Endelig kontrollrapport

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Begynne med side:

Download "Endelig kontrollrapport"

Transkript

1 Saksnummer: 13/00933 Dato for kontroll: Foreløpig rapport: Endelig rapport: Innledning Endelig kontrollrapport Kontrollobjekt: Drammen kommune, Aronsløkka skole Sted: Drammen Utarbeidet av: Martha Eike Eirin Oda Lauvset Ylva Marrable Datatilsynet gjennomførte kontroll hos Drammen kommune ved Aronsløkka skole den 17. desember Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, tredje ledd. Temaet for kontrollen var å se om kommunenes og skolens behandling av personopplysninger om elevene er i tråd med kravene som stilles i personopplysningsloven med forskrift. Mer spesifikt ønsker vi å undersøke kommunens håndtering av elevopplysninger, som registreres i forbindelse med bruk av SWIS. Valg av skole er gjort på bakgrunn av opplysninger om at denne skolen bruker SWIS som en del av sitt arbeid med å sørge for et godt psykososialt miljø. I kontrollrapporten beskriver Datatilsynet de faktiske forhold som ble avdekket under kontrollen. Rapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Jannike Thorsen, PALS-veileder Drammen kommune - Pål Baklid, avdelingsleder Aronsløkka skole - Grete Amundsen, avdelingsleder Aronsløkka skole - Lena Kilen, rektor Aronsløkka skole 2.2 Fra Datatilsynet: - Kari Laumann, rådgiver - Martha Eike, overingeniør - Eirin Oda Lauvset, seniorrådgiver 1 av 19

2 3 Oversendelse av informasjon Datatilsynet ba i varselet om at Drammen kommune skulle oversende følgende dokumentasjon: Styrende dokumenter for internkontroll, jf. personopplysningsloven 14 og forskriften kapittel 3 (herunder oversikt over behandlinger av personopplysninger, inkl i SWIS, rettslig grunnlag for behandlingene, oversikt over etablerte rutiner, beskrivelse av hvordan disse rutinene følges opp og ansvarsplassering) Rutine for informasjon til foresatte/elever og hvilken informasjon som lagres i SWIS. Rutine for innsyn i SWIS. Styrende dokumenter for informasjonssikkerhet, jf. personopplysningsloven 13 og forskriften kapittel 2 Risikovurdering av SWIS, jf. personopplysningsloven 13 og forskriften 2-4 Oversikt over informasjonssystemenes utforming a) Konfigurasjons- eller systemkart hvor SWIS er inntegnet b) Beskrivelse av SWIS c) Beskrivelse av tilgangsstyring i SWIS Databehandleravtale med Atferdssenteret eller tilsvarende tjenesteleverandør for bruk av SWIS. Følgende dokumenter ble sendt Datatilsynet datert 27. november 2013: Skolens rutinehefte for ansatte, elever og foresatte Skolens administrative og økonomiske rutiner Presentasjon brukt på foreldremøter 1. trinn (inkl info om SWIS) Ledelsens presentasjon på alle foreldremøter Presentasjon som brukes for ansatte Brev fra KD til Datailsynet av Høringsuttalelser fra Datatilsynet av og Databehandleravtale mellom Atferdssenteret og Aronsløkka skole (SWIS) Tilgangsavtale mellom Atferdssenteret og Aronsløkka skole (SWIS) SWIS brosjyre utarbeidet av Atferdssenteret Dokumenter mottatt under kontrollen: Eksempel på hendelsesrapport som legges inn i SWIS Det ble avtalt at følgende dokumenter skulle ettersendes: Konfigurasjonskart hvor SWIS er inntegnet Sikkerhetsstrategi Drammen kommune En detaljert agenda ble oversendt Drammen kommune på e-post før kontrollen. 2 av 19

3 4 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for skoleeiers behandling av personopplysninger ved skolene. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Under kontrollen ble Drammen kommunes internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Vi så særskilt på om kommunen hadde kontroll på følgende: Oversikt over hvilke opplysninger om elevene som registreres i forbindelse med bruk av SWIS, jf. personopplysningsloven 14 og personopplysningsforskriften kapittel 3. Ansvarsavklaringer og bruk av databehandlere i tilknytning til bruk av SWIS, jf. personopplysningsloven 2 nr. 4 og 5 og 15. Kommunikasjon av personopplysninger relatert til atferd mellom barnehage, barneskole, ungdomsskole, og eventuelt andre parter, jf. personopplysningsloven 11, jf. 8 og 9. Sikkerhetsledelse, jf. personopplysningsforskriften 2-3 Risikovurdering, jf. personopplysningsforskriften 2-4 annet ledd 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Internkontroll Generelt om personopplysningsloven 14 En behandlingsansvarlig har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til 3 av 19

4 under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Faktiske forhold Det er uklart om Drammen kommune har en oversikt over IKT-systemer som inneholder personopplysninger, hvilke opplysninger de enkelte systemer inneholder osv. Det er videre uklart om SWIS er en del av en slik oversikt. Det ble avtalt at konfigurasjonskart skulle sendes Datatilsynet etter kontrollen, men det har vi ikke mottatt. Drammen kommune er skoleeier, og det ble gjort klart under kontrollen at kommunen vært involvert i prosessen med at Aronsløkka skole har tatt i bruk kartleggingssystemet SWIS. Vurdering På bakgrunn av informasjonen om at kommunen har vært involvert i beslutningen om bruk av SWIS legger vi til grunn at kommunen har nødvendig oversikt over hvilke opplysninger som registreres i SWIS og dermed har mulighet til å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt. Konklusjon Datatilsynet har ikke konstatert avvik på dette punktet Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til personopplysningsloven 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis Rett til innsyn Det følger av personopplysningsloven 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og av 19

