Årsberetning for 1999 vedrørende edb-sikkerhedsområdet
Årsberetning for 1999 vedrørende edb-sikkerhedsområdet
Borgerrepræsentationen
DAGSORDEN
for Ordinært møde torsdag den 24. august 2000
BR 338/2000
Årsberetning for 1999 vedrørende edb-sikkerhedsområdet
Årsberetning for 1999 vedrørende edb-sikkerhedsområdet.
INDSTILLING
Det indstilles, at Økonomiudvalget indstiller til Borgerrepræsentationen
at årsberetningen for 1999 vedrørende edb-sikkerhedsområdet tages til efterretning.
Økonomiudvalgets beslutning den 20. juni 2000
Anbefales.
RESUME
Årsberetningen afgives i henhold til §10 i "Sikkerhedsregulativ for Københavns Kommunes og Bydelenes edb-systemer", november 1997.
Der er i 1999 ikke sket ændringer i lovgrundlaget. Den 9. december 1999 fremsatte justitsministeren i Folketinget forslag til Lov om behandling af personoplysninger, som Folketinget netop har vedtaget den 26. maj 2000 til ikrafttrædelse den 1. juli 2000.
Arbejdsgruppen - der blev nedsat af Økonomiforvaltningen i 1998, da forslaget til Lov om behandling af personoplysninger første gang blev fremsat - med henblik på forberedelse af en revision af sikkerhedsregulativet, kan derfor nu afslutte sit arbejde med udarbejdelse af forslag til et nyt sikkerhedsregulativ, der kan forelægges til godkendelse i Borgerrepræsentationen efter sommerferien 2000.
Revisionen af sikkerhedsregulativet vil også omfatte konsekvenserne af kontrakten med Kommunedata om outsourcing af aktiviteterne i Københavns Kommunes IT-Service.
Revisionsdirektoratet har i 1999 påbegyndt en undersøgelse af kommunens IT-forhold. I forbindelse med revisionen af sikkerhedsregulativet vil behovet for at supplere retningslinier m.v. som opfølgning herpå blive nærmere vurderet. Endvidere har Økonomiforvaltningen besluttet, at der skal foretages en analyse af netværkssikkerheden. Resultatet heraf forventes at foreligge i 2. halvår af 2000.
Der er i 1999 konstateret et sikkerhedsbrud, som resulterede i politianmeldelse. Herudover er konstateret tilfælde, hvor fejlbetjening, mistede eller glemte kendeord har forårsaget, at de pågældende er blevet afvist adgang til datasæt og konkrete systemer. Sidstnævnte tilfælde betegnes ikke som egentlige sikkerhedsbrud.
Sammenfattende konkluderes, at arbejdet indenfor edb-sikkerhedsområdet ikke giver anledning til særlige bemærkninger.
SAGSBESKRIVELSE
I henhold til §10 i "Sikkerhedsregulativ for Københavns Kommunes og Bydelenes edb-systemer" afgiver Overborgmesteren, den enkelte borgmester og bydelsrådsformand en årsberetning om sikkerhedsarbejdets forløb indenfor sit område. Vedkommende udvalg orienteres om årsberetningen. Overborgmesteren koordinerer beretningerne med henblik på en samlet forelæggelse for Økonomiudvalget og Borgerrepræsentationen.
1. Status vedrørende Lov om behandling af personoplysninger
Der er i 1999 mod forventning ikke sket ændringer i lovgrundlaget m.v. indenfor edb-sikkerhedsområdet.
I 1996 blev der i Justitsministeriets regi nedsat et udvalg, som skulle vurdere den gældende registerlovgivning. Udvalget afgav den 19. november 1997 betænkning nr. 1345 om Behandling af personoplysninger, der indeholdt et udkast til Lov om behandling af personoplysninger (persondataloven) til erstatning for den gældende registerlovgivning.
Justitsministeren fremsatte den 8. oktober 1998 forslag til Lov om behandling af personoplysninger. Lovforslaget blev genfremsat den 9. december 1999 og vedtaget i Folketinget den 26. maj 2000 til ikrafttrædelse den 1. juli 2000.
