Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009.

Størrelse: px
Begynne med side:

Download "Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009."

Transkript

1 Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/ / /RTH 11. september 2009 Vedtak om pålegg - endelig kontrollrapport fra kommune Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai Vurdering av tilsvar Datatilsynet har i brev av 30. juni 2009 mottatt kommunens merknader til varselet. Vi har justert rapportens punkt og 5.2 i tråd med kommunens merknader. Endelig kontrollrapport vedlegges. Datatilsynet gjør for ordens skyld oppmerksom på at rapporten skal gi uttrykk for det som faktisk skjedde under kontrollen. Vi har for øvrig følgende kommentarer til kommunens tilsvar: Datatilsynet er positiv til at kommunen vil starte arbeidet med å utarbeide og implementerer tiltak i henhold til vårt vedtak nr.1a og 1b. Kommunen har for øvrig bekreftet at avvik som dannet grunnlag for varsel om vedtak er planlagt brakt til opphør innen Datatilsynet legger dette til grunn og fastsetter frist for gjennomføring av vedtak i henhold til dette. Datatilsynet noterer at virksomheten har insourcet all databehandling med unntak av sak/arkivsystem Acos. Datatilsynet minner om at databehandleravtalen skal oppfylle kravene i personopplysningslovens 15 og 13. Vedtak som er varslet i denne anledning bortfaller. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Kommunen må etablere og implementere internkontroll i samsvar med personopplysningslovens 14 jf. personopplysningsforskriftens kapittel 3. Det vises til tilsynsrapportens pkt. 5.1 og 5.5. Som er ledd i dette arbeidet må: a. kommunen utarbeide rutiner for innsyn, sletting og informasjon i henhold til personopplysningslovens 14 jf. personopplysningsforskriftens 3-1. Det vises til tilsynsrapportens 5.1.3, 5.1.4, 5.1.5, og b. kommunen gjennomgå skjemaene for opptak i barnehage slik at det ikke bes om unødvendige personopplysninger. Det vises til tilsynsrapportens Datatilsynet gir frist for gjennomføring av påleggene til 31. desember Kommunen må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt OSLO

2 gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen fire uker etter at vedtaket er mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at kommunen har rett til innsyn i sakens dokumenter, jf forvaltningslovens 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med hilsen Leif T. Aanensen avdelingsdirektør Renate Thoreid senioringeniør Vedlegg: Endelig kontrollrapport 2

3 Saksnummer: 09/ Dato for kontroll: Rapportdato: 11. september 2009 Endelig kontrollrapport Kontrollobjekt: Sted: Utarbeidet av: Renate Thoreid Aslaug Bendiksen 1 Innledning Datatilsynet gjennomførte kontroll hos kommunen 29. april Kontrollen ble gjennomført i medhold av personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med kommunens plikter til å føre internkontroll og sørge for tilfredsstillende informasjonssikkerhet. Kontrollen ble gjennomført i virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra Datatilsynet: - Renate Thoreid, senioringeniør - Aslaug Bendiksen, seniorrådgiver 3 Generelt Kommune er administrativt organisert som en rendyrket to-nivå modell hvor kommunestyre har delegert all myndighet som loven tillater til rådmann. Rådmann er ansvarlig for hele den kommunale organisasjonen med rundt ansatte. Kommunens tjenesteproduksjon er delt inn i 32 resultatenheter. Ledergruppen består i tillegg til rådmannen av de 32 resultatenhetslederne og to assisterende rådmenn. Sentraladministrasjonen består av seks enheter, IT-avdelingen og oppvekstavdelingen inngår her. Oppvekstavdelingen fungerer som støtteavdeling ut mot barnehager og skoler og ivaretar kommunens oppgaver som barnehageog skoleeier på kommunalt nivå. Kommunen oppga under tilsynet at de hadde 21 kommunale og 27 private barnehage. Kommunen har full barnehagedekning. Kommunen hadde et utstrakt samarbeid med andre kommuner i Vestfold. 12k er et interkommunalt samarbeid mellom 12 Vestfoldkommuner. Formålet med samarbeidet er blant annet å utvikle tjenestetilbudet, samordne kommunens plan-, areal- og næringspolitikk samt være talerør for kommunale fellesinteresser i Vestfold. 12k har et styre bestående av samtlige ordførere og rådmenn. Organisasjonen har ingen formell beslutningsmyndighet. 1 av 12

