Endelig kontrollrapport

Størrelse: px
Begynne med side:

Download "Endelig kontrollrapport"

Transkript

1 Saksnummer: 14/00118 Dato for kontroll: Foreløpig rapport: Endelig rapport: Endelig kontrollrapport Kontrollobjekt: Bjerkås barnehage Sted: Vollen, Asker Utarbeidet av: Martha Eike Eirin Oda Lauvset Ylva Marrable 1 Innledning Datatilsynet gjennomførte en kontroll hos Bjerkås barnehage den 6. mars Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, tredje ledd. Temaet for kontrollen var å se om barnehagens behandling av personopplysninger er i tråd med kravene som stilles i personopplysningsloven med forskrift. Mer spesifikt ønsker vi å undersøke barnehagens håndtering av opplysningene om barna som behandles i barnehagens informasjonssystemer, og eventuelle andre digitale plattformer som brukes pedagogisk og/eller for å kommunisere med foresatte. I kontrollrapporten beskriver Datatilsynet de faktiske forhold som ble avdekket under kontrollen. Rapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Anne Irene B. Hilden, daglig leder - Line Udnes, daglig leders stedfortreder 2.2 Fra Datatilsynet: - Martha Eike, overingeniør - Eirin Oda Lauvset, seniorrådgiver - Ylva Marrable, rådgiver 3 Oversendelse av informasjon Datatilsynet ba i varselet om at følgende dokumentasjon ble oversendt: Rutiner for innhenting av samtykke fra foresatte når det gjelder personopplysninger om barna (bilder, kartleggingsverktøy, overføring av opplysninger til skole og lignende). Rutiner for informasjon til foresatte og hvilken informasjon som lagres i kommunikasjonsplattformen og eventuelt kartleggingsverktøy. Rutiner for innsyn i opplysninger som er lagret ved bruk av kartleggingsverktøy. Rutiner for om/når barnas personopplysninger skal slettes. 1 av 16

2 Risikovurderinger som er gjort før det ble besluttet at kommunikasjonsplattform og kartleggingsverktøy skulle tas i bruk. Oversikt over systemenes utforming: a) Et konfigurasjons- eller systemkart hvor kommunikasjonsplattform og eventuelt kartleggingsverktøy er inntegnet. b) En beskrivelse av kommunikasjonsplattformen og hva den brukes til c) En beskrivelse av kartleggingsverktøyet og hva det brukes til d) En beskrivelse av hvem som har tilgang til opplysningene i henholdsvis kommunikasjonsplattformen og kartleggingsverktøyet, og hvordan disse tilgangene blir styrt. Databehandleravtale med leverandør av kommunikasjonsplattform og eventuelt kartleggingsverktøy. Navn og funksjon på de som deltar fra barnehagen under kontrollen. Følgende dokumentasjon ble sendt Datatilsynet i e-post datert 26. februar 2014: Avtale om disponering av barnehageplass Informasjonsskjema overgang barnehage - skole Diverse tillatelser Bjerkås barnehage (samtykke fra foresatte) Avtale om leie av Vigilo barnehage Samarbeidsavtale barnehage - foresatte Arkiveringsrutiner barnemapper Vigilo barnehage brosjyre Rutiner for lagring og håndtering av sensitive opplysninger i Bjerkås barnehage Filecloud Agenda ble oversendt Bjerkås barnehage på e-post før kontrollen. Bjerkås barnehage bruker: Vigilo barnehage TRAS 4 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 4.1 Internkontroll Generelt om personopplysningsloven 14 Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. 2 av 16

