PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE

Størrelse: px
Begynne med side:

Download "PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE"

Transkript

1 PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE Hedmark fylkesrevisjon Parkgt Hamar tlf Forvaltningsrevisjonsprosjekt

2 INNHOLDSFORTEGNELSE 0. Fylkesrådets kommentarer Innledning Bakgrunn og hjemmel for forvaltningsrevisjon Prosjektets bakgrunn og formål Problemstillinger Metodisk tilnærming Revisjonskriterier Fakta Hvilke personopplysninger registreres vedrørende elevene, også sensitive opplysninger og i hvilke systemer oppbevares disse opplysningene? I hvilken grad sikrer Hedmark fylkeskommune at personopplysninger vedrørende elever håndteres på en forsvarlig måte? Hvilke tiltak og løsninger gjøres for å redusere systemenes sårbarhet og risiko for å ivareta sikkerheten for brukerne? Revisors vurderinger Registrerte personopplysninger vedrørende elevene, også sensitive opplysninger og systemene hvor opplysningene oppbevares Håndtering av personopplysninger i Hedmark fylkeskommune Tiltak og løsninger for å redusere systemenes sårbarhet og risiko for å ivareta sikkerheten for brukerne Konklusjoner og anbefalinger Kilder Vedlegg

3 0. Fylkesrådets kommentarer 3

4 4

5 1.0 Innledning. 1.1 Bakgrunn og hjemmel for forvaltningsrevisjon. Kommunelovens 78 nr. 2 og Forskrift om revisjon i kommuner og fylkeskommuner m.v. 6 pålegger revisor å utføre forvaltningsrevisjon. Forvaltningsrevisjon innebærer å gjennomføre systematiske vurderinger av økonomi, produktivitet, måloppnåelse og virkninger ut fra Fylkestingets vedtak og forutsetninger. Kontrollutvalget i Hedmark fylkeskommune besluttet at det skulle gjennomføres et forvaltningsrevisjonsprosjekt vedrørende etableringen av bredbånd til de videregående skolene i Hedmark. Hedmark fylkeskommune var tidlig ute med å satse på bredbåndsteknologi og bruk av IT i den videregående opplæringen. Denne satsingen har gitt alle de videregående skolene bredbånd og er positivt for elever og lærere. Etter at prosjektet ble startet i mai 2006 har vi endret fokus til hvordan personopplysninger vedrørende elever ivaretas i Hedmark fylkeskommune. Hedmark fylkeskommune har utarbeidet en Overordnet IT-strategi for med fire overordnede mål. IT- satsingen til Hedmark Fylkeskommune skal: teknologisk være i forkant. sikre gode og kostnadseffektive tjenester. sikre tilgjengelighet for alle brukerne uavhengig av tid og sted. kjennetegnes av høy troverdighet (datainnhold, sikkerhet). Troverdighet går på høy grad av sikkerhet og datainnhold og er sentralt i forhold til personopplysninger og rettssikkerhetshensyn for blant annet elevene i fylkeskommunen. 1.2 Prosjektets bakgrunn og formål. Formålet med prosjektet har vært å se på hvordan Hedmark fylkeskommune håndterer personopplysninger vedrørende elever i de videregående skolene. Det har kommet nye og strengere regler om hvordan personopplysninger skal ivaretas, jf. Personopplysningsloven med forskrifter. 5