5 Faktiske forhold: Drammen kommune har en generell rutine for innsyn i elevmapper som er utarbeidet fra sentralt hold. Ansvaret for å gjøre denne rutinen kjent tilligger systemeier i det enkelte system. Aronsløkka skole har kjennskap til rutinen for innsyn i elevmapper som er utarbeidet fra sentralt hold, og mener at denne er egnet til også å gjelde innsyn i SWIS. Aronsløkka skole opplyser at de ved begjæring om innsyn enten vil la elev/foresatt få tilgang til SWIS på skolen eller ta ut rapport fra SWIS med informasjon om hvilke opplysninger som er registrert på det enkelte barn. Vurdering Regelverket krever at det finnes skriftlige rutiner for innsyn i hvilke personopplysninger som lagres. Drammen kommune har skriftlige rutiner for innsyn, men de bærer preg av å være utarbeidet med tanke på fysiske elevmapper. Både kommunen og skolen argumenterer for at de gjeldende rutinene er anvendelige også for begjæring om innsyn i SWIS og andre elektroniske registre. Ved skolen har de imidlertid ikke erfaring med innsynskrav. Datatilsynet legger til grunn kommunens oppfatning av at innsynskrav fra foresatte/elever i SWIS vil kunne ivaretas på en god måte med den gjeldende rutinen. Delkonklusjon Datatilsynet har ikke konstatert avvik på dette punktet Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av personopplysningsloven 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i av 19

6 Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Faktiske forhold Drammen kommune og Aronsløkka skole gjør følgende informasjon tilgjengelig for elever og foresatte: Navn på informasjon Beskrivelse Innhold relatert til informasjonsplikten i personopplysningsloven Rutinehefte for Aronsløkka skole Inneholder praktiske opplysninger om hvilke rutiner og prosedyrer som gjelder ved Aronsløkka skole. Inneholder relevant informasjon blant annet skolens definisjoner av mindre og større problematferd Vi kan ikke finne dette dokumentet på skolens hjemmesider på nett, eller at det er tilgjengeliggjort på annen måte. Hjem-skole veileder Nevner ikke SWIS Presentasjoner av PALS og SWIS på foreldremøter Informasjon om formål, hvilke opplysninger som registreres, rett til innsyn SWIS brosjyre Hendelsesrapport Brosjyre utarbeidet av Atferdssenteret. Utleveres til alle foresatte. Eksempel på hendelsesrapport (gul lapp) som viser hvilke kategorier atferd som blir rapportert i SWIS. Inndelingen i mindre og større problematferd er nevnt uten at dette er spesifisert. Brosjyren gir noe informasjon om hvilken type informasjon som registreres om elevene, hvem som har tilgang og når opplysningene skal slettes. Foresatte får utlevert eksempel på hendelsesrapport som brukes, og som angir konkret hvilken type atferd som rapporteres. 6 av 19

7 Definisjon av alvorlig og mindre alvorlig problematferd Aronsløkka skoles definisjon av hva som er å regne som alvorlig og mindre alvorlig problematferd. Definisjonslisten er en del av rutineheftet som ble tilsendt Datatilsynet. Rutineheftet er tilgjengelig fra både kommunes og skolens hjemmesider på internett. I tillegg er definisjonene av alvorlig og mindre alvorlig problematferd tilgjengelig for ansatte, foresatte og elever på skolens læringsplattform Fronter. Vurdering Drammen kommune har noen generelle informasjonstiltak som er rettet mot foresatte, og noen av disse er dokumenterte rutiner for informasjon om hvordan elevopplysninger behandles av kommunen og skolen. Det er angitt i rutinene hva som er aktuelle unntak fra informasjonsplikten. Skolen gir noe muntlig informasjon, og denne er skriftliggjort ved presentasjoner som gjennomføres på foreldremøter. Her er det faste tema som tas opp, og SWIS er et slikt tema. Skolen har et rutinehefte som blant annet omhandler PALS og SWIS. Dette rutineheftet inneholder nyttig informasjon, og er tilgjengelig for allmennheten fra kommunes og skolens hjemmesider på internett. Skolen leverer ut en brosjyre om SWIS som er utarbeidet av Atferdssenteret. Denne gir noe informasjon, men vi mener den er mangelfull hva gjelder hvilke konkrete opplysninger som registreres om elevene. Drammen kommune har definert typer av atferd som de mener er alvorlig og mindre alvorlig problematferd. Disse definisjonene er en del av rutineheftet nevnt ovenfor. Vi har sammenlignet kommunens definisjoner av alvorlig og mindre alvorlig problematferd med Atferdssenterets hendelsesrapporter hvor det fremgår hva som er å regne som mindre problematferd og større problematferd. Vi finner at det ikke er samsvar mellom hva Drammen kommune definerer som problematferd og det som defineres som problematferd i hendelsesrapportene utformet av Atferdssenteret. Dette er problematisk i lys av informasjonsplikten til elever og foresatte. Slik vi ser det gir den informasjonen som pr. i dag kommuniseres til foresatte og elever om innholdet i SWIS et noe misvisende bilde av hvilke opplysninger som registreres. Skolen påpeker i sine merknader til foreløpig kontrollrapport at det er samsvar mellom kommunens definisjoner av problematferd og det som er definert som problematferd i Atferdssenterets PALS-håndbok. Dette hjelper imidlertid ikke all den tid den informasjonen de foresatte forholder seg til er kommunes rutinehefte og hendelsesrapportene som brukes for rapportering i SWIS (de gule lappene). 7 av 19