3 4.1.2 Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningsloven 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for ivaretakelsen av pliktene etter loven at behandlingsansvaret er klart definert med hensyn til hvor det er lagt. Personopplysningsforskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Bjerkås barnehage er en privat barnehage som er organisert som en næringsdrivende stiftelse 1. Stiftelsen Bjerkås barnehage (heretter Bjerkås barnehage) har et styre bestående av tre medlemmer, en økonomiansvarlig og en styreleder. Styret skal bestå av minst fem foreldrerepresentanter. Vi fikk opplyst at styret er barnehagens øverste organ og således behandlingsansvarlig etter personopplysningsloven. Barnehagens daglige leder er delegert det utøvende ansvaret. Det er styret i dialog med daglig leder som har tatt beslutningen om å inngå avtale med Vigilo. Personopplysningsforskriften 2-3 understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Vedtektene for Stiftelsen Bjerkås barnehage fastslår også at styret er stiftelsens øverste organ og representerer stiftelsen utad, med mindre det er besluttet at daglig leder eller enkelt styremedlem skal være stiftelsens representant. Dette bekrefter ansvarsfordelingen som ble presentert under kontrollen. På bakgrunn av det som ble gitt av informasjon under kontrollen, samt fastslått i stiftelsens vedtekter, legger vi til grunn at det er styret i Bjerkås barnehage om er å anse som behandlingsansvarlig for den behandlingen av personopplysninger som foretas i barnehagen. Det er altså styret som skal sørge for en sikkerhetsorganisering med klare roller, ansvar og myndighet. Daglig leder representerer styret under kontrollen og signaliserer at internkontroll for behandling av personopplysninger i barnehage skal utarbeides, og erkjenner således sitt behandlingsansvar etter loven. Den skriftlige dokumentasjonen som er blitt oversendt i forbindelse med kontrollen tilsier at Bjerkås barnehage har noe jobb foran seg for å ha en 1 Næringsdrivende stiftelse er definert i stiftelsesloven 4 3 av 16

4 tilfredsstillende internkontroll på plass. Samtidig må det sies at barnehagen inntil nylig har hatt begrenset med elektronisk lagring av personopplysninger, og dermed også begrenset behov for internkontrollsystem. Vi forventer normalt at ivaretakelsen av behandlingsansvaret manifesterer seg i organisasjonskart og klart definerte roller og ansvarsområder. I Bjerkås barnehage må det imidlertid sies å være såpass oversiktlig organisasjon og ledelse at organisasjonskart ikke er nødvendig. Bjerkås barnehage har utarbeidet noen rutiner for sin virksomhet. Til tross for at rutinene må sies å være mangelfulle vurderer vi det slik at Bjerkås barnehage har etablert et internkontrollsystem som er tilpasset virksomhetens omfang. Behandlingsansvaret er plassert hos styret og daglig leder, og det er også disse som har tatt beslutningen om å ta i bruk Vigilo. Konklusjon Datatilsynet har ikke konstatert avvik Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt, jf. personopplysningsloven 14. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Bjerkås barnehage behandler personopplysninger om barna i to systemer. Det ene er Vigilo barnehage og det andre er manuelt arkiv med fysiske mapper. Det fysiske arkivet ønsker barnehagen å erstatte med et digitalt arkiv i en skytjeneste (Filecloud). Begge systemene inneholder både ordinære personopplysninger og sensitive personopplysninger. Bjerkås barnehage har ikke en skriftlig oversikt over behandlinger av personopplysninger som foretas i barnehagen. Dette betyr at virksomheten ikke har oversikt over hvilke rettslige grunnlag de enkelte behandlinger av personopplysninger er basert på, hvilke opplysninger som er sensitive, hvem som har tilgang til de enkelte opplysningene eller når de enkelte opplysningene skal slettes. 4 av 16

5 Datatilsynet mener at Bjerkås barnehage sin mangelfulle oversikt over hvilke behandlinger av personopplysninger som foretas i barnehagen, hvilke rettslige grunnlag de enkelte behandlinger av personopplysninger er basert på, hvilke opplysninger som er sensitive, hvem som har tilgang til de enkelte opplysningene eller når de enkelte opplysningene skal slettes, er å anse som et avvik fra personopplysningsloven og personopplysningsforskriftens krav. Konklusjon Mangelfull oversikt over behandlinger av personopplysninger som foretas innenfor barnehagens virksomhet, er et avvik fra personopplysningsloven 14 og 13, jf. personopplysningsforskriften Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til personopplysningsloven 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis Samtykke Enhver behandling av personopplysninger må baseres på et rettslig grunnlag, jf. personopplysningsloven 11, jf. 8 og 9. Personopplysningsloven angir en rekke behandlingsgrunnlag hvorav samtykke og hjemmel i lov er utgangspunktet. For at et samtykke skal være gyldig må det være frivillig, uttrykkelig og informert, jf personopplysningsloven 2 nr. 7. Behandlingsansvarlig har en plikt til å ha oversikt over hvilke rettslige grunnlag de ulike behandlinger av personopplysninger som foretas er basert på. For de behandlinger som er basert på samtykke er det spesielt viktig å sørge for at det blir gitt tilstrekkelig informasjon til at den registrerte forstår hva det samtykkes til, og at informasjonen som gis er objektiv. I Bjerkås barnehage baseres følgende behandlinger av personopplysninger på samtykke: Utlevering av adresseliste (navn, adresse, telefonnummer) til andre foreldre i barnehagen Ta bilder og bruke dem internt i barnehagen og til bruk i pressen (samme samtykke) 5 av 16