6 1.3 Problemstillinger Vi har sett nærmere på følgende problemstillinger. 1. Hvilke personopplysninger registreres vedrørende elevene, også sensitive opplysninger og i hvilke systemer oppbevares disse opplysningene? 2. I hvilken grad sikrer Hedmark fylkeskommune at personopplysninger vedrørende elever håndteres på en forsvarlig måte? 3. Hvilke tiltak og løsninger gjøres for å redusere systemenes sårbarhet og risiko med tanke på å ivareta sikkerheten for brukerne? 2.0 Metodisk tilnærming. Fylkesrevisjonen har valgt å benytte deler av Datatilsynets Risikovurdering av informasjonssystem med utgangspunkt i forskrift om personopplysningsloven i undersøkelsen. I Datatilsynets veileder for risikovurdering heter det at en risikovurdering skal være et styringsverktøy for den som har ansvaret for informasjonssikkerhet. Risikovurderingen må resultere i en beskrivelse av risiko som er avdekket og en sammenligning av dette risikonivå med det som er definert som akseptabelt risikonivå 1. Datainnsamlingen har bestått av et spørreskjema med grunnlag i Datatilsynets risikovurdering som er besvart av Fylkessjefen for videregående opplæring og IKT- avdelingen i fylkeskommunen. I tillegg har det vært dokumentanalyse og intervjuer med sentrale personer innen videregående opplæring i Hedmark fylkeskommune, IKT- avdelingen og administrativt personale ved Trysil videregående skole. Planen var å bruke Trysil videregående som et case i prosjektet, det ble det ikke noe av. Det er lagt en kvalitativ tilnærming 2 til grunn for undersøkelsen. Fylkesrevisjonen har fokusert på svarene vi har fått fra videregående opplæring og IKTavdelingen og forsøkt å finne risikofaktorer knyttet til de fem hovedområdene i risikovurderingen. Disse områdene er ledelsens ansvar, organisering, sikkerhet hos andre bedrifter, sikkerhet og dokumentasjon, jf. tabell 1. Det er avgrenset bare mot personopplysninger vedrørende elever og ikke ansatte i fylkeskommunen. I Personopplysningsforskriftens 2-4 står det at risikovurderinger skal gjennomføres for å klarlegge sannsynlighet for og konsekvens av sikkerhetsbrudd. Risikobegrepet rommer altså to størrelser. Sannsynlighet for at noe skal skje, og hvilke konsekvenser denne hendelsen kan få. Dette er illustrert i tabell 1, hvor det angis en skjematisk oppstilling av vurderingens innhold. 1 Datatilsynet (2005):3. 2 Kvalitativ metode er en fellesbetegnelse på ulike typer undersøkelser og undersøkelsesopplegg. Felles for disse er måten data systematiseres, analysene gjennomføres og muligheten for generaliseringen av funnene. 6

7 Fylkesrevisjonen har ikke gjennomført en total risikovurdering, da dette er omfattende, og vi har ikke nok ressurser eller den kompetanse som kreves for en slik vurdering. Vi har konsentrert oss om risikofaktorene som har kommet fram i forbindelse med spørreskjemaet og sett noe på hva fylkeskommunen har gjort så langt av tiltak for å redusere risikoen. Risikovurdering Mål for virksomheten 1)Ledelsens ansvar Risikofaktorer Sikkerhetsbehov/ Lav troverdighet (K/I/T) Risikovurdering Sannsynlighet 1-4 Konsekvens 1-4 Risikofaktor (S+K) Akseptabel risiko (Tallfestet verdi) 2)Organisering 3) Sikkerhet hos andre virksomheter 4) Sikkerhet 5) Dokumentasjon Tabell 1 3. Vurderingsskjema. Hedmark fylkeskommune fikk gjennomført en sikkerhetsrevisjon av bruken av informasjonssystemer i Denne gjennomgangen ble foretatt i samarbeid med Institutt for datasikkerhet og formålet var å avdekke eventuelle sikkerhetsmessige svakheter i systemtekniske, fysiske eller organisatoriske forhold ved fylkeskommunens tjenestesteder og foreslå måter å utbedre dette på. I rapporten vår bygger vi på en del informasjon fra denne sikkerhetsrevisjonen. 3 Basert på Datatilsynet (2005). 7

8 3.0 Revisjonskriterier. For å kunne vurdere de faktiske forhold i forvaltningen må vi ha noe å måle i forhold til. Revisjonskriterier er en samlebetegnelse for det regelverk, standarder og normer etc. som fakta vurderes mot. Revisjonskriteriene fastsettes vanligvis med basis i en eller flere av følgende kilder: lovverk, politiske vedtak og føringer, fylkeskommunens egne retningslinjer, anerkjent teori på området og andre sammenlignbare virksomheters løsninger og resultater. De revisjonskriteriene som vi har målt funn/fakta opp mot i dette prosjektet, følger av: 1) Datatilsynet (2002): Risikovurdering av informasjonssystem med utgangspunkt i forskrift om personopplysningsloven. 2) Lov om behandling av personopplysninger av nr ) Forskrift om behandling av personopplysninger av nr ) Datatilsynet (2005): Veiledning i informasjonssikkerhet for kommuner og fylker. 5) Hedmark fylkeskommune (2006): Overordnet IT- strategi for Hedmark fylkeskommune ) Hedmark fylkeskommune (2005): Strategisk plan for videregående opplæring i Hedmark. 7) Lov om grunnskolen og den videregående opplæringa (opplæringsloven) av nr

