PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE

Størrelse: px
Begynne med side:

Download "PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE"

Transkript

1 PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE Hedmark fylkesrevisjon Parkgt Hamar tlf Forvaltningsrevisjonsprosjekt

2 INNHOLDSFORTEGNELSE 0. Fylkesrådets kommentarer Innledning Bakgrunn og hjemmel for forvaltningsrevisjon Prosjektets bakgrunn og formål Problemstillinger Metodisk tilnærming Revisjonskriterier Fakta Hvilke personopplysninger registreres vedrørende elevene, også sensitive opplysninger og i hvilke systemer oppbevares disse opplysningene? I hvilken grad sikrer Hedmark fylkeskommune at personopplysninger vedrørende elever håndteres på en forsvarlig måte? Hvilke tiltak og løsninger gjøres for å redusere systemenes sårbarhet og risiko for å ivareta sikkerheten for brukerne? Revisors vurderinger Registrerte personopplysninger vedrørende elevene, også sensitive opplysninger og systemene hvor opplysningene oppbevares Håndtering av personopplysninger i Hedmark fylkeskommune Tiltak og løsninger for å redusere systemenes sårbarhet og risiko for å ivareta sikkerheten for brukerne Konklusjoner og anbefalinger Kilder Vedlegg

3 0. Fylkesrådets kommentarer 3

4 4

5 1.0 Innledning. 1.1 Bakgrunn og hjemmel for forvaltningsrevisjon. Kommunelovens 78 nr. 2 og Forskrift om revisjon i kommuner og fylkeskommuner m.v. 6 pålegger revisor å utføre forvaltningsrevisjon. Forvaltningsrevisjon innebærer å gjennomføre systematiske vurderinger av økonomi, produktivitet, måloppnåelse og virkninger ut fra Fylkestingets vedtak og forutsetninger. Kontrollutvalget i Hedmark fylkeskommune besluttet at det skulle gjennomføres et forvaltningsrevisjonsprosjekt vedrørende etableringen av bredbånd til de videregående skolene i Hedmark. Hedmark fylkeskommune var tidlig ute med å satse på bredbåndsteknologi og bruk av IT i den videregående opplæringen. Denne satsingen har gitt alle de videregående skolene bredbånd og er positivt for elever og lærere. Etter at prosjektet ble startet i mai 2006 har vi endret fokus til hvordan personopplysninger vedrørende elever ivaretas i Hedmark fylkeskommune. Hedmark fylkeskommune har utarbeidet en Overordnet IT-strategi for med fire overordnede mål. IT- satsingen til Hedmark Fylkeskommune skal: teknologisk være i forkant. sikre gode og kostnadseffektive tjenester. sikre tilgjengelighet for alle brukerne uavhengig av tid og sted. kjennetegnes av høy troverdighet (datainnhold, sikkerhet). Troverdighet går på høy grad av sikkerhet og datainnhold og er sentralt i forhold til personopplysninger og rettssikkerhetshensyn for blant annet elevene i fylkeskommunen. 1.2 Prosjektets bakgrunn og formål. Formålet med prosjektet har vært å se på hvordan Hedmark fylkeskommune håndterer personopplysninger vedrørende elever i de videregående skolene. Det har kommet nye og strengere regler om hvordan personopplysninger skal ivaretas, jf. Personopplysningsloven med forskrifter. 5