4 Kommunen har implementert et felles ledelses- og styringssystem og er sertifisert av det Norske Veritas etter ISO-standardene 9001:2000 (kvalitet), (miljø) og NS 7799 (informasjonssikkerhet). Ledelses- og styringssystemet er tilgjengelig på kommunens intranett for alle ansatte. Kommunen orienterte om styringssystemet under tilsynet. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av kommunens plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Kommuner har en omfattende behandling av personopplysninger. Personopplysningenes sensitivitet og omfang varierer i de ulike ansvarsområdene og på ulike lokasjoner til kommunen. Dette er nærmere beskrevet i ledelses- og styringssystemet og i systemoversikt, vedlegg 2 for kommunen. Under kontrollen ble kommunens internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Tilsynet hadde spesielt fokus på behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. I tillegg til at det ble undersøkt hvordan internkontrollbestemmelsene var implementert ved søknad om opptak i barnehage. Datatilsynet hadde oversendt en detaljert agenda for tilsynsbesøket i forkant. Under kontrollen kom det frem at agendaen var mottatt hos kommunen men ikke fordelt til de som var tilstede under kontrollen. Etter Datatilsynets vurdering hadde dette betydning for kommunens forberedelse av kontrollen samt Datatilsynets gjennomføring av denne. Det blir derfor ekstra viktig for kommunen å kommentere den foreløpige rapporten samt oversende underliggende dokumentasjon dersom kommunen er uenig i Datatilsynets faktabeskrivelse. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Internkontroll Generelt om personopplysningslovens 14 Virksomheten har etter personopplysningslovens 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven og regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt under kapittel 5.3. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak kommunen hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. 2 av 12

5 Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. Gitt kommunenes kompleksitet vil enkelte deler av internkontrollen være mer aktuelle på noen områder enn andre, rutiner for innhenting av samtykke vil for eksempel kun være aktuelt på områder der det er aktuelt å innhente slikt samtykke. Videre vil implementering av de enkelte kravene i loven kunne variere fra saksområde til saksområde, og det kan derfor være hensiktsmessig å spesialtilpasse enkelte gjennomførende dokumenter til det enkelte saksområdet. Bestemmelsene om sletting av elektroniske søknadsskjema til barnehagene vil for eksempel se annerledes ut enn sletting av informasjon i personalmapper Ansvarsforhold etter loven Behandlingsansvar defineres i personopplysningslovens 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Personopplysningsforskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i kapittel 5.3. Kommunen opplyste om at rådmannen er i egenskap av øverste administrative leder, den som har det overordnede ansvaret for informasjonssikkerhet. Behandlingsansvaret er definert ut på til de enkelte resultatenhetene innenfor sine ansvarsområder. Dette innbefattet plikten til å vurdere om en behandling var lovlig, om den var omfattet av konsesjons- eller meldeplikten og plikt til å søke om konsesjon eller sende melding til Datatilsynet. Kommunen har utnevnt systemeiere og systemansvarlige for de ulike fagsystemer. Forankring og organisering av internkontroll og informasjonssikkerhet er beskrevet i dokumentet Policy for informasjonssikkerhet, kommunen, vedlegg 1. Videre benytter kommunen én databehandler, jf. personopplysningslovens 2 nr. 5. Delkonklusjon: Ansvarsforhold slik som delegasjon og databehandleravtaler anbefales beskrevet i de styrende dokumentene Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må kommunen ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningslovens 11 er oppfylt og danner grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være grunnlag for risikovurderinger. Kravet til oversikt over behandlinger følger også av personopplysningsforskriftens av 12