8 Det er positivt at skolen deler ut eksempler på hendelsesrapporter som brukes for rapportering i SWIS. Dette gir de foresatte en bedre mulighet til å sette seg inn i hva som skal registreres av opplysninger om barna. Vi mener likevel at når kommunen og skolen har gjort en vurdering av hvilke regler om atferd de vil håndheve for å ivareta et godt psykososialt miljø, må det være samsvar mellom disse og det som utfra hendelsesraspportene registreres om avvik fra regler om atferd. Samlet sett mener vi likevel at den informasjonen som gis er tilstrekkelig til at å oppfylle kravene som stilles i personopplysningsloven og personopplysningsforskriften. Delkonklusjon Datatilsynet har ikke konstatert avvik på dette punktet Sletting I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter personopplysningsforskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Faktiske forhold Hendelsesrapportene makuleres fortløpende etter hvert som innholdet i dem registreres i SWIS. Det finnes ikke et papirarkiv på det som er lagret i SWIS. Skolens rutine for sletting i SWIS går ut på at koblingen mellom elevenes navn og unike tallkode slettes når de slutter på skolen. Ledelsen opplyser imidlertid at koblingen mellom elevens navn og den unike tallkoden som identifiserer en elev i SWIS, blir slettet når eleven slutter på skolen. Selve tallkoden og historikken blir fortsatt lagret i SWIS (klassetrinn, skole, hendelse, dato, sted, motiv, konsekvens, lærer/ansatt som har skrevet rapporten osv.). Historikk blir i følge skolen liggende i 10 år. Skolen mener at de opplysningene, som gjenstår når koblingen til elevens navn er slettet, ikke skal kunne knyttes til en enkeltelev. Skolen opplyser at de ikke har mulighet til å slette opplysninger i SWIS. Hvis dette skulle bli aktuelt må de ha assistanse fra Atferdssenteret. Vurdering Regelverket krever at det finnes skriftlige rutiner for sletting av personopplysninger. Ledelsen ved Aronsløkka skole viser til at praksis er at koblingen mellom elevens navn og den unike tallkoden som identifiserer en elev i SWIS blir slettet når eleven slutter på skolen, men denne praksisen er ikke skriftliggjort. 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 19

9 I SWIS-brosjyren står det at «informasjon i SWIS knyttet til enkeltelever slettes når elevene slutter på skolen». Dette er noe misvisende når det kun er koblingsnøkkelen som slettes. I den grad hendelsesmønster sammen med annen informasjon (klassetrinn, dato, sted, motiv, konsekvens, lærer/ansatt som har skrevet rapporten osv) kan identifisere eleven er dette ikke tilstrekkelig anonymisert til at kravet om sletting er oppfylt. Denne problemstillingen må skoleeier synliggjøre og ta stilling til. Vi mener at kommunens og skolens rutiner med hensyn til sletting i SWIS, er mangelfulle fordi de ikke er skriftliggjort, og fordi det ikke er gjort en vurdering av om opplysningene reelt sett er anonyme når elevenes tallkode slettes. Delkonklusjon Mangelfullt dokumenterte rutiner for sletting av personopplysninger er avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c Konklusjon Mangelfullt dokumenterte rutiner for sletting av personopplysninger er avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c. 5.2 Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Faktiske forhold Drammen kommune hadde kunnskap om at SWIS var tatt i bruk av Aronsløkka skole. Beslutningen om å ta i bruk SWIS er det hver enkelt skole som tar, men før de tar det i bruk må PALS-veileder sentralt i kommunen involveres og de som skal være brukere må sertifiseres. PALS-ansvarlig i kommunen er ansvarlig for at skolen følger Atferdssenterets rutiner. 9 av 19

10 Vurdering Personopplysningsforskriften åpner for delegering av ansvar, men delegeringen forutsetter kjennskap til at et informasjonssystem skal tas i bruk. Dette har Drammen kommune ivaretatt ved at alle skoler som beslutter å ta i bruk SWIS må gjennom en sertifiseringsprosess. På denne måten sørger kommunen for at de har kontroll på hvilke skoler og ansatte som har tatt i bruk dette kartleggings Slik vi ser det er måten Drammen kommune sørger for kontroll med hvilke skoler som tar i bruk SWIS på er tilstrekkelig til å oppfylle personopplysningslovens og personopplysningsforskriftens krav. Konklusjon Datatilsynet konstaterer ikke avvik på dette punktet Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Faktiske forhold PALS-ansvarlig i kommunen kjenner ikke til at det er foretatt en risikovurdering av SWIS. IKT-ansvarlig har ikke blitt involvert ved kjøp/bruk av SWIS. Skolen hadde heller ikke foretatt en risikovurdering av systemet før det ble tatt i bruk. Rektor mener at de bør kunne forutsette at systemet er forsvarlig når det blir introdusert fra statlig hold (Atferdssenteret). Vurdering Det er behandlingsansvarliges ansvar å forsikre seg om at de informasjonssystemer som tas i bruk, og som inneholder personopplysninger, er risikovurdert. At et informasjonssystem tilbys fra en statlig aktør, er ikke tilstrekkelig for å oppfylle dette kravet. Datatilsynet mener dessuten at det ville være naturlig å involvere IKT-ansvarlig med kompetanse på risikovurdering når det skal tas i bruk et nytt informasjonssystem. Konklusjon 10 av 19

11 Manglende gjennomføring og dokumentasjon av risikovurdering av SWIS er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-4 og Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. personopplysningsforskriften 2-3. Faktiske forhold Drammen kommune har ikke revidert bruken av SWIS med hensyn til sikkerhet. Skolen hadde heller ikke foretatt sikkerhetsrevisjon av SWIS. Det følger av databehandleravtalen med Atferdssenteret at databehandlers underleverandør jevnlig gjennomfører sikkerhetsrevisjon av informasjonssystemet. Verken Drammen kommune eller skoleledelsen har imidlertid etterspurt rapport fra slik sikkerhetsrevisjon gjennomført av databehandlers underleverandør USIT. Vurdering At det er avtalefestet at underleverandør skal gjennomføre sikkerhetsrevisjon er et godt utgangspunkt, men all den tid verken Drammen kommune eller skolen har bedt om rapport fra slik sikkerhetsrevisjon er ikke dette tilstrekkelig til å kunne fastslå at plikten etter personopplysningsforskriften 2-5 er oppfylt. Kommunen er uansett forpliktet til å i tillegg å ha en egen, skriftlig rutine for sikkerhetsrevisjon. Konklusjon Manglende rutiner for sikkerhetsrevisjon av SWIS er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriften 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter personopplysningsforskriften 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. 11 av 19