9 4.0 Fakta 4.1 Hvilke personopplysninger registreres vedrørende elevene, også sensitive opplysninger og i hvilke systemer oppbevares disse opplysningene? Personopplysningsforskriften (Pol.f.) har bestemmelser om informasjonssikkerhet i kapittel 2. Disse reglene gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. I lov om personopplysninger 2 nr. 1 defineres personopplysninger på følgende måte: Personopplysninger: opplysninger og vurderinger som kan knyttes til en enkeltperson. Med sensitive personopplysninger( 2 nr.8) forstås Opplysninger om a) rasemessige eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold e) medlemskap i fagforeninger. Pol.f. 2-4 krever at det føres oversikt over hva slags personopplysninger som behandles, og at den behandlingsansvarlige skal gjennomføre risikovurdering for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Når det gjelder personopplysninger vedrørende elevene i Hedmark fylkeskommune har vi fått opplyst at følgende opplysninger er registrert når det gjelder elever: - navn og adresse - fødselsnummer - fravær - karakterer fra ungdomsskolen - informasjon i elevmapper (Oppfølgingtjenesten) - opplysninger om spes.pedagogiske behov (Særskilte søkere) Det er mange systemer i fylkeskommunen hvor det oppbevares personopplysninger. Fylkesrevisjonen har ikke full oversikt over alle systemene hvor det registreres personopplysninger. Vi har fått informasjon om noen av systemene, det er blant annet datasystemene Vigo inntak og fag, Otto og Realdok. Vigo inntak inneholder personopplysninger om søkere og elever i forbindelse med inntaket til videregående skole. Mens Vigo fag inneholder personopplysninger om søkere, elever og lærlinger i bedrift. Datasystemet Otto har personopplysninger om søkere og elever som Oppfølgingstjenesten har kontakt med. 9

10 I systemet Realdok registreres personopplysninger vedrørende personer som har fått gjennomført en realkompetansevurdering og opplæringsbehovet for voksne. Hedmark fylkeskommune innførte høsten 2006 ny læringsplattform (Fronter) I tillegg benyttes et fraværssystem (SkoleArena). Begge disse er meldt til Datatilsynet. Etter den gjennomførte sikkerhetsrevisjonen i 2004 ble det identifisert hvilke datasystemer som inneholdt opplysninger som omfattes av Personopplysningsloven og om det var noen konsesjonspliktige systemer. Fire systemer var av en slik art at de krevde innsending av meldinger ble funnet og disse er nå registret hos Datatilsynet. I spørreskjemaet som vi sendte ut ble det spurt om Fylkessjefen for videregående opplæring har en oppdatert oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke opplysninger som inngår i disse. Svaret på dette spørsmålet var at fylkeskommunen ikke har noen slik oversikt. 4.2 I hvilken grad sikrer Hedmark fylkeskommune at personopplysninger vedrørende elever håndteres på en forsvarlig måte? Ifølge Pol.f. 2-5 skal sikkerhetsrevisjon av bruk av informasjonssystemet gjennomføres jevnlig. Resultatene av sikkerhetsrevisjonen som ble gjennomført i 2004 var blant annet anbefaling om å utarbeide en sikkerhetshåndbok for Fylkeshuset. Når det gjelder personopplysninger var forslaget at sensitive personopplysninger og andre opplysninger av en slik art at de ønskes skjermet, skal være under tilsyn eller låses ned. Det ble også gitt anbefalinger om å sikre skrivere hvor det skrives ut dokumenter med personopplysninger. Svakhetene som kom fram i sikkerhetsrevisjonen har vi delvis fått bekreftet i svarene vi har fått fra fylkeskommunen. Det ble blant annet spurt om virksomhetens sikkerhetsmål er dokumentert og undertegnet av en representant for virksomhetens ledelse. Et annet spørsmål var om virksomhetens valg og prioriteringer i sikkerhetsarbeidet var beskrevet i en sikkerhetsstrategi. Svarene her er at ikke noe av dette er gjennomført så langt, men at det arbeides med å få til en sikkerhetshåndbok hvor disse punktene vil bli tatt med. Etter hva fylkesrevisjonen erfarer er det fortsatt skrivere hvor det skrives ut dokumenter med personopplysninger og hvor disse skriverne ikke er sikret for utenforstående. 10