6 Oversikten må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningslovens 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkommet et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet overleverte på kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Oversikten skal foreligge på overordnet nivå i de styrende dokumentene. Disse skal være tilgjengelig for de ansatte. I og med at resultatenhetsledere og avdelingsledere best kjenner til sine behandlinger av personopplysninger anbefales det at oversikten også foreligger der. Det fremgår av tilsendt dokumentasjon Kommunen og systemoversikt utgave , vedlegg 2 Oversikt over systemer, systemeiere og systemansvarlige en oversikt over hvilke system kommunen hadde. Datatilsynet understreker at det innenfor hvert system kan være flere typer behandlinger og at oversikten manglet blant annet formål, behandlingsgrunnlag, melde/konsesjonsplikt og klassifikasjon. Datatilsynets meldingsdatabasen viser at basen kun inneholder én melding fra kommunen fra PP-tjenesten. Kommunen opplyste om at de ikke hadde iverksatt kameraovervåking. Delkonklusjon: Kommunen må utarbeide en oversikt over alle behandlinger av personopplysninger som foretas av kommunen. Ved utarbeidelse av denne oversikten kan kommunen med fordel ta utgangspunkt i den systemoversikten kommunen allerede har utarbeidet. Etter at oversikten er utarbeidet må kommunen vurdere konsesjons- eller meldeplikt for de ulike behandlingene som foretas Øvrige plikter etter personopplysningslovens 14 jf. personopplysningsforskriftens 3-1 Behandlingsansvarlige må generelt kartlegge de plikter i personopplysningsloven som er knyttet til behandlingene i kommunen. Denne kartleggingen vil være nødvendig for å kunne oppfylle regelverkets krav. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, retteplikt etter 27 og sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for utlegging av postlister og saksdokumenter på Internett. I veilederen Internkontroll og informasjonssikkerhet er kravene til identifisering av plikter og utarbeidelse av rutiner blant annet omtalt i kapitlene 3.8 og 4. På kontrollen ble i hovedsak retten til innsyn etter 18 og retten til sletting etter 28 gjennomgått. For innsyn etter 18 viste kommunen til sine internettsider der det opplyses om retten til innsyn etter personopplysningsloven. En slik bekjentgjøring av retten til innsyn anses som 4 av 12

7 positivt. Datatilsynet gjør i denne sammenheng oppmerksom på at linken Krev innsyn! ikke fungerer. Utover den overordnede informasjonen på nettsiden kunne ikke kommunen hadde vise til at det var utarbeidet rutiner for å ivareta den allmenne retten til innsyn ( 18 første ledd) og den registrertes rett til innsyn ( 18 annet ledd). Når det gjelder sletting etter 28 opplyste kommunen om at det ikke var utarbeidet rutiner for sletting på overordet kommunenivå. Datatilsynet ba om å få oversendt rutinene for sletting av opplysninger på barnehageområdet i etterkant. Tilsynet har ikke mottatt slike rutiner, og legger derfor til grunn at det ikke er utarbeidet slike rutiner. Delkonklusjon: Kommunen må ha tilstrekkelig og oppdatert dokumentasjon for gjennomføring av personopplysningslovens krav, jf. personopplysningslovens 14 og personopplysningsforskriftens 3-1. Dette innebærer blant annet at kommunen må etablere og bekjentgjøre for de ansatte rutiner for etterlevelse av bestemmelsen om rett til innsyn etter personopplysningslovens 18 og rett til sletting etter 28. Kontrollen ga ikke grunnlag for å konstatere om øvrige plikter var ivaretatt, for eksempel plikten til retting og informasjon. Dersom dette ikke er tilfellet, understreker Datatilsynet at det også for disse pliktene må etableres og bekjentgjøres rutiner slik at lovens krav blir ivaretatt Konklusjon Kommunen har ikke fullt ut etablert internkontrollsystem etter personopplysningslovens 14 jf. personopplysningsforskriftens kapittel 3. Datatilsynet ser derfor behov for at kommunen på generelt grunnlag gjennomfører en revisjon av sitt internkontrollsystem, dette innebærer blant annet å utarbeide en oversikt over behandlinger av personopplysninger samt etablere rutiner for ivaretakelse av personopplysningslovens krav til innsyn ( 18) og sletting ( 28). Datatilsynet understreker for øvrig at en sentral del av etableringen av et internkontrollsystem er å gjøre dette kjent for de ansatte, jf. 14 annet ledd. Kommunen må følgelig etter etableringen av internkontrollsystemet iverksette tiltak for å gjøre dette kjent blant de ansatte i kommunen. 5.2 Kommunens databehandler En databehandler er i personopplysningslovens 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom utenforstående får tilgang til kommunens personopplysninger, må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningslovens 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningslovens 13. Datatilsynet fikk på tilsynet opplyst at kommunen hadde flere serviceavtaler med ulike leverandører. Da kommunen ikke hadde disse dokumentene tilgjengelig under kontrollen, ba Datatilsynet om at disse skulle ettersendes. Datatilsynet minner imidlertid om at gyldige databehandleravtaler må oppfylle kravene i personopplysningslovens 15 jf av 12