6 1.3 Problemstillinger Vi har sett nærmere på følgende problemstillinger. 1. Hvilke personopplysninger registreres vedrørende elevene, også sensitive opplysninger og i hvilke systemer oppbevares disse opplysningene? 2. I hvilken grad sikrer Hedmark fylkeskommune at personopplysninger vedrørende elever håndteres på en forsvarlig måte? 3. Hvilke tiltak og løsninger gjøres for å redusere systemenes sårbarhet og risiko med tanke på å ivareta sikkerheten for brukerne? 2.0 Metodisk tilnærming. Fylkesrevisjonen har valgt å benytte deler av Datatilsynets Risikovurdering av informasjonssystem med utgangspunkt i forskrift om personopplysningsloven i undersøkelsen. I Datatilsynets veileder for risikovurdering heter det at en risikovurdering skal være et styringsverktøy for den som har ansvaret for informasjonssikkerhet. Risikovurderingen må resultere i en beskrivelse av risiko som er avdekket og en sammenligning av dette risikonivå med det som er definert som akseptabelt risikonivå 1. Datainnsamlingen har bestått av et spørreskjema med grunnlag i Datatilsynets risikovurdering som er besvart av Fylkessjefen for videregående opplæring og IKT- avdelingen i fylkeskommunen. I tillegg har det vært dokumentanalyse og intervjuer med sentrale personer innen videregående opplæring i Hedmark fylkeskommune, IKT- avdelingen og administrativt personale ved Trysil videregående skole. Planen var å bruke Trysil videregående som et case i prosjektet, det ble det ikke noe av. Det er lagt en kvalitativ tilnærming 2 til grunn for undersøkelsen. Fylkesrevisjonen har fokusert på svarene vi har fått fra videregående opplæring og IKTavdelingen og forsøkt å finne risikofaktorer knyttet til de fem hovedområdene i risikovurderingen. Disse områdene er ledelsens ansvar, organisering, sikkerhet hos andre bedrifter, sikkerhet og dokumentasjon, jf. tabell 1. Det er avgrenset bare mot personopplysninger vedrørende elever og ikke ansatte i fylkeskommunen. I Personopplysningsforskriftens 2-4 står det at risikovurderinger skal gjennomføres for å klarlegge sannsynlighet for og konsekvens av sikkerhetsbrudd. Risikobegrepet rommer altså to størrelser. Sannsynlighet for at noe skal skje, og hvilke konsekvenser denne hendelsen kan få. Dette er illustrert i tabell 1, hvor det angis en skjematisk oppstilling av vurderingens innhold. 1 Datatilsynet (2005):3. 2 Kvalitativ metode er en fellesbetegnelse på ulike typer undersøkelser og undersøkelsesopplegg. Felles for disse er måten data systematiseres, analysene gjennomføres og muligheten for generaliseringen av funnene. 6

7 Fylkesrevisjonen har ikke gjennomført en total risikovurdering, da dette er omfattende, og vi har ikke nok ressurser eller den kompetanse som kreves for en slik vurdering. Vi har konsentrert oss om risikofaktorene som har kommet fram i forbindelse med spørreskjemaet og sett noe på hva fylkeskommunen har gjort så langt av tiltak for å redusere risikoen. Risikovurdering Mål for virksomheten 1)Ledelsens ansvar Risikofaktorer Sikkerhetsbehov/ Lav troverdighet (K/I/T) Risikovurdering Sannsynlighet 1-4 Konsekvens 1-4 Risikofaktor (S+K) Akseptabel risiko (Tallfestet verdi) 2)Organisering 3) Sikkerhet hos andre virksomheter 4) Sikkerhet 5) Dokumentasjon Tabell 1 3. Vurderingsskjema. Hedmark fylkeskommune fikk gjennomført en sikkerhetsrevisjon av bruken av informasjonssystemer i Denne gjennomgangen ble foretatt i samarbeid med Institutt for datasikkerhet og formålet var å avdekke eventuelle sikkerhetsmessige svakheter i systemtekniske, fysiske eller organisatoriske forhold ved fylkeskommunens tjenestesteder og foreslå måter å utbedre dette på. I rapporten vår bygger vi på en del informasjon fra denne sikkerhetsrevisjonen. 3 Basert på Datatilsynet (2005). 7

8 3.0 Revisjonskriterier. For å kunne vurdere de faktiske forhold i forvaltningen må vi ha noe å måle i forhold til. Revisjonskriterier er en samlebetegnelse for det regelverk, standarder og normer etc. som fakta vurderes mot. Revisjonskriteriene fastsettes vanligvis med basis i en eller flere av følgende kilder: lovverk, politiske vedtak og føringer, fylkeskommunens egne retningslinjer, anerkjent teori på området og andre sammenlignbare virksomheters løsninger og resultater. De revisjonskriteriene som vi har målt funn/fakta opp mot i dette prosjektet, følger av: 1) Datatilsynet (2002): Risikovurdering av informasjonssystem med utgangspunkt i forskrift om personopplysningsloven. 2) Lov om behandling av personopplysninger av nr ) Forskrift om behandling av personopplysninger av nr ) Datatilsynet (2005): Veiledning i informasjonssikkerhet for kommuner og fylker. 5) Hedmark fylkeskommune (2006): Overordnet IT- strategi for Hedmark fylkeskommune ) Hedmark fylkeskommune (2005): Strategisk plan for videregående opplæring i Hedmark. 7) Lov om grunnskolen og den videregående opplæringa (opplæringsloven) av nr