12 Faktiske forhold Drammen kommune har ingen rutine for å avdekke avvik eller sikkerhetsbrudd i SWIS. Skolen har heller ikke noen skriftlig rutine for å avdekke avvik/sikkerhetsbrudd i SWIS, men får en årlig integritetsrapport fra Atferdssenteret. Det følger av databehandleravtalen med Atferdssenteret at avviksmeldinger vil bli meddelt behandlingsansvarlig fra databehandler (Atferdssenteret). Vurdering At det er avtalefestet at databehandler skal avdekke avvik/sikkerhetsbrudd og melde disse til skolen er et godt utgangspunkt, men all den tid verken Drammen kommune eller skolen har fulgt opp for å sikre seg at dette faktisk skjer er ikke dette tilstrekkelig til å kunne fastslå at plikten etter personopplysningsforskriften 2-6 er oppfylt. Kommunen er uansett forpliktet til å i tillegg å ha en egen, skriftlig rutine for avvikshåndtering. Konklusjon Manglende rutiner for avvikshåndtering i SWIS er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften Sikkerhetstiltak Personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Faktiske forhold Drammen kommune har kunnskap om at SWIS var tatt i bruk av Aronsløkka skole, men har ikke besluttet egne sikkerhetstiltak som skal sørge for tilstrekkelig informasjonssikkerhet i SWIS. Skolen følger de anbefalinger som Atferdssenteret har gitt med hensyn til informasjonssikkerhet. Dette består i følgende tiltak: Innlogging genereres fra Atferdssenteret. Innlogging gis til rektor og tre ansatte (PALS-ansvarlige). Alle fire har samme brukernavn, men personlige passord. 12 av 19

13 Representantene fra skolen hadde ingen formening om hvorvidt Atferdssenteret har tilgang til passordene. De visste heller ikke i hvilken grad avtalen med Atferdssenteret åpnet for å bruke opplysningene i SWIS til forskning. Det er ingen tekniske begrensninger knyttet til fra hvilken PC eller nettverk de som er gitt brukernavn og passord kan logge på systemet fra. I prinsippet kan alle fire logge på fra hvor som helst og når som helst. Skolens representanter opplyser imidlertid om at det er intern enighet om at oppgaver knyttet til SWIS utføres kun på skolen. Denne enigheten er ikke skriftliggjort. Bruken av SWIS gir ingen mulighet til å logge hvem som har logget inn når, og hvorfra. Det finnes en loggefunksjon, men denne logger kun tidspunkt for siste innlogging uten at dette er knyttet til noen bruker. Vurdering Å beslutte sikkerhetstiltak er en helt sentral del av informasjonssikkerhetsarbeidet i en virksomhet. Det at IKT-ansvarlig i Drammen kommune ikke har blitt involvert i prosessen med å ta i bruk SWIS som informasjonssystem, og følgelig heller ikke har hatt mulighet til å beslutte hvilke sikkerhetstiltak som skal sørge for tilstrekkelig informasjonssikkerhet i SWIS, er noe som taler i retning av at dagens praksis avviker fra kravene som stilles i personopplysningsloven og personopplysningsforskriften. Slik vi ser det fester skoleledelsen og PALS-veileder fra kommunen all lit til Atferdssenteret, og avtalen de har som regulerer bruken av SWIS. Dette er en for defensiv holdning å innta når det er tale om å ta i bruk et informasjonssystem som skal behandle følsomme og konfidensielle opplysninger om elevene ved skolen. Avtalen med Atferdssenteret er dessuten tydelig på at det er behandlingsansvarlig som må besørge at databehandlingen skjer i samsvar med personopplysningsloven for ivaretagelse av elevenes personvern 2. Verken Drammen kommune eller Aronsløkka skole har foretatt noen risikovurdering av tilgangen til SWIS fra eksterne nettverk. Vi mener det er nødvendig at dette blir gjort og at kommunen i den forbindelse bør vurdere å beslutte at det ikke skal være mulig å logge inn i SWIS utenfor skolens nettverk. Dersom et slikt informasjonssystem skal gjøres tilgjengelig fra utsiden av skolen, er Datatilsynets vurdering at det kreves en sterkere autentisering enn brukernavn og passord. Med sterk autentisering mener vi for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS. Dette kan også realiseres i en fjernarbeidsløsning med sterk autentisering, og påfølgende tilgang til SWIS. Dette hindrer at noen som får tak i brukernavn og passord klarer å skaffe seg tilgang til systemet. 2 Avtale mellom Atferdssenteret og Aronsløkka skole, vedlegg A, første avsnitt 13 av 19

14 Drammen kommune har en plikt til å ha oversikt over autorisert og uautorisert bruk av SWIS. Ettersom dagens loggefunksjonalitet ikke gir denne oversikten må kommunen etterspørre dette hos leverandøren av systemet (Atferdssenteret). Konklusjon Svak autentisering for pålogging til SWIS over eksterne nett gir ikke tilfredsstillende informasjonssikkerhet. Dette er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften 2-1, 2-2, 2-11 og Mangelfulle tiltak for registrering av autorisert og uautorisert bruk av informasjonssystemet, er avvik fra personopplysningsloven 13, jf. personopplysningsforskriften 2-8 tredje ledd og 2-14 andre ledd. 5.3 Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Faktiske forhold Atferdssenteret behandler personopplysninger i SWIS på vegne av Drammen kommune. Denne databehandlerrelasjonen er regulert gjennom: 1) Databehandleravtale SWIS, datert ) Avtale mellom Aronsløkka skole og Atferdssenteret om tilgang til, opplæring og bruk av SWIS, datert Vurdering Databehandleravtalen med Atferdssenteret ser ut til å inneholde de elementer som kreves etter personopplysningsloven 15, jf. personopplysningsloven 13. Det gjøres oppmerksom på at kommunen som behandlingsansvarlig kan/bør be om rapport fra sikkerhetsrevisjon gjennomført av databehandlers underleverandør USIT i tråd med pkt. 6 første avsnitt. Konklusjon Datatilsynet har ikke konstatert avvik. 14 av 19