8 Datatilsynet har på tidspunktet for rapport ikke mottatt de etterspurte avtaler. Kommunen opplyser imidlertid om at de kun har en databehandlerrelasjon til kommunens leverandør av sak-/arkivsystem (Acos). I og med at avtalen ikke er oversendt, gir ikke kontrollen tilstrekkelig informasjon til å konkludere om avtalen tilfredsstiller kravene i personopplysningslovens 15. Det legges derfor til grunn at det ikke foreligger tilstrekkelig databehandleravtaler jf. personopplysningslovens 15. Datatilsynet har utarbeidet en mal for inngåelse av databehandleravtaler. Denne kan ettersendes ved forespørsel Konklusjon: Kommunen må sørge for databehandleravtalen med Acos tilfredsstiller kravene i personopplysningslovens 15 jf Krav om informasjonssikkerhet Regelverkets krav I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, og veiledningsmateriale som ble overrakt under kontrollen Krav til sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig gjennomgås for å kartlegge om den er hensiktsmessig i forhold til virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Datatilsynet konstaterte at kommunen hadde etablert en sikkerhetsorganisasjon. I Policy for informasjonssikkerhet, kapittel 2.2 Forankring og organisering står det at Rådmannen har det overordnede, generelle sikkerhetsansvaret og fastsetter sikkerhetspolicyen. Kommunen har videre delegert myndighet innenfor informasjonssikkerhet til resultatenhetene innenfor sine ansvarsområder. I tillegg har kommunen utnevnt systemeiere og systemansvarlige for de ulike fagsystemer. Organisering av informasjonssikkerhet er beskrevet i dokumentet Policy for informasjonssikkerhet, kommunen, vedlegg 1. 6 av 12

9 Datatilsynets kontroll gav lite grunnlag for å verifisere om sikkerhetsorganiseringen var godt kjent i virksomheten. Tilsynet understreker at sentral del av behandlingsansvarliges ansvar er at sikkerhetsorganisasjonen skal gjøres kjent for de ansatte og minner om nevnte plikt Risikovurdering I henhold til personopplysningsforskriftens 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Det ble under kontrollen opplyst og verifisert at virksomheten hadde tilfredstillende rutiner og gjennomførte risikovurdering jevnlig. Prosedyren er beskrevet i kommunens kvalitetssystem for informasjonssikkerhet og tilfredstiller krav til Norsk standard NS-ISO/IEC Datatilsynet påpekte viktigheten av å gjennomføre risikovurderinger både på overordnet nivå og av resultatenhetene innenfor sine ansvarsområder Sikkerhetsrevisjoner Virksomheten plikter i henhold til personopplysningsforskriftens 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang. Virksomheten opplyste om at prosedyren er beskrevet i kommunens kvalitetssystem for informasjonssikkerhet og tilfredstiller krav til Norsk standard NS-ISO/IEC Datatilsynet kontroll gav lite grunnlag for å verifisere om sikkerhetsrevisjoner ble gjennomført. Tilsynet understreker at sentral del av behandlingsansvarliges ansvar er påse at sikkerhetsrevisjoner skal gjennomføres jevnlig og minner om nevnte plikt Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriftens 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter personopplysningslovens 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. 7 av 12