9 4.0 Fakta 4.1 Hvilke personopplysninger registreres vedrørende elevene, også sensitive opplysninger og i hvilke systemer oppbevares disse opplysningene? Personopplysningsforskriften (Pol.f.) har bestemmelser om informasjonssikkerhet i kapittel 2. Disse reglene gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. I lov om personopplysninger 2 nr. 1 defineres personopplysninger på følgende måte: Personopplysninger: opplysninger og vurderinger som kan knyttes til en enkeltperson. Med sensitive personopplysninger( 2 nr.8) forstås Opplysninger om a) rasemessige eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold e) medlemskap i fagforeninger. Pol.f. 2-4 krever at det føres oversikt over hva slags personopplysninger som behandles, og at den behandlingsansvarlige skal gjennomføre risikovurdering for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Når det gjelder personopplysninger vedrørende elevene i Hedmark fylkeskommune har vi fått opplyst at følgende opplysninger er registrert når det gjelder elever: - navn og adresse - fødselsnummer - fravær - karakterer fra ungdomsskolen - informasjon i elevmapper (Oppfølgingtjenesten) - opplysninger om spes.pedagogiske behov (Særskilte søkere) Det er mange systemer i fylkeskommunen hvor det oppbevares personopplysninger. Fylkesrevisjonen har ikke full oversikt over alle systemene hvor det registreres personopplysninger. Vi har fått informasjon om noen av systemene, det er blant annet datasystemene Vigo inntak og fag, Otto og Realdok. Vigo inntak inneholder personopplysninger om søkere og elever i forbindelse med inntaket til videregående skole. Mens Vigo fag inneholder personopplysninger om søkere, elever og lærlinger i bedrift. Datasystemet Otto har personopplysninger om søkere og elever som Oppfølgingstjenesten har kontakt med. 9

10 I systemet Realdok registreres personopplysninger vedrørende personer som har fått gjennomført en realkompetansevurdering og opplæringsbehovet for voksne. Hedmark fylkeskommune innførte høsten 2006 ny læringsplattform (Fronter) I tillegg benyttes et fraværssystem (SkoleArena). Begge disse er meldt til Datatilsynet. Etter den gjennomførte sikkerhetsrevisjonen i 2004 ble det identifisert hvilke datasystemer som inneholdt opplysninger som omfattes av Personopplysningsloven og om det var noen konsesjonspliktige systemer. Fire systemer var av en slik art at de krevde innsending av meldinger ble funnet og disse er nå registret hos Datatilsynet. I spørreskjemaet som vi sendte ut ble det spurt om Fylkessjefen for videregående opplæring har en oppdatert oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke opplysninger som inngår i disse. Svaret på dette spørsmålet var at fylkeskommunen ikke har noen slik oversikt. 4.2 I hvilken grad sikrer Hedmark fylkeskommune at personopplysninger vedrørende elever håndteres på en forsvarlig måte? Ifølge Pol.f. 2-5 skal sikkerhetsrevisjon av bruk av informasjonssystemet gjennomføres jevnlig. Resultatene av sikkerhetsrevisjonen som ble gjennomført i 2004 var blant annet anbefaling om å utarbeide en sikkerhetshåndbok for Fylkeshuset. Når det gjelder personopplysninger var forslaget at sensitive personopplysninger og andre opplysninger av en slik art at de ønskes skjermet, skal være under tilsyn eller låses ned. Det ble også gitt anbefalinger om å sikre skrivere hvor det skrives ut dokumenter med personopplysninger. Svakhetene som kom fram i sikkerhetsrevisjonen har vi delvis fått bekreftet i svarene vi har fått fra fylkeskommunen. Det ble blant annet spurt om virksomhetens sikkerhetsmål er dokumentert og undertegnet av en representant for virksomhetens ledelse. Et annet spørsmål var om virksomhetens valg og prioriteringer i sikkerhetsarbeidet var beskrevet i en sikkerhetsstrategi. Svarene her er at ikke noe av dette er gjennomført så langt, men at det arbeides med å få til en sikkerhetshåndbok hvor disse punktene vil bli tatt med. Etter hva fylkesrevisjonen erfarer er det fortsatt skrivere hvor det skrives ut dokumenter med personopplysninger og hvor disse skriverne ikke er sikret for utenforstående. 10