6 Utlevering av personopplysninger til skolen ved overgang til skolen (TRAS, sosial og motorisk fungering, familieforhold etc.) Bruk av kartleggingsverktøyet TRAS er sammen med bruk av ALLE MED, sosiogram, løpende protokoll og loggføring er ikke basert på samtykke. Begrunnelsen for dette er at ledelsen i Bjerkås barnehage mener bruk av disse observasjonsmetodene så grunnleggende for deres mulighet til å gi et godt barnehagetilbud at det ikke kan være opp til foreldrene om dette skal brukes. Ledelsen i barnehagen kunne imidlertid ikke redegjøre for hvilket annet rettslig grunnlag registreringen av personopplysninger i forbindelse med bruk av TRAS er basert på. Ledelsen ved Bjerkås barnehage har gjort en vurdering av hvilke personopplysninger om barna de må ha samtykke fra de foresatte for å behandle. Etter vår vurdering er imidlertid samtykkeerklæringene for lite differensierte og balanserte til at foresatte kan ta kvalifiserte valg med hensyn til hvordan de ønsker at opplysninger om barna skal behandles. Samtykkeskjemaet som brukes for fotografering skiller f.eks ikke mellom bruk av bilder internt i barnehagen og publisering i pressen. Det kan godt tenkes at det er tilfeller hvor foresatte kan ønske å samtykke til bruk internt, men ikke til pressebilder. Dette bør de få anledning til. I tillegg er ikke publisering av bilder i Vigilo nevnt som et alternativ. Dersom barnehagen mener å ha et annet rettslig grunnlag enn samtykke for å bruke bilder på denne plattformen må et slikt rettslig grunnlaget angis tydelig. Når det gjelder registrering av personopplysninger i forbindelse med bruk av TRAS eller andre kartleggingsverktøy må det avklares hvilket rettslig grunnlag dette skal baseres på. Hovedregelen etter personopplysningsloven er at behandling av personopplysninger skal baseres på samtykke. Alternativt kan personopplysninger behandles når det er nødvendig for å oppfylle en avtale med den registrerte, jf. personopplysningsloven 8 bokstav a. For Bjerkås barnehage sin del kan det være et alternativ å stille som vilkår for inngåelse av avtale om barnehageplass at de foresatte aksepterer bruk av kartleggingsverktøyet TRAS. Det er imidlertid viktig å være oppmerksom på at for at dette alternativet skal være aktuelt, må barnehagens ledelse godtgjøre at bruk av TRAS er nødvendig for oppfyllelsen av avtalen. Det vil si at avtalen om barnehageplass ikke lar seg oppfylle uten at TRAS tas i bruk. I tillegg må TRAS beskrives på en objektiv og nøytral måte i avtaledokumentet slik at de foresatte har gode forutsetninger for å sette seg inn i hva dette er, og ta stilling til om dette er noe de ønsker for sitt barn. Inntil Bjerkås barnehage har beskrevet sine måter å kartlegge barna på, og inntil gyldig avtale som omfatter bruk av TRAS (eller andre kartleggingsverktøy) foreligger, må samtykke fra de foresatte innhentes for bruk av TRAS. Oppsummert er vi kommet til at Bjerkås barnehage til tross for at de har enkeltrutiner som omtaler samtykke, ikke tilfredsstiller kravene i personopplysningsloven siden de samtykkene 6 av 16