11 4.3 Hvilke tiltak og løsninger gjøres for å redusere systemenes sårbarhet og risiko for å ivareta sikkerheten for brukerne? Vedrørende beredskapsplanlegging for fylkeskommunen ble det svart nei på spørsmålet om det er utarbeidet en beredskapsplan for å sikre nødvendig behandling av personopplysninger ved avbrudd i normal drift. Det er ikke parallelle IT-systemer som kan ta over ved driftsbrudd. Data som inneholder personopplysninger sikkerhetskopieres jevnlig slik som øvrige dokuemnter. Det ble stilt spørsmål om det iverksettes avviksbehandling i tilfeller hvor informasjonssystemet benyttes i strid med fastlagte rutiner, ved brudd på informasjonssikkerhet, samt ved mistanke om sikkerhetsbrudd. Ifølge fylkeskommunen settes det ikke i gang avviksbehandling. Personellsikkerhet Det stilles krav om at medarbeidere i fylkeskommunen som har tilgang til sensitive personopplysninger underskriver taushetserklæring. De blir også informert om omfanget og varigheten for taushetsplikten, samt om konsekvensene ved brudd på denne. Det finnes også rutiner for tildeling av autorisasjon vedrørende behandling av personopplysninger. Disse omfatter også autorisasjon av nytilsatte, vikarer og partnere med tjenestelige behov, i tillegg også for sletting av autorisasjon når en medarbeider for eksempel slutter i virksomheten. Det ble opplyst at kontroll med at tildelte autorisasjoner fungerer etter forutsetningene ikke blir gjort. Fysisk sikkerhet På spørsmål om lokaler og utstyr hvor det behandles sensitive personopplysninger er forsvarlig sikret, fikk vi svar fra IKT- avdelingen om at det gjelder kun der hvor dataeier har gjort avtale om det. Det samme gjelder adgangskontrollen til lokaler og utstyr hvor sensitive personopplysninger finnes. Når det gjelder utstyret som benyttes til behandling av sensitive personopplysninger (arbeidsstasjoner, skrivere, telefakser, kopimaskiner osv.) og spørsmål om disse er innrettet slik at tilgangen begrenses til de som har tjenstlig behov er dette OK for fylkestannlegen, men ikke for videregående opplæring. 11

12 Systemteknisk sikkerhet IKT- avdelingen opplyser om at informasjonssystemet er inndelt i soner, det skilles mellom sikker og åpen sone. Dette skillet innebærer at det er en sikret sone hvor sensitive personopplysninger behandles, atskilt fra det interne nettverket, andre sikrede soner og eksterne nettverk. Skillet mellom sikret sone og intern sone skal være slik at det ikke er mulig for brukere å overstyre de innlagte begrensningene. Når det gjelder den systemteknisk sikkerheten med sikkerhetsbarrierer, applikasjons- og nettverkskontroller osv har IKT- avdelingen svart at dette har de gode rutiner og kontroll på. Dette bekreftes også i rapporten fra sikkerhetsrevisjonen, hvor det er følgende kommentarer: Etter vår vurdering ivaretar fylkeskommunen i all hovedsak disse sikkerhetskrav, bl.a gjennom svært gode systemtekniske tiltak, herunder sikrede nettverk/sikre soner der det foregår behandling av sensitive personopplysninger, gode autorisasjons- og tilgangskontrollrutiner, krypteringsrutiner for ekstern- kommunikasjon med sensitive opplysninger (OT- tjenesten), god dataviruskontroll, osv. og ikke minst: sikkerhetsbevisste ledere og medarbeidere. En av anbefalingene etter sikkerhetsrevisjonen var at Mulighetene for å klippe og lime vurderes fjernet i de fagsystemer som bl.a. behandler personsensitive opplysninger (VIGO, OTTO, osv.), slik at HFKs rutiner for dette blir i samsvar med sikkerhetskravene i POL mht. å sikre mot mulige uautoriserte endringer ( manipuleringer ) av sensitive personopplysninger. Ifølge fagpersoner på videregående opplæring er ikke disse mulighetene for å klippe og lime fjernet. For å få gjennomført arbeidsoppgavene er det meget praktisk å ha muligheten for dette ble det opplyst. FEIDE Hedmark fylkeskommune er en av pilotene når det gjelder prosjektet FEIDE (Felles Elektronisk Identitet). Dette er et nasjonalt tiltak for enhetlig identitetsforvaltning i utdanningssektoren. Målsettingen er å gi studenter og lærere én elektronisk identitet som kan brukes på mange digitale tjenester for utdanning og læring. FEIDE ble innført høsten 2006 i Hedmark fylkeskommune. Med innføring av FEIDE vil en forbedre den elektroniske håndteringen av persondata. FEIDE- løsningen kalles for Buddy. Buddy er en integrasjonsmotor som sikrer at persondata blir behandlet iht personvernloven. Buddy er en kjernekomponent i fylkeskommunens FEIDE- løsning. 12