11 4.3 Hvilke tiltak og løsninger gjøres for å redusere systemenes sårbarhet og risiko for å ivareta sikkerheten for brukerne? Vedrørende beredskapsplanlegging for fylkeskommunen ble det svart nei på spørsmålet om det er utarbeidet en beredskapsplan for å sikre nødvendig behandling av personopplysninger ved avbrudd i normal drift. Det er ikke parallelle IT-systemer som kan ta over ved driftsbrudd. Data som inneholder personopplysninger sikkerhetskopieres jevnlig slik som øvrige dokuemnter. Det ble stilt spørsmål om det iverksettes avviksbehandling i tilfeller hvor informasjonssystemet benyttes i strid med fastlagte rutiner, ved brudd på informasjonssikkerhet, samt ved mistanke om sikkerhetsbrudd. Ifølge fylkeskommunen settes det ikke i gang avviksbehandling. Personellsikkerhet Det stilles krav om at medarbeidere i fylkeskommunen som har tilgang til sensitive personopplysninger underskriver taushetserklæring. De blir også informert om omfanget og varigheten for taushetsplikten, samt om konsekvensene ved brudd på denne. Det finnes også rutiner for tildeling av autorisasjon vedrørende behandling av personopplysninger. Disse omfatter også autorisasjon av nytilsatte, vikarer og partnere med tjenestelige behov, i tillegg også for sletting av autorisasjon når en medarbeider for eksempel slutter i virksomheten. Det ble opplyst at kontroll med at tildelte autorisasjoner fungerer etter forutsetningene ikke blir gjort. Fysisk sikkerhet På spørsmål om lokaler og utstyr hvor det behandles sensitive personopplysninger er forsvarlig sikret, fikk vi svar fra IKT- avdelingen om at det gjelder kun der hvor dataeier har gjort avtale om det. Det samme gjelder adgangskontrollen til lokaler og utstyr hvor sensitive personopplysninger finnes. Når det gjelder utstyret som benyttes til behandling av sensitive personopplysninger (arbeidsstasjoner, skrivere, telefakser, kopimaskiner osv.) og spørsmål om disse er innrettet slik at tilgangen begrenses til de som har tjenstlig behov er dette OK for fylkestannlegen, men ikke for videregående opplæring. 11

12 Systemteknisk sikkerhet IKT- avdelingen opplyser om at informasjonssystemet er inndelt i soner, det skilles mellom sikker og åpen sone. Dette skillet innebærer at det er en sikret sone hvor sensitive personopplysninger behandles, atskilt fra det interne nettverket, andre sikrede soner og eksterne nettverk. Skillet mellom sikret sone og intern sone skal være slik at det ikke er mulig for brukere å overstyre de innlagte begrensningene. Når det gjelder den systemteknisk sikkerheten med sikkerhetsbarrierer, applikasjons- og nettverkskontroller osv har IKT- avdelingen svart at dette har de gode rutiner og kontroll på. Dette bekreftes også i rapporten fra sikkerhetsrevisjonen, hvor det er følgende kommentarer: Etter vår vurdering ivaretar fylkeskommunen i all hovedsak disse sikkerhetskrav, bl.a gjennom svært gode systemtekniske tiltak, herunder sikrede nettverk/sikre soner der det foregår behandling av sensitive personopplysninger, gode autorisasjons- og tilgangskontrollrutiner, krypteringsrutiner for ekstern- kommunikasjon med sensitive opplysninger (OT- tjenesten), god dataviruskontroll, osv. og ikke minst: sikkerhetsbevisste ledere og medarbeidere. En av anbefalingene etter sikkerhetsrevisjonen var at Mulighetene for å klippe og lime vurderes fjernet i de fagsystemer som bl.a. behandler personsensitive opplysninger (VIGO, OTTO, osv.), slik at HFKs rutiner for dette blir i samsvar med sikkerhetskravene i POL mht. å sikre mot mulige uautoriserte endringer ( manipuleringer ) av sensitive personopplysninger. Ifølge fagpersoner på videregående opplæring er ikke disse mulighetene for å klippe og lime fjernet. For å få gjennomført arbeidsoppgavene er det meget praktisk å ha muligheten for dette ble det opplyst. FEIDE Hedmark fylkeskommune er en av pilotene når det gjelder prosjektet FEIDE (Felles Elektronisk Identitet). Dette er et nasjonalt tiltak for enhetlig identitetsforvaltning i utdanningssektoren. Målsettingen er å gi studenter og lærere én elektronisk identitet som kan brukes på mange digitale tjenester for utdanning og læring. FEIDE ble innført høsten 2006 i Hedmark fylkeskommune. Med innføring av FEIDE vil en forbedre den elektroniske håndteringen av persondata. FEIDE- løsningen kalles for Buddy. Buddy er en integrasjonsmotor som sikrer at persondata blir behandlet iht personvernloven. Buddy er en kjernekomponent i fylkeskommunens FEIDE- løsning. 12