10 For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet meddeles resultatet. Det ble under kontrollen opplyst og verifisert at virksomheten hadde tilfredstillende rutiner for avvik. Alvorlig avvik ble rapportert til rådmann. Prosedyren er beskrevet i kommunens kvalitetssystem for informasjonssikkerhet og tilfredstiller krav til Norsk standard NS-ISO/IEC Spesielt om konfidensialitet, integritet og tilgjengelighet Tilgang til personopplysninger i sensitive fagsystemer i kommunens sikker sone vil gjennomgående inneholde opplysninger som skal sikres spesielt. Det er blant annet av stor viktighet at det opprettes klare skriftlige rutiner for hvem som skal ha tilgang på opplysningene, knyttet opp mot et tjenestelig behov og at disse gjeving revideres. Videre ser tilsynet behov for at kommunen går gjennom tilgangene til de ulike ansatte og sørger for at disse er korrekte. Datatilsynet minner om bestemmelsene i personopplysningsforskriftens 2-10 om fysisk sikring, 2-11 om konfidensialitet, 2-12 om tilgjengelighet, 2-13 om integritet og 2-14 om sikkerhetstiltak. 5.5 Internkontroll knyttet til samordnet opptak i barnehage Om søknadsprosessen Opptaksgruppa i kommunen utarbeidet rutiner for opptak til barnehagene Denne gruppa består av to representanter fra de kommunale barnehagene, to representanter fra de private barnehagene og to representanter fra oppvekstavdelingen i kommunen. Søknad om plass i barnehage sendes kommunen innen gitte frister. Foresatte kan søke om barnehageplass både på papir og elektronisk. Kommunen benytter et søknadsskjema utarbeidet av Visma. Søknadene sendes imidlertid direkte til kommunen og blir følgelig ikke mellomlagret hos leverandøren av systemet. Søknadene lagres i fagsystemet Visma Oppvekst Barnehage. Først der foresatte aksepterer plass opprettes en barnemappe på det aktuelle barnet i WebSak (kommunens elektroniske saksbehandlings- og arkiveringssystem). Søknadsskjemaene med vedlegg samt tilbud om plass blir følgelig liggende i fagsystemet mens avtalen blir liggende i WebSak. Eventuell søknad om redusert foreldrebetaling blir også liggende i WebSak. Barnehagene blir gjort kjent med søknaden når kommunens Oppvekstavdeling sender kopi av Mottatt søknad om barnehageplass til 1. prioritets barnehage. Det er de enkelte lederne av barnehagene som gjør opptak og gir beskjed til ansatt i Oppvekstavdelingen i kommunen. Det er deretter Oppvekstavdelingen som tildeler plass og som sender ut tilbud til de foresatte. Avtalen skal returneres til Oppvekstavdelingen. Ved aksept av plass gjøres leder av barnehagen som saksansvarlig Innholdet i søknadsskjemaet Papirbasert søknadsskjema I søknadsskjemaet bes det om følgende opplysninger: 8 av 12

11 Barnets personalia: Barnets navn, adresse, fødselsnummer, telefonnummer, språk, kjønn og nasjonalitet Om barnehagen mv: Barnehagen(e) det søkes på, oppholdstid i %, starttidspunkt om det ønskes alternative tilbud om ingen av ønskene blir oppfylt. Eventuelle søsken i barnehage: Navn, adresse, telefonnummer, språk/morsmål, fødselsdato, kjønn, navn på barnehage. Foreldre: Mors og fars navn, adresse, telefon (privat/arbeid/mobil), fødselsnummer og eventuell e-postadresse. Spesielle forhold: avkrysning for om barnet har nedsatt funksjonsevne og/eller barn som kommer inn under lov om barneverntjeneste. Angivelse av antall vedlegg. Åpent felt med mulighet for eventuelle kommentarer Elektronisk søknadsskjema I søknadsskjemaet bes det om følgende opplysninger: Barnet personalia: Fødselsinformasjon (for eksempel norsk), fødselsnummer, navn, språk i hjemmet, om barnet behersker norsk dersom norsk ikke er språk i hjemmet og statsborgerskap. Om barnehagen mv: Ønsket startdato, Barnehagene det søkes på (må fylle ut seks valg), ønsket timeantall i uken og ukedager. Foresatte: Hvem barnet bor sammen med (mor, far og eventuelle nye samboer av mor/far, andre (spesifiser for eksempel besteforeldre), om barnet har to foresatte, følgende informasjon om begge foresatte samt eventuelle nye samboere til innsender: Fødselsinformasjon (for eksempel norsk), fødselsnummer (eventuelt fødselsdato og kjønn dersom personen ikke er norsk), navn, adresse, telefon (privat, mobil), arbeidsplass og e- postadresse. Andre opplysninger: Om det er noe ved barnets helse eller sosiale forhold som er av betydning for opptak i barnehage (ja/nei med fritekstfelt for angivelse av hva dette er ), avkrysning av om det er andre hensyn, barn med funksjonshemming, barn som søker overflytting til annen barnehage eller barn som vurderes etter særskilte behov. Fritekstfelt for angivelse av eventuelle andre forhold som en mener har betydning for søknaden. Det opplyses om at opplysninger av sensitiv karakter ikke må oppgis i skjemaet, men ettersendes pr post Datatilsynets vurdering og delkonklusjon I henhold til personopplysningslovens 11 første ledd d) skal det kun bes om relevante personopplysninger. Dette innebærer at opplysningene det bes om må være nødvendige for å vurdere om barnet skal gis plass eller ikke og eventuelt hvilken barnehage barnet gis plass i og hvilken oppholdstid barnet skal få. 9 av 12