13 5.0 Revisors vurderinger 5.1 Registrerte personopplysninger vedrørende elevene, også sensitive opplysninger og systemene hvor opplysningene oppbevares Etter hva fylkesrevisjonen erfarer registreres det personopplysninger vedrørende elever i mange datasystemer. Dette er et stort og uoversiktlig område hvor fylkeskommunen ikke har noen total oversikt. Det følger av Pol.f. 2-4, 1. ledd at det skal føres en oversikt over hva slags personopplysninger som behandles i virksomheten. Fylkesrevisjonen anbefaler at Hedmark fylkeskommune får gjennomført en risikovurdering for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Det skal også fastlegges kriterier for akseptabel risiko forbundet med behandling av personopplysninger i virksomheten. Dette er sentralt i forhold til elevenes rettssikkerhet når det gjelder personopplysninger. 5.2 Håndtering av personopplysninger i Hedmark fylkeskommune Det håndteres store mengder av personopplysninger vedrørende elever daglig i Hedmark fylkeskommune. Etter fylkesrevisjonens oppfatning tas utfordringene med å ivareta elevenes rettssikkerhet vedrørende personopplysninger på alvor i fylkeskommunen. Det vises til FEIDEprosjektet. Hedmark fylkeskommune er som tidligere skrevet med i et prosjekt som heter FEIDE og som har utviklet felles elektronisk identitet for elever og lærere. Dette vil etter hvert gjøre det enklere å ha oversikt over og i tillegg håndtere personopplysninger for elevene i den videregående skolen. Det at fylkeskommunen ikke har noen total oversikt over personopplysninger kan gjør det vanskeligere for fylkeskommunen å overholde kravene om melde- og konsesjonsplikt for personopplysninger til Datatilsynet. Nedlåsing av dokumenter med personopplysninger og sikring av skrivere hvor det skrives ut slike dokumenter må prioriteres. Det kan gjøres ved relativt enkle grep. Etter den gjennomførte sikkerhetsrevisjonen kom det fram at det var svært få makuleringsmaskiner i fylkeshuset. Dette har bedret seg noe, men det er viktig at de som arbeider med personopplysninger enkelt og greit kan makulere dokumenter de ikke har behov for. 13

14 5.3 Tiltak og løsninger for å redusere systemenes sårbarhet og risiko for å ivareta sikkerheten for brukerne. Fylkesrevisjonen er kjent med at anbefalingene i sikkerhetsrevisjonen som ble gjennomført i fylkeskommunen blir fulgt opp med diverse tiltak. Det er blant annet satt i gang et prosjekt med å utarbeide en sikkerhetshåndbok for å få dokumentert sikkerhetsrutinene i fylkeshuset, rutinene for behandling av dokumenter og data i Hedmark fylkeskommune. Risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd skal gjennomføres av den behandlingsansvarlige i virksomheten. Det er vanskelig å vite hvem som har fått delegert ansvaret for en del av de overordnede oppgavene med sikkerhetsmål, strategier og rutiner med mer i Hedmark fylkeskommune. Dette ansvaret ser ut til å være fordelt på flere. Det er IKT- avdelingen som har ansvaret for den tekniske driften, og det er ledelsen i Hedmark fylkeskommune som skal sørge for at det blir gjennomført overordnede risikovurderinger, fastsettelse av sikkerhetsmål, utarbeidelse av strategier m.m. Etter fylkesrevisjonens oppfatning bør ledelsen i Hedmark fylkeskommune uttrykkelig gi ansvaret for disse overordnede oppgavene til en eller flere sentrale personer. Som stor dataeier har fylkeskommunen et stort og tungt ansvar for å sikre driften og gjennomføringen når det gjelder blant annet å overholde reglene vedrørende personopplysninger. 14