Med henblik på koordinering af sikkerhedsarbejdet i forhold til persondataloven nedsatte Økonomiforvaltningen i 1998 en arbejdsgruppe med repræsentanter fra forvaltningernes og bydelenes sikkerhedsledere til udarbejdelse af oplæg til nyt "Sikkerhedsregulativ for Københavns kommunes og bydelenes edb-systemer".
Arbejdsgruppens revisionsarbejde er senere udvidet til også at omfatte konsekvenserne af kontrakten med Kommunedata om outsourcing af aktiviteterne i Københavns Kommunes IT-Service.
Endvidere vil arbejdsgruppen vurdere behovet for supplerende retningslinier m.v. som opfølgning på Revisionsdirektoratets undersøgelse af kommunens generelle IT-forhold. Undersøgelsen er nærmere beskrevet i revisionsprotokollat nr. 40/1998, dateret 26. juli 1999, som med Økonomiforvaltningens bemærkninger hertil er forelagt i Økonomiudvalget på et møde den 31. august 1999 (sag ØU 0204/99). Udvalget godkendte forvaltningens bemærkninger, som arbejdsgruppen vil tage højde for i det videre arbejde med revision af sikkerhedsregulativet.
Arbejdsgruppens arbejde forventes afsluttet, således at et revideret sikkerhedsregulativ kan forelægges for Borgerrepræsentationen efter sommerferien 2000, hvor der forventes at være klarhed over indholdet i de til persondataloven hørende bekendtgørelser og vejledninger.
2. Sikkerhedsorganisationen
Sikkerhedsorganisationen er tilpasset kommunens nye styreform og forvaltningsstruktur pr. 1. januar 1998.
Københavns Kommunes IT-Service er som følge af overgangen til Kommunedata i september måned 1998 ikke længere en del af kommunens edb-sikker-hedsorganisation. Kommunedatas sikkerhedsleder udarbejder - tilsvarende forvaltningernes og bydelenes sikkerhedsledere - en årsberetning om sikkerhedsarbejdet i forhold til Københavns Kommune. Endvidere udarbejder Kommunernes Revisionsafdeling årligt en Revisionserklæring om Kommunernes Revisionsafdelings edb-revision i Kommunedata A/S. Revisionserklæringen for 1999 er forelagt og godkendt på et møde den 10. maj 2000 i Kommunedata's bestyrelse. Revisionserklæringen vedlægges som bilag til nærværende årsberetning.
Ved udgangen af 1999 havde Overborgmesteren, den enkelte borgmester henholdsvis bydelsrådsformand i henhold til §12 i "Sikkerhedsregulativ for Københavns Kommunes og Bydelenes edb-systemer" udpeget i alt 18 sikkerhedsledere, der fordeler sig således på de enkelte forvaltninger og bydele:
Forvaltning/ Antal
Bydel: sikkerhedsledere:
Økonomiforvaltningen 3
Kultur- og Fritidsforvaltningen 1
Uddannelses- og Ungdomsforvaltningen 1
Sundhedsforvaltningen 2
Familie- og Arbejdsmarkedsforvaltningen 1
Bygge- og Teknikforvaltningen 4
Miljø- og Forsyningsforvaltningen 1
Bydelen Kgs. Enghave 1
Bydelen Valby 1
Bydelen Indre Nørrebro 1
Bydelen Indre Østerbro 1
Revisionsdirektoratet 1
Sikkerhedslederens opgaver fremgår af "Sikkerhedsregulativ for Københavns Kommunes og Bydelenes edb-systemer".
3. Generelle sikkerhedsforanstaltninger
I 1999 har der ikke været foretaget ændringer i de generelle sikkerhedsforanstaltninger.
