring av lokaler og

utstyr vurderes av regionene

som jevnt over somtilfredsstillende. Imidlertid er

dette i stor grad basert på en

vurdering av om lokaler og

utstyr er forsvarlig sikret.

Med hensyn til fysisk sikring

(internt og eksternt) av

personopplysninger i

regionen er det enkelte

avdekket enkelte

risikomomenter.

Det er avdekket flere (større og mindre) mangler ogproblemstillinger knyttet til den fysiske sikringen av

personopplysninger. Følgende punkter trekker frem

av intemrevisjonen:

Skrivere: Samtlige regioner oppgir å bruke

fellesskrivere plassert lett ülgjengeligi

kontorlandskapet. Det er imidlertid bare en

region som oppgir å ha skrivere som krever

passord for å hente ut utskrift. Flere regioner

oppgir at gjenglemte dokumenter på skriver

(herunder sensitive personopplysninger)

som et problem.

Skannere: Ved skanning av dokumenter

sendes filen til et fellesområde i regionens

mappestruktur. Dokumentet plasseres i

mapper relatert til brukerID. (Navn påmappe oppgis valgfritt ved skanning, så

dette er ikke et krav.)_Det er under revisjonen oppgitt at det ikke

føres en systematisk oversikt eller kontroll

Informasjons-

sikkerhetsleder

Y

Samarbeid medsikkerhetsleder

Juni 2019

Det bør gjennomføres èn vurdering av

den fysiske sikringen av

personopplysninger i etaten.

Arbeid med holdninger og rutiner -

tydelige retningslinjer - relatert til

14

Nr Situasjonsbeskrivelse

(funn)


0 Nye lokaler (åpne landskap og delte

kontorer): Rutiner/vaner ikke er tilpasset nye




i ulik grad. I

kontrollsituasjoner vil bruk

av mobilkameraer bli brukt

til å dokumentere beslag.

Dette sendes så pr. e-post og

legges inni PUS. Det

kontroll, m.m. er sterkt begrenset.

Selv om ikke revisjonen avdekker en utstrakt bruk

av private telefoner i tjenesten, er det en risiko for at

dette forekommer. Tilgjengeligheten og

lokaler-

|

- Arkivering:

|

1

W

\ _ ` , ,`

6.5 Etatsintem deling av Enkelte utrykker en bekymring for at infomasjonDet bør utarbeides tydelige v

"

5 VFA og IT

informasjon: Det deles ukritisk, og at den generelle oppfatningen er atretnin 51m.” for deling av inform òn

* (sikkerhetsansvarlig ogfremkommer av revisjonen at taushetsplikten etter toll § 12-1 tillater dette - «alle er

interntgi et:1tm og sees i samme“1128'

informasjonssikkerhet)

det deles store mengder underlagt den samme taushetsplikten». Det følgermed tildelingsgrupper og

infomasjon og opplysninger imidlertid av ordlyden «uvedkommende» i § 12-1, attild lin b

. .

s tralintemti etaten, både innad dette også kan innbefatte Tolletatens egne ansatte

e 38 egrensnmger 1 en e

og regioner imellom. som ikke er involvert i den aktuelle saken.systemer.

6.6 Regionene oppgir at bruk av Bruken av private telefoner i tjenesten er vanskelig, KOMprivate telefoner i tjenesten siden eierskapet (både fysisk og immaterielt) ikke er

forekommer, med at dette er tilhørende etaten. Dette medfører at retten til innsyn, Det bør utarbeides tydelige Frist: juni 2019

retningslinjer for bruk og deling av

informasjon på private telefoner, samt

bruk av sosiale medier (generelt).

Dersom bruk av private telefoner

vurderes som ikke er ønskelig, må det

fremkommer ikke om det er bruksområdet som eksisterer i moderne iverksettes tiltak som setter

etablert rutiner for sletting av mobilteknologi (smarttelefoner) innebærer at dette restriksjoner for bruken.

bilder eller e-post. Innholdet er lett tilgjengelig verktøy som enkelt kan brukes til

i bildene er oppgitt å være å dele informasjon med tjenestemenn under

utelukkende beslaget, men kontrolloppdrag. i ,

15


(funn)

internrevisjonen ser en risiko

for at det kan forekommeindirekte

personopplysninger.


Flere regioner oppgir også å ha fokus på bruk av

sosiale medier, men oppgir at dette er vanskelig å

sikre seg mot. Spesielt Snapchat er trukket frem avflere som et vanskelig media å forholde seg til.



Anbefaling Ansvar/frist

internt i etaten og medeksterne aktører. Deling av

fremkommer vesentlige brudd mht. deling av

informasjon, frykter intemrevisjonen at det deles

mye informasjon, både formelt og uformelt, særlig

`7. :Informasjonssikkerhet-vsikkerhe'tsarldtektur,

7.1 Sikker kommunikasjon medsamarbeidspartnere: Det

fremkommer en utstrakt Det bør utarbeides sikre

bruk av e-post (utenfor P360) . . . . kommunikasjonskanaler for deling avsom konununikasjonskanal

Selv om det Ikke av selve rev1510nen tydehgsensitive personopplysninger intemt i

etaten og med eksterne aktører.

informasjon over telefon, . . . Det må gis tydelige retningslinjer for

herunder Nødnett, må ogsåmunthg, 1 uhke fora.

hvilke opplysninger som kan og ikkevurderes mht. kan deles pr e-post.

hjemmelsgrunnlag

(taushetsplikt). , , ,

16

Documents

med GDPR - Toll...Unntattoffentlighet:offl.§14 Kanikkevidereformidlesutengodkjenning Situasjonsbeskrivelse (funn) personopplysningsbehandlinpunkt2.1-2.5).Intemrevisjonenharimidlertid