15 6.0 Konklusjoner og anbefalinger Etter fylkesrevisjonens oppfatning har ikke Hedmark fylkeskommune god nok kontroll og sikkerhet vedrørende håndteringen av personopplysninger for elever. De har blant annet ingen oppdatert oversikt over hvilke behandlinger av personopplysninger som foretas, dette kreves i forskriften om personopplysninger 2-4, 1. ledd. Fylkesrevisjonen anbefaler at fylkeskommunen utarbeider en slik oversikt og holder den oppdatert. Fylkesrevisjonen vil også anbefale at fylkeskommunen gjennomfører en risikovurdering for kartlegging av personopplysninger, slik at de kan dokumentere at de har god oversikt og kontroll når det gjelder personopplysninger. Og for å oppfylle kravene om risikovurderinger i forskriften om personopplysninger 2-4, 2. ledd. Fylkesrevisjonen savner avklaring av hvem som har hovedansvaret for en del av de overordnede oppgavene med sikkerhetsmål, strategier og rutiner med mer. Dette ansvaret ser ut til å være fordelt på flere. Sikkerhetsrevisjonen viser at de har gode rutiner på enkelte områder, spesielt de systemtekniske områdene. FEIDE vil bidra til en mer ensartet og riktig behandling av personopplysninger. Hamar Gjertrud Aas Moen fylkesrevisjonssjef Hans Ole Tårneby førsterevisor 15

16 7.0 Kilder. Datatilsynet (2002): Risikovurdering av informasjonssystem med utgangspunkt i forskrift til personopplysningsloven. Datatilsynet (2005): Veiledning i informasjonssikkerhet for kommuner og fylker. NS ISO/IEC Andersen Kari Merete m.fl.: Veileder i forvaltningsrevisjon. NKRF Lov om behandling av personopplysninger av nr. 31. Forskrift om behandling av personopplysninger av nr Hedmark fylkeskommune (2005): Strategisk plan for videregående opplæring i Hedmark. Hellevik, Ottar (2002): Forskningsmetode i sosiologi og statsvitenskap. Oslo: Universitetsforlaget. Norges kommunerevisorforbund (2005): RSK 001 Standard for forvaltningsrevisjon. 8.0 Vedlegg Vedlegg 1: Oppstartsbrev for prosjektet til Fylkesrådet av Vedlegg 2: Brev med spørreskjema til Fylkessjefen for vid.g. opplæring av Vedlegg 3: Brev fra Fylkessjefen for vid.g. opplæring av Vedlegg 4: Brev vedr. verifisering Fylkessjefen for vid.g. opplæring av Vedlegg 5: E-post vedr. verifisering fra Fylkessjefen for vid.g. opplæring av Vedlegg 6: Brev til Fylkesrådet av

17 17

18 18

19 19

20 20

21 21

22 22

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Oppfølging av forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 17/4005-1 Saksbehandler: Kari Lousie Hovland Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to

Detaljer

IKT-sikkerhet og sårbarhet i Risør kommune

IKT-sikkerhet og sårbarhet i Risør kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland-6jerstad-Grimstad-Lillesand-Riser-Tvedestrand-Vegarshei-knii 12-\ cx - IKT-sikkerhet og sårbarhet i Risør kommune Forvaltningsrevisjonsrapport - november

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Plan for informasjonssikkerhet Bjugn kommune

Plan for informasjonssikkerhet Bjugn kommune Plan for informasjonssikkerhet Bjugn kommune Våren 2015 1 Innledning...3 Overordnet mål...4 Delmål...4 Grunnkrav...4 System for oversikt behandlinger...4 Akseptkriterier...4 System for behandling av avvik...5

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen. 1.5 Definisjoner Definisjoner i Personopplysningslov og -forskrift 1) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. 2) Behandling av personopplysninger Enhver bruk av

Detaljer

Styringssystem i et rettslig perspektiv

Styringssystem i et rettslig perspektiv Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Hva skal i sak/arkivsystemet og hva skal i fagsystem?