15 6 Rettslig grunnlag for behandling av personopplysninger i SWIS Som redegjort for i varsel om kontroll av 6. november 2013 har Datatilsynet hatt dialog med Kunnskapsdepartementet om fortolkingen av opplæringsloven kapittel 9 a som gjelder skoleeiers forpliktelse til å sørge for et godt psykososialt miljø. Datatilsynet ønsker i etterkant av denne dialogen en avklaring av om, og i hvilken grad, disse bestemmelsene i opplæringsloven gir skoleeier (kommunen) anledning til å registrere opplysninger om enkeltelevers atferd uten at det stilles krav til verken samtykke eller at informasjon skal gis elever og foresatte om registreringen som skjer. Det rettslige grunnlaget for SWIS ble ikke drøftet med Drammen kommune under kontrollen. Spørsmålet om det rettslige grunnlaget for behandling av personopplysninger kartleggingsverktøyet SWIS er likevel den bakenforliggende årsaken til kontrollen, og vi finner det dermed naturlig å vurdere det anførte hjemmelsgrunnlaget i lys av den informasjonen vi har fått om bruken av systemet. Vår vurdering er som følger: 6.1 Innledning Opplæringsloven kapittel 9a har bestemmelser om elevenes skolemiljø. Det er lovfestet en rett for elevene til å ha et godt fysisk og psykososialt miljø. Likeledes et det lovfestet plikter for skoleeier til å jobbe aktivt for å fremme dette. Personopplysningsloven 8 og 9 fastsetter at personopplysninger bare kan behandles i nærmere bestemte tilfeller, herunder der det er fastsatt i lov at det er adgang til slik behandling. Datatilsynet har blitt møtt med anførselen om at opplæringslovas bestemmelser om psykososialt miljø i seg selv gir hjemmel til behandling av personopplysninger altså at det er fastsatt i opplæringslovas bestemmelser om psykososialt miljø at det er adgang til slik behandling som måtte finne sted. Vi vil i det følgende drøfte denne problemstillingen. 6.2 Kravet til lovhjemmel etter personopplysningsloven Personopplysningsloven 8 og 9 regulerer grunnbetingelser for at behandling av personopplysninger kan finne sted såkalt behandlingsgrunnlag. Loven gjennomfører her EU-direktiv 95/46 personverndirektivet art. 7 og art. 8 som stiller krav om at medlemsstatene skal fastsette bestemmelser om at behandling av personopplysninger kun kan finne sted i nærmere bestemte tilfeller. Personopplysningslovens 8 og 9 gir rettslig grunnlag til behandling av personopplysninger enten hvor det foreligger samtykke fra den registrerte eller hvor det er nødvendig i nærmere bestemte tilfeller. Dette er i tråd med direktivets krav til medlemsstatene. 15 av 19

16 Personopplysningsloven åpner imidlertid også for behandling av personopplysninger der hvor det er fastsatt i lov at det er adgang til slik behandling. Med lov menes her annen lovgivning enn personopplysningsloven. Umiddelbart kan dette vilkår fremstå som en slags lovteknisk generalfullmakt der det ellers måtte følge av lov. Det er verdt å merke seg at direktivet ikke har en tilsvarende generell åpning for behandling av personopplysninger der det ellers måtte følge av lovgivningen. Direktivet oppstiller krav til statene om å fastsette regler om at personopplysninger innenfor direktivets virkeområde bare kan behandles på nærmere bestemte vilkår. Medlemsstatenes lovgivning må minst være i samsvar direktivets krav til når behandling av personopplysninger kan finne sted for å sikre det minimumsvernet direktivet er ment i gi den enkelte. Dersom Norge innfører lovregler om behandling av personopplysninger i strid med direktivets krav, vil det foreligge et brudd på Norges plikt etter EØS-avtalen til å gjennomføre direktivet. I så fall vil det oppstå et spørsmål om hvilken virkning det skal ha ved anvendelsen av norsk intern rett. Det gås ikke nærmere inn på dette her. Om innføring av alternativet fastsatt i lov bemerket departementet i ot.prp. nr 92 ( ) side 108: Begrunnelsen for dette alternativet er at bestemmelsen her ikke skal oppstille tilleggsvilkår for å behandle personopplysninger når Stortinget allerede har bestemt at behandlingen er nødvendig for å vareta viktige samfunnsinteresser. Selv om man i slike tilfeller vil kunne benytte et av alternativene i bokstav a til f som hjemmelsgrunnlag, finner departementet det naturlig å fremheve lovhjemmel som et selvstendig vilkår får å kunne behandle personopplysninger. Om behandlingen er så forankret i lov at dette alternativet får anvendelse, må avgjøres ved å tolke loven som eventuelt hjemler behandlingen. Hjemmelskravet er relativt, slik at det kreves klarere hjemmel jo større personvernmessige konsekvenser behandlingen kan få. Også slik behandling av personopplysninger som er regulert i annen lov må fylle de kravene som oppstilles for lovlig behandling i EU-direktivet artikkel 7 i den utstrekning behandlingen faller inn under direktivets anvendelsesområde. I NOU 1997:19 ble det i utgangspunkt lagt opp til en annen regulering hva gjelder behandlingsgrunnlag blant annet ble det ikke foreslått en tilsvarende bestemmelse som i 8. Derimot ble behandling av sensitive opplysninger foreslått særlig regulert i forslagets 9 som i hovedtrekk svarer til dagens 9. Det ble foreslått at behandling av sensitive personopplysninger kan skje dersom det er fastsatt i lov at det er adgang til slik behandling, jf NOU side 139. Utvalget bemerket: Unntaket er basert på direktivet artikkel 8 nr 4. Om behandlingen har tilstrekkelig lovhjemmel må avgjøres ved å tolke den aktuelle loven. Hjemmelskravet er ikke statisk, men vil i noen grad variere avhengig av hvor inngripende behandlingen er for den enkelte. Jo mer inngripende behandlingen er for den enkelte, jo strengere krav må settes til klar lovforankring. Et viktig holdepunkt er om lovgiver har vurdert de personvernmessige betenkelighetene ved å behandle sensitive personopplysninger. 16 av 19