12 Kommunen må gjennomgå søknadsskjemaet med tanke på hvilke personopplysninger som er nødvendig i opptaksprosessen. Alle opplysningene som kommunen ber om må være relevante. Datatilsynet stiller for eksempel spørsmål ved hvorfor det kategorisk er behov for å samle inn opplysninger om statsborgerskap når det samles inn opplysninger om morsmål. Datatilsynet stiller videre spørsmål med hvorfor det er nødvendig med detaljerte opplysninger om søsken som har plass i barnehage når det søkes på papir, mens det ikke etterspørres slike opplysninger ved elektronisk søknad (dette kan det eventuelt opplyses om i fritekstfeltet i og med at søsken til barn med barnehageplass gis prioritet 7). For bruk av fødselsnummer stilles det et saklighetskrav og et nødvendighetskrav i personopplysningslovens 12: Fødselsnummer skal bare benyttes når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering. Etter Datatilsynets vurdering innebærer dette at barnets fødselsnummer neppe kan innhentes for barn over kontantstøttealder. Opplysninger som ikke er nødvendig i opptaksprosessen, men som er nødvendig for tilrettelegging og oppfølging av barnet i barnehagen, bør som hovedregel ikke innhentes i opptaksprosessen. En slik etterfølgende innhenting vil også begrense muligheten for at andre enn dem som har behov for opplysningene får tilgang til disse. Enkelte av opplysningene det bes om er definert som sensitive eller taushetsbelagte. Dette er for eksempel opplysning om at det søkes om prioritert plass fordi barnet har nedsatt funksjonsevne eller der det er fattet vedtak etter lov om barneverntjenester. Dersom slike opplysninger skal fremkomme (direkte eller av fritekstfelt) må det settes i verk særskilte sikkerhetstiltak, jf. nedenfor. Bruk av fritekstfelt kan lett føre til at kommunen samler inn personopplysninger som ikke er relevante. Dette vil særlig være tilfellet der det ikke spesifiseres nærmere hva kommunen ønsker i feltet. Datatilsynet viser til at selv om kommunen har full barnehagedekning vil trolig foresatte lett komme til å informere om irrelevante forhold for å maksimere sjansene for å få tildelt en bestemt barnehageplass. Det å legge til rette for en slik løsning vil lett komme i konflikt med personopplysningslovens 11 om relevans. Datatilsynet viser til at bruken av åpne felt lett kan komme i konflikt med personopplysningslovens sikkerhetsbestemmelser. Selv om det opplyses om at det ikke skal oppgis sensitiv informasjon, innformerers det ikke nærmere om hva som ligger i dette. Videre gis det ingen informasjon om at også taushetsbelagte opplysninger krever egne sikkerhetstiltak. Hva som er taushetsbelagt og hva som er sensitivt vil ofte men ikke alltid være sammenfallende. En løsning med åpne felt vil følgelig lett kunne føre til at sensitive og taushetsbelagte personopplysninger kan bli sendt uten tilstrekkelig sikkerhet. En slik oversendelse vil være i strid med personopplysningsforskriftens 2-11 om sikring av konfidensialitet og eforvaltningsforskriftens 5, første ledd. Datatilsynet siterer fra sistnevnte bestemmelse: Når et forvaltningsorgan legger til rette for bruk av elektronisk kommunikasjon for mottak av opplysninger som på forvaltningens hånd kan være underlagt taushetsplikt, 10 av 12