7 som finnes ikke er differensiert nok. I tillegg mener vi at det å ikke innhente samtykke for bruk av TRAS er et avvik så lenge barnehagen ikke har godtgjort at behandlingen har annet rettslig grunnlag. Delkonklusjon Mangelfulle rutiner for innhenting og kontroll av de registrertes samtykke er et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav a Rett til innsyn Det følger av personopplysningsloven 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. : Bjerkås barnehage har ingen dokumenterte rutiner som gjelder innsynsbegjæringer. Daglig leder i barnehagen opplyser at de sjelden opplever krav om innsyn i opplysninger om barna. I de få tilfellene det kommer krav håndteres dette av daglig leder. Dette er en innarbeidet rutine, men som ikke er skriftliggjort. Datatilsynet mener det er viktig for ivaretakelsen av barnas personvern at barnehager har tydelige og lett tilgjengelige rutiner for hvordan begjæringer om innsyn i barnas opplysninger skal håndteres. Barnehager lagrer opplysninger om barn som er relevante og interessante for flere aktører, for eksempel forsikringsselskaper og advokater som håndterer barnefordelingssaker. Det er heller ikke unaturlig at andre i barnets omsorgskrets enn den/de som har foreldreansvaret kan henvende seg for å få opplysninger. Dette kan være biologisk forelder uten foreldreansvar eller foreldres nye partnere. I slike situasjoner er det viktig at barnehagen har klare retningslinjer for hvem som har rett til innsyn. Det er positivt at Bjerkås barnehage har utarbeidet en prosedyre som skal gjelde for innsyn i personopplysninger i barnehagen. Den foreliggende prosedyren er imidlertid for generell, og gir ingen veiledning med hensyn til hva en ansatt som mottar en innsynsbegjæring skal foreta seg. Daglig leder i barnehagen opplyser om at de sjelden opplever krav om innsyn i opplysninger om barna. I de få tilfellene det kommer krav håndteres dette av daglig leder. Dette er en rutine som med fordel kan gjøres skriftlig. Bjerkås barnehage må utarbeide overordnede, skriftlige rutiner for hvordan begjæringer om innsyn i barnas opplysninger skal håndteres. 7 av 16

8 Delkonklusjon Manglende dokumenterte rutiner for innsynsbegjæringer er et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av personopplysningsloven 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Bjerkås barnehage har ingen dokumenterte rutiner for hvordan og når informasjon gis til foresatte om hvilke personopplysninger barnehagen behandler. Daglig leder i barnehagen opplyser at foreldremøte er en arena hvor det blir gitt informasjon til de foresatte, men at det varierer hva som blir tatt med på disse møtene. Barnehagens bruk av Vigilo og TRAS kan være tema, men det er ikke et fast punkt på agendaen. Det samme gjelder foreldresamtaler med de enkelte foresatte. Foreldrerådsmøte (1 gang pr. år), og referat fra slike møter, er en mulig kilde til informasjon til foresatte. Hittil har ikke behandling av personopplysninger vært tema på disse møtene. Av skriftlig informasjon om barnehagens behandling av personopplysninger i Vigilo barnehage er følgende tilgjengeliggjort for foresatte: Beskrivelse av Vigilo barnehage (brosjyre) 8 av 16

9 Av skriftlig informasjon om barnehagens behandling av personopplysninger i TRAS er følgende tilgjengeliggjort for foresatte: Barnehagens årsplan som har følgende formulering under punktet om pedagogisk dokumentasjon: «Vi bruker forskjellige registreringsskjemaer og observasjonsskjemaer for å kartlegge barna. Vi bruker blant annet TRAS til å registrere barnas språkutvikling». Skriftlig informasjon om barnehagens behandling av personopplysninger i Alle med er ikke tilgjengeliggjort for foresatte. Informasjon om hvor, hvorfor og hvordan personopplysninger blir behandlet er grunnleggende for ivaretakelsen av personvernet. Dersom en registrert ikke får informasjon om at personopplysninger behandles, får vedkommende heller ikke mulighet til å stille spørsmål ved nødvendigheten av at disse opplysningene lagres, hvor mange som har tilgang til dem, hvordan de er sikret osv. I sammenheng med inngåelse av avtale om barnehageplass er det særlig viktig å informere om hvilke opplysninger som det er nødvendig for barnehagen å ha for å oppfylle avtalen, og hvilke opplysninger som det er opp til den enkelte foresatte å bestemme om barnehagen skal ha (samtykke). Det er dessuten viktig å informere om hvorfor barnehagen innhenter visse opplysninger (formål), om de vil bli utlevert, og eventuelt hvem som er mottaker. Lagringstid og når opplysningene vil bli slettet er også viktig for foresatte å vite. Barnehagen har en plikt til å informere om alle former for behandling av personopplysninger som gjøres i barnehagen. Kontrollen som ble foretatt denne gangen var imidlertid konsentrert om kommunikasjonsplattformer og kartleggingsverktøy. Bjerkås barnehage må utarbeide overordnede, skriftlige rutiner for hvordan foresatte skal informeres om barnehagenes behandling av personopplysninger. Det vil for eksempel være naturlig å utarbeide informasjon om bruken av Vigilo barnehage, TRAS og Alle med. Dersom barnehagen beslutter å erstatte sitt manuelle arkiv med en skytjeneste vil det være nødvendig med informasjon til foresatte om også dette. Her vil det være særlig viktig å informere om hvilke risikovurderinger som er gjort i og med at det i stor grad dreier seg om sensitive personopplysninger. Delkonklusjon Mangelfulle dokumenterte rutiner for informasjon til foresatte om barnehagens behandling av personopplysninger er et avvik, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d. 9 av 16