Hva skal i sak/arkivsystemet og hva skal i fagsystem? Hva skal i sak/arkivsystemet og hva skal i fagsystem? Solfrid Kjærran, nestleder Arkiv i Nordland 25.11.15 Skulpturlandskap Nordland Meløy Foto: Aina Sprauten Bakgrunn Henvendelser fra kommunene til KS

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Go to  use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn. INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1

Detaljer

Kvalitetssikring av feideforvaltningen. Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen

Kvalitetssikring av feideforvaltningen. Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen Kvalitetssikring av feideforvaltningen Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen 3 Hva er målet? Hva må ligge til grunn? Stabil drift Kompetanse til å bruke Kompetanse på pedagogisk

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

FORVALTNINGSREVISJON AV ELEKTRONISK BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER

FORVALTNINGSREVISJON AV ELEKTRONISK BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER FORVALTNINGSREVISJON AV ELEKTRONISK BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER ROGALAND FYLKESKOMMUNE JANUAR 2013 INNHOLD Denne rapportens målgrupper er kontrollutvalget, andre folkevalgte, formelt ansvarlige

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen INF1000: IT og samfunn Uke 6, høst 2014 Siri Moe Jensen Oversikt Praktisk om semesterplan og obliger Hilde Lovett, Teknologirådet IT: Eksempler på muligheter og løsninger Kan teknologi styres? Om anvendelse

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

RSK 001 Standard for forvaltningsrevisjon

RSK 001 Standard for forvaltningsrevisjon Forslag til revidert 06.10.10 RSK 001 Standard for forvaltningsrevisjon Innhold Avsnitt Innledning 1-5 Krav til revisor 6-9 Bestilling 10-11 Revisjonsdialogen 12-17 Prosjektplan 18-19 Problemstilling(er)

Detaljer

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt

Detaljer

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 13/09/2017 SAK NR 23-2017 Behandling av personopplysninger - oppfølging av styresak 05-2017 Forslag til vedtak: 1. Styret tar redegjørelsen

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00176 Dato for kontroll: 27.03.2012 Rapportdato: 05.09.2012 Endelig kontrollrapport Kontrollobjekt: Kåfjord kommune Sted: Kåfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Revisjonsplan forvaltningsrevisjon for. Marker kommune

Revisjonsplan forvaltningsrevisjon for. Marker kommune Revisjonsplan forvaltningsrevisjon for Revisjonsplan Marker kommune Forvaltningsrevisjon Aremark kommune 2010 2014 2013-2014 INNHOLDSFORTEGNELSE 1. INNLEDNING 3 1.1. Hjemmel for forvaltningsrevisjon 3

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Søknad om tildeling av FoU- tid for studieåret 2015-2016

Søknad om tildeling av FoU- tid for studieåret 2015-2016 Søknad om tildeling av FoU- tid for studieåret 2015-2016 Kriterier for tildeling av FoU- tid FoU- tiden skal resultere i tellende publikasjoner. (Med tellende publikasjon menes fagfellevurdert, vitenskapelige

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

ekommune 2017 Prosessplan for god praksis om personvern

ekommune 2017 Prosessplan for god praksis om personvern ekommune 2017 Prosessplan for god praksis om personvern Utfordringen Ble tidligere i år klar over at ny EUforordning ville medføre nye krav fra mai 2018 => erkjennelse: Overhalla kommune har et grunnleggende

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Sammendrag... 3 1. Innledning... 4. 1.1 Formål og problemstillinger... 4 1.2 Avgrensning og metode... 4. 2. Revisjonskriterier...

Sammendrag... 3 1. Innledning... 4. 1.1 Formål og problemstillinger... 4 1.2 Avgrensning og metode... 4. 2. Revisjonskriterier... Innholdsfortegnelse Sammendrag... 3 1. Innledning... 4 1.1 Formål og problemstillinger... 4 1.2 Avgrensning og metode... 4 2. Revisjonskriterier... 5 2.1 Informasjonssikkerhet... 5 2.2 Ledelsens ansvar...

Detaljer

Forvaltningsrevisjonsprosjektet. i Bergen kommune

Forvaltningsrevisjonsprosjektet. i Bergen kommune 2009 REVISJONSRAPPORT 69 / F - 08 Dato: 05.11.2009 Forvaltningsrevisjonsprosjektet i Bergen kommune Innholdsfortegnelse Sammendrag... 3 1. Innledning... 4 1.1 Formål og problemstillinger... 4 1.2 Avgrensning

Detaljer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Forvaltningsrevisjonsplan 2014-2015