13 eller som kan være underlagt krav til sikring etter reglene om behandling av personopplysninger eller tilsvarende regler, skal risiko for uberettiget innsyn i opplysningene være forebygget på tilfredsstillende måte. Datatilsynet understreker imidlertid at sikkerhet av løsningen ikke var tema på kontrollen, og tilsynet begrenser seg følgelig til å påpeke at kommunen må undersøke dette punktet nærmere Tilgangsstyring To ansatte i kommunenes oppvekstavdeling hadde hovedansvaret for behandling av søknadene som kom inn til kommunen. Disse hadde tilgang til samtlige søknader. I tillegg hadde styrerne tilgang til søknadene til de barna som hadde deres barnehage som førsteprioritet. Dersom denne barnehagen ikke hadde et tilbud til barnet ble tilgangen gitt til styreren i neste barnehage på lista. Innenfor hver sone i kommunen var det et sonesamarbeid som blant annet hadde som formål å sikre at barn fordeles hensiktsmessig på de ulike barnehagene i sonen. Styrerne for barnehagene deltok i dette samarbeidet. Styrerne ga imidlertid ikke tilgang til søknader (elektronisk eller papir) til sine søkere. Delkonklusjon: Gitt organiseringen av opptaksprosessen anser Datatilsynet tilgangsstyringen til søkerne til barnehage som tilfredsstillende Sletting Opplysninger som ikke lenger er nødvendig etter sitt formål skal slettes, jf. personopplysningslovens 28. Kommunen overfører deler av korrespondansen til WebSak. Her vil det følgelig være arkivlovens bestemmelser om lagring kontra kassasjon som kommer til anvendelse. Datatilsynet forsto kommunen slik at ikke all informasjon i forbindelse med opptaket ble overført til WebSak. Dokumentasjon som ikke omfattes av arkivlovens lagringsplikt skal slettes i henhold til personopplysningslovens bestemmelser. Det samme er tilfellet for eventuell dobbellagret informasjon (for eksempel fra søknadsportalen). Datatilsynet ba på tilsynet om å få oversendt rutiner for sletting av informasjon vedrørende opptak i barnehage. Slike rutiner er ikke oversendt. Datatilsynet må derfor legge til grunn at slike rutiner ikke er utarbeidet. Delkonklusjon: Kommunen har ikke utarbeidet rutiner for sletting av informasjon vedrørende opptak i barnehage, jf. personopplysningslovens 28. Datatilsynet ber kommunen foreta en nærmere vurdering av omfanget av arkiveringsplikten for søknadsopplysninger Konklusjon Kommunen må vurdere hvilke opplysninger de har behov for i opptaksprosessen og tilpasse søknadsskjemaet til dette. Det må foretas en risikovurdering av sannsynligheten for å få inn irrelevant informasjon dersom kommunen ønsker å beholde åpne felt. Kommunen må videre utarbeide sletterutiner for ivaretakelse av personopplysningslovens av 12

14 5.6 Avslutning Vedtak som følge av kontrollen følger i brev. 12 av 12

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009. Avslutning av sak - kontroll hos kommune - Internkontroll og informasjonssikkerhet Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/858/09/5428 09/00171-8 /ABE 30. juni 2009 Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune Det vises til Datatilsynets

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Datatilsynet viser til gjennomført kontroll hos kommunen den 30. april 2009 og til varsel om vedtak gitt i vårt brev av 25. mai 2009.

Datatilsynet viser til gjennomført kontroll hos kommunen den 30. april 2009 og til varsel om vedtak gitt i vårt brev av 25. mai 2009. Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/00172-7 /RTH 30. juni 2009 Vedtak om pålegg - endelig kontrollrapport for kommune Datatilsynet viser til gjennomført kontroll hos kommunen den

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010. Fjell kommune Postboks 184 5342 STRAUME Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01137-9/RTH 27. februar 2012 Avslutning av sak - kontroll hos Fjell kommune- Internkontroll og informasjonssikkerhet

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00176 Dato for kontroll: 27.03.2012 Rapportdato: 05.09.2012 Endelig kontrollrapport Kontrollobjekt: Kåfjord kommune Sted: Kåfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00319 Dato for kontroll: 02.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Sosialistisk Venstreparti Sted: Akersgata 35, Oslo Utarbeidet av: Knut-Bredee Kaspersen