10 Sletting I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 2 Virksomheten skal etter personopplysningsforskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Bjerkås barnehage har ingen dokumenterte rutiner for hvordan og når personopplysninger skal slettes. Barnehagen har et dokument som heter «Arkiveringsrutiner» hvor sletting er nevnt i tilknytning til dokumenter for barn med spesielle behov og fysiske barnemapper ellers. Når det gjelder dokumenter som gjelder barn med spesielle behov er prosedyren at disse oppbevares i 10 år. Det er ikke anført hjemmel for slik lagring og heller ikke spesifisert hvilke dokumenter dette gjelder. Barnehagen har forespurt Private barnehagers landsforbund (PBL) om lagring av f.eks pedagogiske rapporter, og fått råd om at disse skal slettes umiddelbart etter at barnet er ferdig i barnehagen. Bjerkås barnehage har likevel valgt å forholde seg til 10 års regelen som kommunen praktiserer. Fysiske barnemapper ellers makuleres/slettes i løpet av høsten det året barnet starter på skolen. Det er ikke spesifisert hva som skal skje med dokumentene dersom et barn slutter før det skal starte på skolen. Daglig leder sletter bilder på Vigilo barnehage etter forespørsel fra foresatte. Når barn slutter blir de satt på status «inaktiv», og barnehagen har ikke tilgang til dette barnet lengre. Bjerkås barnehage må utarbeide overordnede, skriftlige rutiner for sletting. Disse rutinene må omfatte både manuelle arkiv og digitalt lagrede personopplysninger. Hjemmel for 10 års lagring av dokumenter som gjelder barn med spesielle behov må spesifiseres. Kommunen er forpliktet til å arkivere etter arkivloven. Private barnehager er i utgangspunktet ikke forpliktet etter denne loven, og følgelig heller ikke forpliktet til å lagre i 10 år. Videre lagring etter at barnet har sluttet i barnehagen må ha et rettslig grunnlag. Delkonklusjon Mangelfulle dokumenterte rutiner for sletting av personopplysninger er avvik fra personopplysningsloven 14, jf. forskriften 3-1 bokstav c. 2 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 16

11 Konklusjon Mangelfulle dokumenterte rutiner for oppfyllelse av sine plikter og de registrertes rettigheter er avvik fra personopplysningsloven 14, jf. forskriften 3-1 bokstav a, d og c. 4.2 Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, Sikkerhetsledelse Personopplysningsloven 14 fastslår behandlingsansvarlig sitt ansvar for å sørge for planlagte og systematiske tiltak som er nødvendig e for å oppfylle pliktene i loven. For at tiltakene skal være planlagte og systematiske må det være tydelig hvem som er ansvarlig for sikkerheten. I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Bjerkås barnehage har ingen overordnede føringer for bruk av informasjonsteknologi i barnehagen. Valg og prioriteringer er heller ikke beskrevet i en sikkerhetsstrategi. Daglig leder er sikkerhetsansvarlig. Daglig leder kan redegjøre for utstyret barnehagen har i bruk (alle pedagoger har egne, bærbare PCer og hver gruppe i barnehagen i tillegg til daglig leder har IPAD), men kan ikke redegjøre for teknisk oppsett (nettverk, brannmurer etc.). Alle IPad, bortsett fra den daglig leder disponerer, ligger ved stengetid i et låsbart skap på hver avdeling i barnehagen. Firmaet Atea har support på utstyret. Kommer til barnehagen, og har ingen fjerntilgang. 11 av 16