13 5.0 Revisors vurderinger 5.1 Registrerte personopplysninger vedrørende elevene, også sensitive opplysninger og systemene hvor opplysningene oppbevares Etter hva fylkesrevisjonen erfarer registreres det personopplysninger vedrørende elever i mange datasystemer. Dette er et stort og uoversiktlig område hvor fylkeskommunen ikke har noen total oversikt. Det følger av Pol.f. 2-4, 1. ledd at det skal føres en oversikt over hva slags personopplysninger som behandles i virksomheten. Fylkesrevisjonen anbefaler at Hedmark fylkeskommune får gjennomført en risikovurdering for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Det skal også fastlegges kriterier for akseptabel risiko forbundet med behandling av personopplysninger i virksomheten. Dette er sentralt i forhold til elevenes rettssikkerhet når det gjelder personopplysninger. 5.2 Håndtering av personopplysninger i Hedmark fylkeskommune Det håndteres store mengder av personopplysninger vedrørende elever daglig i Hedmark fylkeskommune. Etter fylkesrevisjonens oppfatning tas utfordringene med å ivareta elevenes rettssikkerhet vedrørende personopplysninger på alvor i fylkeskommunen. Det vises til FEIDEprosjektet. Hedmark fylkeskommune er som tidligere skrevet med i et prosjekt som heter FEIDE og som har utviklet felles elektronisk identitet for elever og lærere. Dette vil etter hvert gjøre det enklere å ha oversikt over og i tillegg håndtere personopplysninger for elevene i den videregående skolen. Det at fylkeskommunen ikke har noen total oversikt over personopplysninger kan gjør det vanskeligere for fylkeskommunen å overholde kravene om melde- og konsesjonsplikt for personopplysninger til Datatilsynet. Nedlåsing av dokumenter med personopplysninger og sikring av skrivere hvor det skrives ut slike dokumenter må prioriteres. Det kan gjøres ved relativt enkle grep. Etter den gjennomførte sikkerhetsrevisjonen kom det fram at det var svært få makuleringsmaskiner i fylkeshuset. Dette har bedret seg noe, men det er viktig at de som arbeider med personopplysninger enkelt og greit kan makulere dokumenter de ikke har behov for. 13

14 5.3 Tiltak og løsninger for å redusere systemenes sårbarhet og risiko for å ivareta sikkerheten for brukerne. Fylkesrevisjonen er kjent med at anbefalingene i sikkerhetsrevisjonen som ble gjennomført i fylkeskommunen blir fulgt opp med diverse tiltak. Det er blant annet satt i gang et prosjekt med å utarbeide en sikkerhetshåndbok for å få dokumentert sikkerhetsrutinene i fylkeshuset, rutinene for behandling av dokumenter og data i Hedmark fylkeskommune. Risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd skal gjennomføres av den behandlingsansvarlige i virksomheten. Det er vanskelig å vite hvem som har fått delegert ansvaret for en del av de overordnede oppgavene med sikkerhetsmål, strategier og rutiner med mer i Hedmark fylkeskommune. Dette ansvaret ser ut til å være fordelt på flere. Det er IKT- avdelingen som har ansvaret for den tekniske driften, og det er ledelsen i Hedmark fylkeskommune som skal sørge for at det blir gjennomført overordnede risikovurderinger, fastsettelse av sikkerhetsmål, utarbeidelse av strategier m.m. Etter fylkesrevisjonens oppfatning bør ledelsen i Hedmark fylkeskommune uttrykkelig gi ansvaret for disse overordnede oppgavene til en eller flere sentrale personer. Som stor dataeier har fylkeskommunen et stort og tungt ansvar for å sikre driften og gjennomføringen når det gjelder blant annet å overholde reglene vedrørende personopplysninger. 14

15 6.0 Konklusjoner og anbefalinger Etter fylkesrevisjonens oppfatning har ikke Hedmark fylkeskommune god nok kontroll og sikkerhet vedrørende håndteringen av personopplysninger for elever. De har blant annet ingen oppdatert oversikt over hvilke behandlinger av personopplysninger som foretas, dette kreves i forskriften om personopplysninger 2-4, 1. ledd. Fylkesrevisjonen anbefaler at fylkeskommunen utarbeider en slik oversikt og holder den oppdatert. Fylkesrevisjonen vil også anbefale at fylkeskommunen gjennomfører en risikovurdering for kartlegging av personopplysninger, slik at de kan dokumentere at de har god oversikt og kontroll når det gjelder personopplysninger. Og for å oppfylle kravene om risikovurderinger i forskriften om personopplysninger 2-4, 2. ledd. Fylkesrevisjonen savner avklaring av hvem som har hovedansvaret for en del av de overordnede oppgavene med sikkerhetsmål, strategier og rutiner med mer. Dette ansvaret ser ut til å være fordelt på flere. Sikkerhetsrevisjonen viser at de har gode rutiner på enkelte områder, spesielt de systemtekniske områdene. FEIDE vil bidra til en mer ensartet og riktig behandling av personopplysninger. Hamar Gjertrud Aas Moen fylkesrevisjonssjef Hans Ole Tårneby førsterevisor 15