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013. Brønnøy kommune Rådmannen Rådhuset 8905 BRØNNØYSUND Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00452-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport - Brønnøy kommune

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00320 Dato for kontroll: 05.06.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Høyre Utarbeidet av: Knut-Bredee Kaspersen Sted: Oslo 1 Innledning Datatilsynet gjennomførte

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet Direktoratet for naturforvaltning Postboks 5672 Sluppen 7485 TRONDHEIM Deres referanse 2012/15619 org-itev Vår referanse (bes oppgitt ved svar) Dato 12/01045-8/KBK 18. februar 2013 Vedtak om pålegg - Endelig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/30431 12/01044-8/MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014. Lier kommune Postboks 205 3401 LIER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00141-9/MEI 22. oktober 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet Utdanningsdirektoratet Postboks 2924 Tøyen 0608 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2012/6050 12/00973-10/KBK 27. februar 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet Fiskeridirektoratet Postboks 185 Sentrum 5804 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) 11/7937 13/00201-8/HHU 26. juni 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Saksnummer: 13/00933 Dato for kontroll: 15.10.2013 Foreløpig rapport: 19.12.2013 Endelig rapport: 07.07.2014 Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av:

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet Statens Havarikommisjon for Transport Postboks 213 2001 LILLESTRØM Deres referanse Vår referanse (bes oppgitt ved svar) 12/611-6 12/01022-8/HHU 28. februar 2013 Dato Vedtak om pålegg Endelig kontrollrapport

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Saksnummer: 16/00326 Dato for kontroll: 10.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00934 Dato for kontroll: 25.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 Endelig kontrollrapport Kontrollobjekt: Oslo kommune Sted: Bygdøy skole Utarbeidet av: Martha

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00139 Dato for kontroll: 18.03.2014 Foreløpig rapport: 22.04.2014 Endelig rapport: 14.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Kongsberg kommune, Skrim ungdomsskole Sted: Kongsberg

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00118 Dato for kontroll: 6.3.2014 Foreløpig rapport: 29.4.2014 Endelig rapport: 8.8.2014 Endelig kontrollrapport Kontrollobjekt: Bjerkås barnehage Sted: Vollen, Asker Utarbeidet av: Martha

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet

Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet Utlendingsnemnda Postboks 8175 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00685-8 12/00994-9/MEP 19. februar 2013 Dato Vedtak om pålegg - endelig kontrollrapport - Kontroll hos

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet Flekkefjord kommune Kirkegaten 50 4400 FLEKKEFJORD Deres referanse Vår referanse Dato 15/3356 14/00404-9/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Vedtak om pålegg - endelig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 07/01455-9 /CBR 25. januar 2008 Vedtak om pålegg - endelig kontrollrapport Det vises

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 30.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Oslo kommune, Foss videregående skole Sted:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00122 Dato for kontroll: 7.3.2014 Foreløpig rapport: 16.5.2014 Endelig rapport: 12.8.2014 Endelig kontrollrapport Kontrollobjekt: Espira Gruppen AS Sted: Blåveisbakken barnehage Utarbeidet

Detaljer

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011. Eniro Norge AS avd Trondheim Postboks 2333 7004 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00721-5/MHN 29. august 2011 Vedtak - endelig kontrollrapport for Eniro Norge AS Det

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00119 Dato for kontroll: 24.02.2014 Foreløpig rapport: 11.04.2014 Endelig rapport: 07.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Norlandiabarnehagene, Myrertoppen barnehage Sted:

Detaljer

Styringssystem i et rettslig perspektiv

Styringssystem i et rettslig perspektiv Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet

Detaljer

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse Dato 14/7350-AHA 14/00130-7/HHU 30.04.2015 Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 13/00939 Dato for kontroll: 05.11.2013 Foreløpig rapport: 26.02.2014 Endelig rapport: 11.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Elverum kommune, Elverum ungdomsskole Sted: Elverum

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00754 Dato for kontroll: 08.10.2012 Rapportdato: 08.04.2013 Endelig kontrollrapport Kontrollobjekt: Toll- og avgiftsdirektoratet Sted: Oslo Utarbeidet av: Atle Årnes Cecilie Rønnevik 1 Innledning

Detaljer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER) Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold

Detaljer