17 Begrunnelsen for unntaket er at lovhjemmel for behandling av sensitive personopplysninger må anses som tilstrekkelig når lovgiver har funnet at viktige samfunnsinteresser gjør slik behandling nødvendig. Eksempler som omfattes av nr 2 er arkivering i henhold til arkivloven. Vilkåret fastsatt i lov bør sees i lys av at personopplysningsloven er en generell lov for all behandling av personopplysninger (innenfor virkeområdet i pol 3). Lovgiver var klar over og tok høyde for at det etter omstendighetene vil være nødvendig eller hensiktsmessig med særregulering. Personopplysningsloven 5 bestemmer at personopplysningsloven gjelder om ikke annet følger av særskilt lov som regulerer behandlingsmåten. Den rettslige reguleringen hva gjelder behandling av personopplysninger er altså (naturlig nok) forutsatt å kunne være fragmentarisk. 6.3 Opplæringslova Opplæringslova 9a-1 gir alle elever i grunnskoler og videregående skoler rett til eit godt fysisk og psykososialt miljø som fremjar helse, trivsel og læring. Opplæringslova 9a-3 har nærmere regler om det psykososiale miljøet. Bestemmelsen lyder: Skolen skal aktivt og systematisk arbeide for å fremje eit godt psykososialt miljø, der den enkelte eleven kan oppleve tryggleik og sosialt tilhør. Dersom nokon som er tilsett ved skolen, får kunnskap eller mistanke om at ein elev blir utsett for krenkjande ord eller handlingar som mobbing, diskriminering, vald eller rasisme, skal vedkommande snarast undersøkje saka og varsle skoleleiinga, og dersom det er nødvendig og mogleg, sjølv gripe direkte inn. Dersom ein elev eller forelder ber om tiltak som vedkjem det psykososiale miljøet, deriblant tiltak mot krenkjande åtferd som mobbing, diskriminering, vald eller rasisme, skal skolen snarast mogleg behandle saka etter reglane om enkeltvedtak i forvaltningslova. Om skolen ikkje innan rimeleg tid har teke stilling til saka, vil det likevel kunne klagast etter føresegnene i forvaltningslova som om det var gjort enkeltvedtak. Bestemmelsen pålegger skolen en aktivitetsplikt og den enkelte ansatte en handleplikt. Bestemmelsen sikrer også en rett for elever og foreldre til å be om tiltak. Opplæringslova 9a-4 oppstiller en plikt for skolene til å etablere internkontroll (aktivt og systematisk arbeid) slik at kravene i kapittel 9a blir oppfylt. Opplæringslova 9a-5 sikrer rett for elevene til å bli engasjert i arbeidet for skolemiljøet, og 9a-6 regulerer informasjonsplikt og uttalerett i tilknytning til forhold som gjelder skolemiljøet. Brudd på pliktene i kapittel 9a er straffbelagt. Brudd kan antakelig også føre til erstatningsansvar, jf Rt 2012 s av 19

18 Fokus i loven ligger på arbeidet for et godt skolemiljø. Skolen skal jobbe kontinuerlig og systematisk for å fremme et godt skolemiljø, og det foreligger en betydelig handleplikt der det foreligger kunnskap eller mistanke om forhold av betydning for det psykososiale miljøet for den enkelte elev. Verken lovteksten eller forarbeidene går nærmere inn på om eller i hvilken grad personopplysninger kan behandles som ledd i arbeidet for å fremme et godt skolemiljø. Eventuelle personvernmessige betenkeligheter er ikke drøftet. 6.4 Datatilsynets vurdering Behandlingsgrunnlaget fastsatt i lov at det er adgang til slik behandling tar sikte på tilfeller hvor annen lovgivning enn personopplysningsloven fastsetter adgangen til den aktuelle behandlingen man står overfor. Bestemmelsen bygger på en forutsetning om at Stortinget har foretatt en vurdering av om behandlingen er nødvendig holdt opp mot andre viktige samfunnsinteresser og at hensynet til personvernet således er ivaretatt gjennom lovgivers arbeid. Hvor klart den aktuelle behandlingen må komme til uttrykk i loven, beror blant annet på hvor inngripende behandlingen er. Behandlingen av personopplysninger må ikke nødvendigvis følge uttrykkelig av ordlyden, men et godt holdepunkt er om lovgiver i forarbeidene har sett og drøftet eventuelle personvernmessige betenkeligheter ved lovforslaget. Opplæringslovas bestemmelser om psykososialt skolemiljø regulerer ikke uttrykkelig noen form for behandling av personopplysninger. Loven legger opp til systematisk arbeid fra skolens side og plikt til å handle i tilfeller som gjelder mobbing mv, men verken lovteksten eller forarbeidene går inn på hvorvidt registrering eller annen behandling av personopplysninger kan finne sted som ledd i skolens arbeid. Eventuelle personvernmessige motforestillinger eller skranker er ikke drøftet eller vurdert i forarbeidene. Loven legger opp til at skolen må etablere internkontroll som setter den i stand til å fange opp negative forhold av betydning for elevenes psykososiale skolemiljø. På mange måter forutsettes det at skolen aktivt monitorer og følger med på elevene. Kartlegging av negativ atferd er en måte å fange opp forhold som det er grunn til å treffe tiltak overfor. I lys av dette hadde det vært rimelig å forvente at lovgiver drøftet og veide personvernmessige motforestillinger. Det er opplagt at skolen etter omstendighetene må behandle personopplysninger som ledd i arbeidet for å fremme et godt psykososialt skolemiljø. Det er ikke til å komme forbi at behandling av personopplysninger er nødvendig for at skolen skal kunne leve opp til de forpliktelser som følger av opplæringslova. Hvor grensen skal gå blir da et spørsmål om hva som må anses nødvendig for at skolen skal kunne oppfylle sin rettslige forpliktelse etter personopplysningsloven, 8 bokstav b. Etter vårt syn kan det ikke være opplæringslovas regler om læringsmiljøet som i seg selv hjemler behandlingen av personopplysninger. Hjemmelen for behandling av personopplysninger vil være personopplysningsloven 8 bokstav b, jf de aktuelle bestemmelser i opplæringslova. Hvor grensen går for hva som kan anses som nødvendig, må 18 av 19