16 7.0 Kilder. Datatilsynet (2002): Risikovurdering av informasjonssystem med utgangspunkt i forskrift til personopplysningsloven. Datatilsynet (2005): Veiledning i informasjonssikkerhet for kommuner og fylker. NS ISO/IEC Andersen Kari Merete m.fl.: Veileder i forvaltningsrevisjon. NKRF Lov om behandling av personopplysninger av nr. 31. Forskrift om behandling av personopplysninger av nr Hedmark fylkeskommune (2005): Strategisk plan for videregående opplæring i Hedmark. Hellevik, Ottar (2002): Forskningsmetode i sosiologi og statsvitenskap. Oslo: Universitetsforlaget. Norges kommunerevisorforbund (2005): RSK 001 Standard for forvaltningsrevisjon. 8.0 Vedlegg Vedlegg 1: Oppstartsbrev for prosjektet til Fylkesrådet av Vedlegg 2: Brev med spørreskjema til Fylkessjefen for vid.g. opplæring av Vedlegg 3: Brev fra Fylkessjefen for vid.g. opplæring av Vedlegg 4: Brev vedr. verifisering Fylkessjefen for vid.g. opplæring av Vedlegg 5: E-post vedr. verifisering fra Fylkessjefen for vid.g. opplæring av Vedlegg 6: Brev til Fylkesrådet av

17 17

18 18

19 19

20 20

21 21

22 22

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Kvalitetssikring av feideforvaltningen. Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen

Kvalitetssikring av feideforvaltningen. Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen Kvalitetssikring av feideforvaltningen Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen 3 Hva er målet? Hva må ligge til grunn? Stabil drift Kompetanse til å bruke Kompetanse på pedagogisk

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Forvaltningsrevisjonsplan 2014-2015

Forvaltningsrevisjonsplan 2014-2015 Forvaltningsrevisjonsplan 2014-2015 Hvaler kommune Østfold kontrollutvalgssekretariat Innhold: 1. Innledning... 2 2. Om den overordnede analysen... 3 2.1 Kravene i forskriften ( 10)... 3 2.2 Informasjonsgrunnlag

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Søknad om tildeling av FoU- tid for studieåret 2015-2016

Søknad om tildeling av FoU- tid for studieåret 2015-2016 Søknad om tildeling av FoU- tid for studieåret 2015-2016 Kriterier for tildeling av FoU- tid FoU- tiden skal resultere i tellende publikasjoner. (Med tellende publikasjon menes fagfellevurdert, vitenskapelige

Detaljer

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 NOTAT Til: Landsstyret Fra: Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 Spørreundersøkelser personvern På det siste møtet før landsmøtet behandlet AU en søknad fra Svarte Nattakonferansen om bruk

Detaljer

Veiledning i informasjonssikkerhet for kommuner og fylker

Veiledning i informasjonssikkerhet for kommuner og fylker Veiledning i informasjonssikkerhet for kommuner og fylker TV-202:2005 Veiledning i informasjonssikkerhet for kommuner og fylker Side 2 av 39 Forord Veileder i informasjonssikkerhet for kommuner og fylkeskommuner

Detaljer

Sammendrag... 3 1. Innledning... 4. 1.1 Formål og problemstillinger... 4 1.2 Avgrensning og metode... 4. 2. Revisjonskriterier...

Sammendrag... 3 1. Innledning... 4. 1.1 Formål og problemstillinger... 4 1.2 Avgrensning og metode... 4. 2. Revisjonskriterier... Innholdsfortegnelse Sammendrag... 3 1. Innledning... 4 1.1 Formål og problemstillinger... 4 1.2 Avgrensning og metode... 4 2. Revisjonskriterier... 5 2.1 Informasjonssikkerhet... 5 2.2 Ledelsens ansvar...

Detaljer

Forvaltningsrevisjonsprosjektet. i Bergen kommune

Forvaltningsrevisjonsprosjektet. i Bergen kommune 2009 REVISJONSRAPPORT 69 / F - 08 Dato: 05.11.2009 Forvaltningsrevisjonsprosjektet i Bergen kommune Innholdsfortegnelse Sammendrag... 3 1. Innledning... 4 1.1 Formål og problemstillinger... 4 1.2 Avgrensning

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS) AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN Felles Studentsystem (FS) 1. Avtalens parter 1.1 Parter Avtalen inngås mellom, Org.nr: (heretter kalt behandlingsansvarlig)

Detaljer

Særavtale om lønns- og personalregistre

Særavtale om lønns- og personalregistre Det kongelige Fornyings- og administrasjonsdepartement PM 2007-15 Særavtale om lønns- og personalregistre Dato: 12.12.2007 Til: Statsforvaltningen og Riksrevisjonen Gjelder: Statens personalhåndbok pkt.

Detaljer

MØTEPROTOKOLL KONTROLLUTVALGET I LUNNER KOMMUNE. Onsdag 24. september 2014 holdt kontrollutvalget møte i Lunner rådhus fra kl. 0830 til kl. 1430.