Kommunedata indestår i henhold til outsourcingkontrakten for, at eksisterende sikkerhedsprocedurer opretholdes, og at kommunens til enhver tid gældende sikkerhedsregulativ overholdes. Den ovenfor nævnte årsberetning fra Kommunedatas sikkerhedsleder giver ikke anledning til bemærkninger. Af den ligeledes ovenfor nævnte revisionserklæring fra Kommunernes Revisionsafdeling fremgår, at revisionen ikke har givet anledning til bemærkninger om manglende overholdelse af sikkerhedsforskriften.
Al adgang til edb-registre er betinget af en konkret autorisation fra en sikkerhedsleder. Antallet af brugere, der er autoriseret til at anvende kommunens edb-systemer, udgør ca. 12.000, hvoraf hovedparten anvender systemer, der driftsafvikles på Kommunedata. Et mindre antal brugere er autoriseret til systemer, der driftsafvikles på edb-centralen i Københavns Energi og andre edb-servicebureauer samt internt i forvaltningerne på de lokale netværk.
Der er i Familie- og Arbejdsmarkedsforvaltningen konstateret et sikkerhedsbrud, hvor en medarbejder har foretaget udbetaling gennem Bistandssystemet uden lovhjemmel. Sagen resulterede i politianmeldelse og medarbejderen er bortvist.
Der er herudover konstateret tilfælde, hvor fejlbetjening, fejlsøgning, mistede eller glemte kendeord har forårsaget, at de pågældende er blevet afvist adgang til datasæt og konkrete systemer. Tilfældene betegnes ikke som egentlige sikkerhedsbrud.
Den teknologiske udvikling har medført, at kommunens systemer er baseret på forskellig teknisk arkitektur, hvorfor den daglige sikkerhedsadministration er blevet mere kompliceret. Blandt andet som opfølgning på bemærkninger herom i sidste årsberetning vedrørende edb-sikkerheden har Økonomiforvaltningen besluttet at indgå aftale med Kommunedata om analyse af netværkssikkerheden. Resultatet heraf forventes at foreligge i 2. halvår af 2000.
4. Registrene
I henhold til Registerlovens §8b og §8e kan visse registre undtages fra kravet om fastsættelse af forskrifter. I overensstemmelse hermed er følgende registre i 1999 fremlagt for Borgerrepræsentationen og indberettet til Registertilsynet:
Familie- og Arbejdsmarkedsforvaltningen
- Kursusadministration
- Intern adressebog i Familie- og Arbejdsmarkedsforvaltningen
- Personale- og økonomistyring
- Åbningstidsundersøgelse på daginstitutioner
Der er i 1999 oprettet følgende registre med personoplysninger, hvortil der i henhold til Registerloven kræves registerforskrifter:
- Forskrifter for Københavns Kommunes Dagsordenssystem, Økonomiforvaltningen. Godkendt af Borgerrepræsentationen den 4. april 1998.
- Forskrifter for Københavns Kommunes Ejendoms- og Kortdatabase, Bygge- og Teknikforvaltningen. Godkendt af Borgerrepræsentationen den 23. september 1999.
Ingen registre er i 1999 afmeldt.
5. Registerindsigt og videregivelse af oplysninger
I 1999 blev fremsat 6 anmodninger fra borgere om registerindsigt i samtlige registre, der føres i Københavns Kommune, og der er rettet henvendelse om registerindsigt i 2 systemspecifikke registre.
Kun en af anmodningerne om registerindsigt gav anledning til særlige bemærkninger. Anmodningen omfattede børn, hvorfor borgeren blev anmodet om at dokumentere forældremyndigheden. Der har ikke været spørgsmål vedrørende videregivelsesbestemmelserne.
6. Konklusion
Det kan sammenfattende konkluderes, at arbejdet indenfor edb-sikker-hedsbestemmelserne i 1999 ikke giver anledning til særlige bemærkninger.
Økonomi
-
Høring
-
-
Bilag
- Sikkerhedsregulativ for Københavns Kommunes og Bydelenes edb-systemer, november 1997.
- Revisionserklæring for året 1999 om Kommunernes Revisionsafdelings edb-revision i Kommunedata A/S.
Kurt Bligaard Pedersen
/Vibeke Iversen