19 trekkes blant annet ut fra en tolkning av opplæringslova. Lovgivers klart uttrykte ønske med hensyn til arbeidet for å bekjempe mobbing og andre utfordringer knyttet til det psykososiale miljøet vil her kunne legge føringer på hva som anses nødvendig. Dersom det må anses nødvendig å behandle sensitive opplysninger som ledd i arbeidet for å fremme det psykososiale miljøet, vil dette kunne hjemles i personopplysningsloven 9 bokstav e behandlingen er nødvendig for å kunne forsvare det rettskravet som ligger i de lovpålagte pliktene som følger av opplæringslova. Det kan vises til at brudd på pliktene kan føre til både straff- og erstatningsansvar. 6.5 Konklusjon Behandling av personopplysninger i SWIS kan ha hjemmel i personopplysningsloven 8 b, 9 e, jf. opplæringslova 9 bokstav a 1. Hvor langt kommunen kan gå i å registrere personopplysninger er et spørsmål om hva som må anses nødvendig for at kommunen/skolen skal kunne oppfylle sin rettslige forpliktelse den er satt til, jf. personopplysningsloven 8 bokstav b. At registrering av elevopplysninger i SWIS ikke kan anses for å være hjemlet i lov får betydning for informasjonsplikten. Når kartleggingen av atferd springer ut av en lovbestemmelse som ikke gir noen rammer for hvordan elevopplysningene skal behandles må det forutsettes det at informasjon om rammebetingelsene kommuniseres fra kommunen til elever og foresatte. Slik vi ser det vil det være naturlig å se hva som anses som nødvendig å registrere i sammenheng med hva kommunen har kommunisert ut om akseptabel og ikke akseptabel atferd. Når kommunen og skolen har gjort en vurdering av hvilke regler om atferd de vil håndheve for å ivareta et godt psykososialt miljø, må det være samsvar mellom disse og det som i henhold til hendelsesrapportene registreres om avvik fra regler om atferd. 19 av 19

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00941 Dato for kontroll: 03.12.2013 Foreløpig rapport: 11.03.2014 Endelig rapport: 04.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Bergen kommune, Møhlenpris skole Sted:

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Saksnummer: 13/00933 Dato for kontroll: 15.10.2013 Foreløpig rapport: 19.12.2013 Endelig rapport: 07.07.2014 Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av:

Detaljer

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00139 Dato for kontroll: 18.03.2014 Foreløpig rapport: 22.04.2014 Endelig rapport: 14.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Kongsberg kommune, Skrim ungdomsskole Sted: Kongsberg

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00319 Dato for kontroll: 02.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Sosialistisk Venstreparti Sted: Akersgata 35, Oslo Utarbeidet av: Knut-Bredee Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00934 Dato for kontroll: 25.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 Endelig kontrollrapport Kontrollobjekt: Oslo kommune Sted: Bygdøy skole Utarbeidet av: Martha

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 30.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Oslo kommune, Foss videregående skole Sted:

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00118 Dato for kontroll: 6.3.2014 Foreløpig rapport: 29.4.2014 Endelig rapport: 8.8.2014 Endelig kontrollrapport Kontrollobjekt: Bjerkås barnehage Sted: Vollen, Asker Utarbeidet av: Martha

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00320 Dato for kontroll: 05.06.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Høyre Utarbeidet av: Knut-Bredee Kaspersen Sted: Oslo 1 Innledning Datatilsynet gjennomførte

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00138 Dato for kontroll: 14.03.2014 Foreløpig rapport: 11.04.14 Endelig rapport: 15.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Hamar kommune, Ajer ungdomsskole Sted: Hamar Utarbeidet

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00119 Dato for kontroll: 24.02.2014 Foreløpig rapport: 11.04.2014 Endelig rapport: 07.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Norlandiabarnehagene, Myrertoppen barnehage Sted:

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 13/00939 Dato for kontroll: 05.11.2013 Foreløpig rapport: 26.02.2014 Endelig rapport: 11.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Elverum kommune, Elverum ungdomsskole Sted: Elverum

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00122 Dato for kontroll: 7.3.2014 Foreløpig rapport: 16.5.2014 Endelig rapport: 12.8.2014 Endelig kontrollrapport Kontrollobjekt: Espira Gruppen AS Sted: Blåveisbakken barnehage Utarbeidet

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013. Brønnøy kommune Rådmannen Rådhuset 8905 BRØNNØYSUND Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00452-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport - Brønnøy kommune

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet Fiskeridirektoratet Postboks 185 Sentrum 5804 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) 11/7937 13/00201-8/HHU 26. juni 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet

Detaljer

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014. Lier kommune Postboks 205 3401 LIER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00141-9/MEI 22. oktober 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet Direktoratet for naturforvaltning Postboks 5672 Sluppen 7485 TRONDHEIM Deres referanse 2012/15619 org-itev Vår referanse (bes oppgitt ved svar) Dato 12/01045-8/KBK 18. februar 2013 Vedtak om pålegg - Endelig

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/30431 12/01044-8/MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00140 Dato for kontroll: 19.03.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Akershus fylkeskommune, Skedsmo videregående skole

Detaljer

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010. Fjell kommune Postboks 184 5342 STRAUME Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01137-9/RTH 27. februar 2012 Avslutning av sak - kontroll hos Fjell kommune- Internkontroll og informasjonssikkerhet

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Veileder til. Opplæringslovens 9a og rundskriv: Udir Elevenes skolemiljø