12 Online backup company har support på File cloud. Det er vanlig at ansatte jobber hjemme, og kan dermed logge seg på barnehagens system når og hvor som helst. Sikkerhetsansvarlig (daglig leder) har ikke tatt initiativ til å regulere ansatte eller avtalepartenes tilgang til personopplysninger i barnehagens systemer. Barnehagen har inntil nylig hatt et nokså oversiktlig system for behandling av personopplysninger om barna i barnehagen. I en slik situasjon har behovet for sikkerhetsmål og sikkerhetsstrategi ikke vært stort. Ved å ta i bruk Vigilo barnehage og File cloud har imidlertid dette endret seg, og barnehagen har nå behov for en sikkerhetsstrategi som angir grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Konklusjon Manglende dokumentasjon av sikkerhetsledelse er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Bjerkås barnehage har ingen rutine for at informasjonssystemer innen barnehagedriften skal risikovurderes før bruk. Det er således ikke gjennomført risikovurdering i forkant av at Vigilo barnehage og File cloud er tatt i bruk. Bjerkås barnehage må utarbeide overordnede, skriftlige rutiner for risikovurdering av informasjonssystemer som behandler personopplysninger. Noen faktorer som tilsier grundige risikovurderinger hos barnehagen er følgende: Vigilo barnehage inneholder sensitive personopplysninger (helseopplysninger, opplysninger om atferd, og opplysninger som kan indikere allergi og religionstilhørighet etc). 12 av 16

13 File Cloud vil inneholde særlig sensitive personopplysninger (helseopplysninger, pedagogiske rapporter, rapport fra PPT, TRAS-kartlegginger etc.) Pedagogiske rapporter ligger på laptoper. Konklusjon Manglende gjennomføring og dokumentasjon av risikovurdering er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-4 og Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. personopplysningsforskriften 2-3. Datatilsynet ble informert om at virksomheten ikke hadde gjennomført sikkerhetsrevisjon slik det fremgår av kravene i personopplysningsforskriften. Konklusjon Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften Sikkerhetstiltak Personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Bjerkås barnehage drifter løsning for barnehagen selv. Dokumenter lagres lokalt på pc ene. Alle pedagoger har hver sin PC med egne brukernavn og passord. Alle ansatte har hver sin ipad med egne brukernavn og passord. Alle ansatte kan laste opp bilder i Vigilo barnehage. 13 av 16

14 Bjerkås barnehage har to soner; én intern sone, og en åpen sone (Internett). Det er ikke utført klassifisering av systemene som barnehagen bruker, slik at barnehagen ikke med sikkerhet kan vite hvilke behandlinger som bør være på intern og åpen sone. Ansatte i Bjerkås barnehage logger seg på Vigilo barnehage med brukernavn og passord (svak autentisering). Det er ikke satt noen sperrer for pålogging utenfor barnehagens nettverk. I praksis er det derfor fullt mulig for ansatte å logge seg på Vigilo barnehage når og hvor som helst. Datatilsynet mener at Bjerkås barnehage må gjøre en risikovurdering av informasjonssystemet for å komme frem til hvilke sikkerhetstiltak som skal dokumenteres. Kapittel 2 i personopplysningsforskriften inneholder en del minimumskrav til konkrete sikkerhetstiltak alle virksomheter som behandler personopplysninger skal oppfylle. Dette gjelder eksempelvis tilgangskontroll, avvikshåndtering, logging, sletting og taushetsplikt. I tillegg må informasjonssystemet dokumenteres i form av konfigurasjonskart og driftsrutiner. Dersom et informasjonssystem, som inneholder personopplysninger om mange barn, skal gjøres tilgjengelig for ansatte fra utsiden av den ansvarlige virksomheten, er Datatilsynets vurdering at det kreves en sterkere autentisering enn brukernavn og passord. Med sterk autentisering menes for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS. Dette kan også realiseres i en fjernarbeidsløsning med sterk autentisering, og påfølgende tilgang til fagapplikasjonen. Dette hindrer at noen som får tak i brukernavn og passord klarer å skaffe seg tilgang til informasjonssystemet. I Vigilo barnehage, som er tilgjengelig for ansatte, er det personopplysninger om mange barn som må beskyttes. Vigilo barnehage inneholder sensitive personopplysninger (helseopplysninger, opplysninger om atferd, og opplysninger som kan indikere allergi og religionstilhørighet etc). Den er tilgjengelig for pålogging for ansatte over Internett med svak autentisering. Dette er ikke tilfredsstillende. Bjerkås barnehage har en plikt til å sørge for tilfredsstillende informasjonssikkerhet. Det kan for eksempel oppnås ved å utføre klassifisering av systemene som barnehagen bruker, og dersom det er system som behandler sensitive opplysninger, bør en vurdere om disse skal inn i en sikker sone. Konklusjon Mangelfull dokumentasjon av sikkerhetstiltak er avvik fra personopplysningsloven 13, jf. personopplysningsforskriften Svak autentisering for pålogging for ansatte til Vigilo barnehage over eksterne nett gitt ikke tilfredsstillende informasjonssikkerhet. Dette er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften 2-1, 2-2, 2-11 og av 16