MØTEPROTOKOLL KONTROLLUTVALGET I LUNNER KOMMUNE. Onsdag 24. september 2014 holdt kontrollutvalget møte i Lunner rådhus fra kl. 0830 til kl. 1430. MØTEPROTOKOLL KONTROLLUTVALGET I LUNNER KOMMUNE Onsdag 24. september 2014 holdt kontrollutvalget møte i Lunner rådhus fra kl. 0830 til kl. 1430. Som medlemmer møtte: Tor Ivar Grina (V), leder Kai Roar

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Brukerveiledning for «Lærers Administrative Oppgaver» - LAO.

Brukerveiledning for «Lærers Administrative Oppgaver» - LAO. Brukerveiledning for «Lærers Administrative Oppgaver» - LAO. PILOT RAUFOSS VGS. Tjenesten «LAO» (Lærers Administrative Oppgaver) erstatter dagens løsning for generering av elevvarsler i OFK. Denne nye

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10

Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10 SANDNES KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : S. Haugen Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10 RAPPORT ETTER FORVALTNINGSREVISJON - ELEKTRONISK

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Informasjonssikkerhet og personvern Forvaltningsrevisjon - Telemark fylkeskommune 2014 :: 700 033

Informasjonssikkerhet og personvern Forvaltningsrevisjon - Telemark fylkeskommune 2014 :: 700 033 Informasjonssikkerhet og personvern Forvaltningsrevisjon - Telemark fylkeskommune 2014 :: 700 033 Innhold Sammendrag... 2 1 Innledning... 4 1.1 Kontrollutvalgets bestilling... 4 1.2 Bakgrunn... 4 1.3 Problemstillinger

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Retningslinje for elektroniske saker gjeldende barn i barnehager

Retningslinje for elektroniske saker gjeldende barn i barnehager Retningslinje for elektroniske saker gjeldende barn i barnehager Innledning Arkiv er en viktig del av kommunal forvaltning. Arkivene skal dokumentere kommunens saksbehandling, og således være etterprøvbare

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven

I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven INTERNT BAKGRUNNSNOTAT I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven Bakgrunn En rekke forskningsprosjekter ved fakultetet håndterer

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Kvalitetssikring av arkivene

Kvalitetssikring av arkivene Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

IT-sikkerhet. - Sauherad kommune - Forvaltningsrevisjonsrapport nr: 722 008. Telemark kommunerevisjon IKS

IT-sikkerhet. - Sauherad kommune - Forvaltningsrevisjonsrapport nr: 722 008. Telemark kommunerevisjon IKS IT-sikkerhet - Sauherad kommune - Forvaltningsrevisjonsrapport nr: 722 008 2009 Telemark kommunerevisjon IKS Innhold Sammendrag...iv 1 Innledning...1 1.1 Bakgrunn...1 1.2 Formål og problemstillinger...1

Detaljer

Bedre personvern i skole og barnehage

Bedre personvern i skole og barnehage Bedre personvern i skole og barnehage NOKIOS, 28. oktober 2014 Eirin Oda Lauvset, seniorrådgiver i Datatilsynet Martha Eike, senioringeniør i Datatilsynet Datatilsynet Uavhengig forvaltningsorgan Tilsyn

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

(sign) tlf:74 11 14 76 / mob: 936 92 526 e-post: liv.tronstad@komsek.no

(sign) tlf:74 11 14 76 / mob: 936 92 526 e-post: liv.tronstad@komsek.no NORD TRØNDELAG FYLKESKOMMUNE Kontrollutvalget MØTEINNKALLING DATO: 30. mai 2012 TID: kl 10.00 STED: Fylkets hus, møterom Kvenna, Steinkjer De faste medlemmene innkalles med dette til møtet. Den som har

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Forvaltningsrevisjon. performance auditing value for money audit. Trondheim 7. juni 2012

Forvaltningsrevisjon. performance auditing value for money audit. Trondheim 7. juni 2012 Forvaltningsrevisjon performance auditing value for money audit Trondheim 7. juni 2012 formål Deltakerne skal få kjennskap til: forvaltningsrevisjonsprosessen bl.a. bestilling, planlegging og gjennomføring,

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

TEMAER: FORVALTNINGSREVISJON (FR) ET OVERBLIKK SELSKAPSKONTROLL (SK) ET OVERBLIKK

TEMAER: FORVALTNINGSREVISJON (FR) ET OVERBLIKK SELSKAPSKONTROLL (SK) ET OVERBLIKK TEMAER: FORVALTNINGSREVISJON (FR) ET OVERBLIKK SELSKAPSKONTROLL (SK) ET OVERBLIKK DISPOSISJON OVER EMNENE 1) FØR 1993: INGEN REGLER OM FR OG SK 2) ETTER 1993: REVISJONEN SKAL UTFØRE FR, JFR. KOML 60 NR.