Veileder til. Opplæringslovens 9a og rundskriv: Udir Elevenes skolemiljø Veileder til Opplæringslovens 9a og rundskriv: Udir-2-2010 Elevenes skolemiljø Opplæringsloven 9a: http://www.lovdata.no/all/tl-19980717-061-011.html Udir-2-2010: http://www.udir.no/rundskriv/rundskriv-2010/udir-2-2010---retten-til-etgodt-psykososialt-miljo-etter-opplaringsloven-kapittel-9a/

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet Utdanningsdirektoratet Postboks 2924 Tøyen 0608 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2012/6050 12/00973-10/KBK 27. februar 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Lysheim skole Plan for å sikre elevene et godt psykososialt miljø

Lysheim skole Plan for å sikre elevene et godt psykososialt miljø Lysheim skole Plan for å sikre elevene et godt psykososialt miljø 17.04.13 1 Formål Opplæringsloven Kapittel 9a omhandler elevenes skolemiljø. 9a-1 Alle elevar i grunnskolar og videregåande skolar har

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Skolenes arbeid med psykososialt miljø Grethe Hovde Parr

Skolenes arbeid med psykososialt miljø Grethe Hovde Parr Skolenes arbeid med psykososialt miljø Grethe Hovde Parr Overordnet bestemmelse Opplæringsloven 9a-1 Generelle krav Alle elevar i grunnskolar og videregående skolar har rett til eit godt fysisk og psykososialt

Detaljer

Handlingsplan mot mobbing. Grunnskolen i Søgne

Handlingsplan mot mobbing. Grunnskolen i Søgne Handlingsplan mot mobbing Grunnskolen i Søgne Vedtatt i rektormøte 26.juni 2012 Innholdsfortegnelse 1.0 Innledning... 3 1.1 Opplæringsloven kapittel 9a... 3 1.2 Forankring... 3 1.3 Definisjon av mobbing...

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00176 Dato for kontroll: 27.03.2012 Rapportdato: 05.09.2012 Endelig kontrollrapport Kontrollobjekt: Kåfjord kommune Sted: Kåfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Bedre personvern i skole og barnehage

Bedre personvern i skole og barnehage Bedre personvern i skole og barnehage NOKIOS, 28. oktober 2014 Eirin Oda Lauvset, seniorrådgiver i Datatilsynet Martha Eike, senioringeniør i Datatilsynet Datatilsynet Uavhengig forvaltningsorgan Tilsyn

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet Statens Havarikommisjon for Transport Postboks 213 2001 LILLESTRØM Deres referanse Vår referanse (bes oppgitt ved svar) 12/611-6 12/01022-8/HHU 28. februar 2013 Dato Vedtak om pålegg Endelig kontrollrapport

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Plan for elevenes psykososiale skolemiljø

Plan for elevenes psykososiale skolemiljø Plan for elevenes psykososiale skolemiljø Lindesnesskolen skoleåret 2012/2013 0 Innholdsfortegnelse 1. Formål... 2 2. Definisjoner på krenkende adferd og handlinger... 3 3. Forebyggende og holdningsskapende

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Opplæringsloven kap. 9A

Opplæringsloven kap. 9A Opplæringsloven kap. 9A Kurs for foreldre og ansatte i skolemiljøutvalget og driftsstyret, samt skoleledere Folkets Hus, onsdag 03.12.2014 Gry Sørhus Mollan, jurist, fagstab Oppvekst og levekår Virkeområdet

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Kommunstyret. 11. desember 2014 10.12.2014 1

Kommunstyret. 11. desember 2014 10.12.2014 1 Kommunstyret 11. desember 2014 10.12.2014 1 Mobbesak ved Grua skole Saken kom fram gjennom leserbrev i avisen Hadeland med påfølgende nyhetsartikkel 12. september 2014 En mor valgte å ta barnet sitt ut

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Saksnummer: 16/00326 Dato for kontroll: 10.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Elevklage på fysisk og psykososialt miljø

Elevklage på fysisk og psykososialt miljø Elevklage på fysisk og psykososialt miljø Fagområde Elevtjenester; HMS Dokumenttittel Elevklage på fysisk og psykososialt miljø Målgruppe Thor Heyerdahl vgs Utgiver Godkjent dato Godkjent av 360 referanse

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Plan for elevenes psykososiale skolemiljø Lyngdalsskolen

Plan for elevenes psykososiale skolemiljø Lyngdalsskolen Plan for elevenes psykososiale skolemiljø Lyngdalsskolen Des. 2013. 1 Innhold Plan for elevenes psykososiale skolemiljø... 1 Lyngdalsskolen... 1 1. Formål... 3 4. Avdekking... 5 5. Håndtering... 6 6. Kontinuerlig,

Detaljer

Opplæringsloven og Forvaltningsloven. Kort innføring for skolesektoren

Opplæringsloven og Forvaltningsloven. Kort innføring for skolesektoren Opplæringsloven og Forvaltningsloven Kort innføring for skolesektoren Opplæringsloven 9a-2 (1:3) 9a-2. Det fysiske miljøet Skolane skal planleggjast, byggjast, tilretteleggjast og drivast slik at det blir

Detaljer

Opplæringsloven kapittel 9a elevenes skolemiljø. Samling 8.april 2015 Clarion Hotel Royal Christiania, Oslo

Opplæringsloven kapittel 9a elevenes skolemiljø. Samling 8.april 2015 Clarion Hotel Royal Christiania, Oslo Opplæringsloven kapittel 9a elevenes skolemiljø Samling 8.april 2015 Clarion Hotel Royal Christiania, Oslo 9a-1- inneholder den overordnede normen Øvrige bestemmelser i kapitlet må forstås i lys av denne

Detaljer

RUTINEBESKRIVELSE ØRLAND KOMMUNE

RUTINEBESKRIVELSE ØRLAND KOMMUNE RUTINEBESKRIVELSE ELEVENES SKOLEMILJØ OPPLÆRINGSLOVEN 9a ØRLAND KOMMUNE Retningslinjer for: Internkontroll og skolenes arbeid med 9a Bruker- og trivselsundersøkelser Saksbehandling ved klagesaker Versjon:

Detaljer