15 4.2.6 Opplæring I henhold til personopplysningsforskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Det finnes ingen dokumentert oversikt over informasjonssystemets utforming og heller ingen sikkerhetsinstruks for brukerne av systemet. Det finnes prosedyrer for opplæring på pedagogmøter, men ingen sjekklister over tema som skal gjennomgås. Retningslinjer for bildetaking og bildebruk kan være tema på personalmøter og pedagogmøter, men det er ikke noe fast punkt på agendaen. Sikkerhetsrutiner for brukere, ledere og sikkerhetsansvarlige må utarbeides. Videre må de ansatte læres opp i bruk av IKT i barnehagen og behandling av personopplysninger. Konklusjon Manglende opplæring i bruk av IKT i barnehagen er avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Vi har fått tilsendt avtale om leie av Vigilo barnehage. Dette dokumentet sier noe om sikkerheten til systemet (backup og oppetid), men ingenting om hvilke personopplysninger som lagres i løsningen, om behandlingsansvarlig har tilgang til sikkerhetsdokumentasjon, sikkerhetsmål og sikkerhetsstrategien eller hvor data er lagret eller sletterutiner. Det er ikke inngått databehandleravtale med Online backup company eller Atea. 15 av 16

16 Databehandleravtalen med Vigilo barnehage er mangelfull fordi den ikke beskriver hvilke personopplysninger som behandles, og heller ikke inneholder noe om at behandlingsansvarlig har tilgang til sikkerhetsdokumentasjon og sikkerhetsrevisjoner. Avtalen mangler dessuten informasjon om hvor data lagres og når de slettes. I tillegg til sletting av data ved avtalens opphør bør det også avtales rutiner for når personopplysninger skal slettes dersom det initieres sletting fra barnehagen underveis i avtaleperioden. Bruk av File cloud vil innebære behandling av sensitive personopplysninger. At denne behandlingen ikke er avtaleregulert er et avvik fra kravene i personopplysningsloven. Det er uklart om Atea behandler personopplysninger på vegne av barnehagen. En virksomhet som har satt bort vedlikeholdsarbeid av IKT-utstyr til en annen virksomhet, må ha en form for avtaleregulering, som sikrer sikker håndtering av personopplysninger, selv om formålet til den eksterne virksomheten ikke er behandling av personopplysninger på vegne av denne. Dersom dere må oppgi brukernavn/passord til Atea, har de muligheten til å håndtere personopplysninger, og på en måte gjør de det ved å ha service på IKT-utstyr, om enn indirekte. De lagrer alle opplysningene som ligger på utstyret all den tid den er i deres besittelse, de har passordet, og de lagrer dette midlertidig på vegne av barnehagen. Bjerkås barnehage må avklare om bruk av Atea innebærer behandling av personopplysninger og at det derfor må inngås en databehandleravtale i samsvar med personopplysningsloven 15. Dersom Atea ikke behandler personopplysninger, må barnehagen uansett inngå en avtale med Atea i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften Dette fordi Atea som leverandør av tjenester har betydning for barnehagens informasjonssikkerhet. Konklusjon Mangelfull databehandleravtale med Vigilo og manglende databehandleravtale med Online backup company er avvik, jf. personopplysningsloven 15, jf. forskriften Manglende vurdering, og avklaring om bruk av Atea forutsetter behandling av personopplysninger og inngåelse av avtale, er et avvik, jf. personopplysningsloven 14, 15 og 13, jf. personopplysningsforskriften 3-1 og På generelt grunnlag vil Datatilsynet påpeke plikten til å ha databehandleravtaler. Avtalen med virksomhetens databehandlere skal ivareta kravene som oppstilles i personopplysningsloven 15. Veiledere på hvordan slike avtaler bør se ut ligger på Datatilsynets hjemmesider, 16 av 16

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00122 Dato for kontroll: 7.3.2014 Foreløpig rapport: 16.5.2014 Endelig rapport: 12.8.2014 Endelig kontrollrapport Kontrollobjekt: Espira Gruppen AS Sted: Blåveisbakken barnehage Utarbeidet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00119 Dato for kontroll: 24.02.2014 Foreløpig rapport: 11.04.2014 Endelig rapport: 07.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Norlandiabarnehagene, Myrertoppen barnehage Sted:

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Saksnummer: 13/00933 Dato for kontroll: 15.10.2013 Foreløpig rapport: 19.12.2013 Endelig rapport: 07.07.2014 Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av:

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00139 Dato for kontroll: 18.03.2014 Foreløpig rapport: 22.04.2014 Endelig rapport: 14.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Kongsberg kommune, Skrim ungdomsskole Sted: Kongsberg

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00319 Dato for kontroll: 02.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Sosialistisk Venstreparti Sted: Akersgata 35, Oslo Utarbeidet av: Knut-Bredee Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00934 Dato for kontroll: 25.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 Endelig kontrollrapport Kontrollobjekt: Oslo kommune Sted: Bygdøy skole Utarbeidet av: Martha

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 30.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Oslo kommune, Foss videregående skole Sted:

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00320 Dato for kontroll: 05.06.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Høyre Utarbeidet av: Knut-Bredee Kaspersen Sted: Oslo 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00138 Dato for kontroll: 14.03.2014 Foreløpig rapport: 11.04.14 Endelig rapport: 15.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Hamar kommune, Ajer ungdomsskole Sted: Hamar Utarbeidet

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00140 Dato for kontroll: 19.03.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Akershus fylkeskommune, Skedsmo videregående skole

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/30431 12/01044-8/MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport

Detaljer

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013. Brønnøy kommune Rådmannen Rådhuset 8905 BRØNNØYSUND Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00452-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport - Brønnøy kommune

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 13/00939 Dato for kontroll: 05.11.2013 Foreløpig rapport: 26.02.2014 Endelig rapport: 11.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Elverum kommune, Elverum ungdomsskole Sted: Elverum

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet Direktoratet for naturforvaltning Postboks 5672 Sluppen 7485 TRONDHEIM Deres referanse 2012/15619 org-itev Vår referanse (bes oppgitt ved svar) Dato 12/01045-8/KBK 18. februar 2013 Vedtak om pålegg - Endelig

Detaljer

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010. Fjell kommune Postboks 184 5342 STRAUME Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01137-9/RTH 27. februar 2012 Avslutning av sak - kontroll hos Fjell kommune- Internkontroll og informasjonssikkerhet

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet Fiskeridirektoratet Postboks 185 Sentrum 5804 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) 11/7937 13/00201-8/HHU 26. juni 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00176 Dato for kontroll: 27.03.2012 Rapportdato: 05.09.2012 Endelig kontrollrapport Kontrollobjekt: Kåfjord kommune Sted: Kåfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet Utdanningsdirektoratet Postboks 2924 Tøyen 0608 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2012/6050 12/00973-10/KBK 27. februar 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet Statens Havarikommisjon for Transport Postboks 213 2001 LILLESTRØM Deres referanse Vår referanse (bes oppgitt ved svar) 12/611-6 12/01022-8/HHU 28. februar 2013 Dato Vedtak om pålegg Endelig kontrollrapport

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 17.12.2013 Foreløpig rapport: 11.03.2014 Endelig rapport: 07.08.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Drammen kommune, Aronsløkka skole Sted:

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Saksnummer: 16/00326 Dato for kontroll: 10.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Bedre personvern i skole og barnehage

Bedre personvern i skole og barnehage Bedre personvern i skole og barnehage NOKIOS, 28. oktober 2014 Eirin Oda Lauvset, seniorrådgiver i Datatilsynet Martha Eike, senioringeniør i Datatilsynet Datatilsynet Uavhengig forvaltningsorgan Tilsyn

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00941 Dato for kontroll: 03.12.2013 Foreløpig rapport: 11.03.2014 Endelig rapport: 04.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Bergen kommune, Møhlenpris skole Sted:

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014. Lier kommune Postboks 205 3401 LIER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00141-9/MEI 22. oktober 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale Pilot Digitalt Bortsettingsarkiv Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Varsel om pålegg - Personvern og informasjonssikkerhet i smartklokker for barn - PepCall AS

Varsel om pålegg - Personvern og informasjonssikkerhet i smartklokker for barn - PepCall AS PepCall AS Munkedamsveien 35 0250 Oslo Deres referanse Vår referanse Dato 17/01484-10/EOL 12.12.2017 Varsel om pålegg - Personvern og informasjonssikkerhet i smartklokker for barn - PepCall AS Vi viser

Detaljer

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009. Avslutning av sak - kontroll hos kommune - Internkontroll og informasjonssikkerhet Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en

Detaljer