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

INNKALLING TIL MØTE I KONTROLLUTVALGET

INNKALLING TIL MØTE I KONTROLLUTVALGET Postboks 54, 8138 Inndyr 21.03.2012 12/158 416 5.1 Medlemmer i Meløy kommunes kontrollutvalg INNKALLING TIL MØTE I KONTROLLUTVALGET Onsdag 28. mars 2012 kl. 09.00 Møtested: Møterom Bolga, 2. etg, rådhuset,

Detaljer

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL Meldeskjema - for forsknings-/kvalitetsstudier og annen aktivitet som medfører behandling av personopplysninger som er melde- eller konsesjonspliktig i henhold til helseregisterloven og personopplysningsloven

Detaljer

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.

Detaljer

Praksis i IPLOS Fredrikstad kommune. Forvaltningsrevisjonsrapport

Praksis i IPLOS Fredrikstad kommune. Forvaltningsrevisjonsrapport Praksis i IPLOS Fredrikstad kommune Forvaltningsrevisjonsrapport Rolvsøy 23. november 2011 INNHOLDSFORTEGNELSE 1 SAMMENDRAG... 3 2 INNLEDNING... 4 2.1 Bakgrunn... 4 2.2 Problemstilling og avgrensing...

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner

Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner IKA KONGSBERG Interkommunalt arkiv for Buskerud, Vestfold og Telemark IKS Forord Med personopplysningsloven

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner Velkommen til Fagkurs i informasjonssikkerhet basert på Normen for kommuner 1 Mål for fagkurset (1) Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse

Detaljer

Informasjon om bruk av personnummer i Cristin-systemet

Informasjon om bruk av personnummer i Cristin-systemet Informasjon om bruk av personnummer i Cristin-systemet Bakgrunnen til at Cristin og tidligere også Frida-systemet bruker fødselsnummer er at dette er pr i dag den eneste unike identifiseringsnøkkelen for

Detaljer

AUST-AGDER FYLKESREVISJON - for demokratisk innsyn og kontroll - Spillemidler 2008 En undersøkelse om hvorvidt regelverk rundt utbetaling er fulgt.

AUST-AGDER FYLKESREVISJON - for demokratisk innsyn og kontroll - Spillemidler 2008 En undersøkelse om hvorvidt regelverk rundt utbetaling er fulgt. AUST-AGDER FYLKESREVISJON - for demokratisk innsyn og kontroll - Spillemidler 2008 En undersøkelse om hvorvidt regelverk rundt utbetaling er fulgt. Forvaltningsrevisjonsrapport oktober 2009 1. INNLEDNING

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Risikovurdering av informasjonssystem

Risikovurdering av informasjonssystem Risikovurdering av informasjonssystem Innholdsfortegnelse 1 Innledning... 4 1.1 Risiko og personvern... 4 2 Akseptabelt risikonivå... 6 3 Forberedelse av risikovurdering... 7 3.1 Planlegging... 7 3.2 Organisering...

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Saksnummer: 13/00933 Dato for kontroll: 15.10.2013 Foreløpig rapport: 19.12.2013 Endelig rapport: 07.07.2014 Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av:

Detaljer

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1 Introduksjonskurs til Normen Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 4.

Detaljer

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008 v/rådgiver Jim-Arne Hansen IKAT Kontaktseminar, Grand Nordic Hotel 8.-9. mai 2008 Disposisjon: Grunnleggende personvernprinsipper Informasjonssikkerhet Papirbasert - / elektronisk arkiv 2 Viktige personvernprinsipper

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Kunnskapsdepartementet ønsker en sikker identifisering i utdanningssektoren. De har valgt Feide (Felles elektronisk identitet)

Kunnskapsdepartementet ønsker en sikker identifisering i utdanningssektoren. De har valgt Feide (Felles elektronisk identitet) Kunnskapsdepartementet ønsker en sikker identifisering i utdanningssektoren De har valgt Feide (Felles elektronisk identitet) UNINETT ABC har et ansvar for innføring av Feide i grunnopplæringa Hva er Feide?

Detaljer

HOVEDHÅNDBOK FOR INFORMASJONSSIKKERHET HARSTAD KOMMUNE. Versjon 3.04

HOVEDHÅNDBOK FOR INFORMASJONSSIKKERHET HARSTAD KOMMUNE. Versjon 3.04 HOVEDHÅNDBOK FOR INFORMASJONSSIKKERHET I HARSTAD KOMMUNE Versjon 3.04 Innholdsfortegnelse 1. DEFINISJONER... 1 2. FORMÅL... 4 3. GRUNNLAG... 4 4. SIKKERHETSORGANISERING OG ANSVARSFORDELING... 4 4.1 LOVEN...

Detaljer