Forvaltningsrevisjonsplan 2014-2015 Forvaltningsrevisjonsplan 2014-2015 Hvaler kommune Østfold kontrollutvalgssekretariat Innhold: 1. Innledning... 2 2. Om den overordnede analysen... 3 2.1 Kravene i forskriften ( 10)... 3 2.2 Informasjonsgrunnlag

Detaljer

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02 Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr:

Detaljer

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer) Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter

Detaljer

Veiledning i informasjonssikkerhet for kommuner og fylker

Veiledning i informasjonssikkerhet for kommuner og fylker Veiledning i informasjonssikkerhet for kommuner og fylker TV-202:2005 Veiledning i informasjonssikkerhet for kommuner og fylker Side 2 av 39 Forord Veileder i informasjonssikkerhet for kommuner og fylkeskommuner

Detaljer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER) Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Lagring av forskningsdata i Tjeneste for Sensitive Data

Lagring av forskningsdata i Tjeneste for Sensitive Data AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Lagring av forskningsdata i Tjeneste for Sensitive Data Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer. 1

Detaljer

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 NOTAT Til: Landsstyret Fra: Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 Spørreundersøkelser personvern På det siste møtet før landsmøtet behandlet AU en søknad fra Svarte Nattakonferansen om bruk

Detaljer

PROSJEKTPLAN. Kommune: Oppdal kommune Rapportnr: R 42 Dato: 20/4/2017 Oppdragsansvarlig: Svein Magne Evavold Utarbeidet av: Merete Lykken

PROSJEKTPLAN. Kommune: Oppdal kommune Rapportnr: R 42 Dato: 20/4/2017 Oppdragsansvarlig: Svein Magne Evavold Utarbeidet av: Merete Lykken Kommune: Oppdal kommune Rapportnr: R 42 Dato: 20/4/2017 Oppdragsansvarlig: Svein Magne Evavold Utarbeidet av: Merete Lykken PROSJEKTPLAN Prosjektnavn: «Mobbing i grunnskolen» Bestilling Kontrollutvalget

Detaljer

Informasjon interesseorganisasjoner

Informasjon interesseorganisasjoner Informasjon interesseorganisasjoner Behandling av personopplysninger ved gjennomføring av arbeidsrettede tiltak for NAV Implementering av databehandleravtale mellom tiltaksarrangør og NAV Datatilsynet

Detaljer

Mobbing i grunnskolen

Mobbing i grunnskolen BESTILLING Kontrollutvalget i kommune vedtok i sak 10/17 å bestille en forvaltningsrevisjon knyttet til mobbing i grunnskolen: Kontrollutvalget viser til plan for forvaltningsrevisjon for 2016 2018 og

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Underbygger lovverket kravene til en digital offentlighet

Underbygger lovverket kravene til en digital offentlighet Underbygger lovverket kravene til en digital offentlighet Personvern Hva er det? Side 2 Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 3 Personopplysninger hvor er de? 4 Digitalisering

Detaljer

PLAN FOR FORVALTNINGSREVISJON Orkdal kommune

PLAN FOR FORVALTNINGSREVISJON Orkdal kommune PLAN FOR FORVALTNINGSREVISJON 2017-2018 Orkdal kommune 1 Om forvaltningsrevisjon Kontrollutvalget ansvarlig for å påse at kommunens regnskaper blir revidert på en betryggende måte. Kontrollutvalget skal

Detaljer

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10

Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10 SANDNES KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : S. Haugen Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10 RAPPORT ETTER FORVALTNINGSREVISJON - ELEKTRONISK

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Sikkerhetspolitikk for behandling av personopplysninger

Sikkerhetspolitikk for behandling av personopplysninger Sikkerhetspolitikk for behandling av personopplysninger HALDEN KOMMUNE 2009 Copyright Halden kommune Juli 2009 Side 1/19 Innholdsfortegnelse 1. BAKGRUNN FOR DETTE DOKUMENTET... 4 1.1. Definisjoner... 4

Detaljer

PROSJEKTPLAN Forvaltningsrevisjonsprosjekt Mindreforbruk ved de videregående skolene

PROSJEKTPLAN Forvaltningsrevisjonsprosjekt Mindreforbruk ved de videregående skolene 2015 PROSJEKTPLAN Forvaltningsrevisjonsprosjekt Mindreforbruk ved de videregående skolene Vest-Agder Fylkesrevisjon INNHOLD 1. INNLEDNING... 3 1.1 Bakgrunn... 3 1.2 Formålet med prosjektet... 5 1.3 Avgrensing

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer