PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE
|
|
- Aksel Bakke
- 8 år siden
- Visninger:
Transkript
1 PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE Hedmark fylkesrevisjon Parkgt Hamar tlf Fylkesrevisjonen@hedmark.org Forvaltningsrevisjonsprosjekt
2 INNHOLDSFORTEGNELSE 0. Fylkesrådets kommentarer Innledning Bakgrunn og hjemmel for forvaltningsrevisjon Prosjektets bakgrunn og formål Problemstillinger Metodisk tilnærming Revisjonskriterier Fakta Hvilke personopplysninger registreres vedrørende elevene, også sensitive opplysninger og i hvilke systemer oppbevares disse opplysningene? I hvilken grad sikrer Hedmark fylkeskommune at personopplysninger vedrørende elever håndteres på en forsvarlig måte? Hvilke tiltak og løsninger gjøres for å redusere systemenes sårbarhet og risiko for å ivareta sikkerheten for brukerne? Revisors vurderinger Registrerte personopplysninger vedrørende elevene, også sensitive opplysninger og systemene hvor opplysningene oppbevares Håndtering av personopplysninger i Hedmark fylkeskommune Tiltak og løsninger for å redusere systemenes sårbarhet og risiko for å ivareta sikkerheten for brukerne Konklusjoner og anbefalinger Kilder Vedlegg
3 0. Fylkesrådets kommentarer 3
4 4
5 1.0 Innledning. 1.1 Bakgrunn og hjemmel for forvaltningsrevisjon. Kommunelovens 78 nr. 2 og Forskrift om revisjon i kommuner og fylkeskommuner m.v. 6 pålegger revisor å utføre forvaltningsrevisjon. Forvaltningsrevisjon innebærer å gjennomføre systematiske vurderinger av økonomi, produktivitet, måloppnåelse og virkninger ut fra Fylkestingets vedtak og forutsetninger. Kontrollutvalget i Hedmark fylkeskommune besluttet at det skulle gjennomføres et forvaltningsrevisjonsprosjekt vedrørende etableringen av bredbånd til de videregående skolene i Hedmark. Hedmark fylkeskommune var tidlig ute med å satse på bredbåndsteknologi og bruk av IT i den videregående opplæringen. Denne satsingen har gitt alle de videregående skolene bredbånd og er positivt for elever og lærere. Etter at prosjektet ble startet i mai 2006 har vi endret fokus til hvordan personopplysninger vedrørende elever ivaretas i Hedmark fylkeskommune. Hedmark fylkeskommune har utarbeidet en Overordnet IT-strategi for med fire overordnede mål. IT- satsingen til Hedmark Fylkeskommune skal: teknologisk være i forkant. sikre gode og kostnadseffektive tjenester. sikre tilgjengelighet for alle brukerne uavhengig av tid og sted. kjennetegnes av høy troverdighet (datainnhold, sikkerhet). Troverdighet går på høy grad av sikkerhet og datainnhold og er sentralt i forhold til personopplysninger og rettssikkerhetshensyn for blant annet elevene i fylkeskommunen. 1.2 Prosjektets bakgrunn og formål. Formålet med prosjektet har vært å se på hvordan Hedmark fylkeskommune håndterer personopplysninger vedrørende elever i de videregående skolene. Det har kommet nye og strengere regler om hvordan personopplysninger skal ivaretas, jf. Personopplysningsloven med forskrifter. 5
6 1.3 Problemstillinger Vi har sett nærmere på følgende problemstillinger. 1. Hvilke personopplysninger registreres vedrørende elevene, også sensitive opplysninger og i hvilke systemer oppbevares disse opplysningene? 2. I hvilken grad sikrer Hedmark fylkeskommune at personopplysninger vedrørende elever håndteres på en forsvarlig måte? 3. Hvilke tiltak og løsninger gjøres for å redusere systemenes sårbarhet og risiko med tanke på å ivareta sikkerheten for brukerne? 2.0 Metodisk tilnærming. Fylkesrevisjonen har valgt å benytte deler av Datatilsynets Risikovurdering av informasjonssystem med utgangspunkt i forskrift om personopplysningsloven i undersøkelsen. I Datatilsynets veileder for risikovurdering heter det at en risikovurdering skal være et styringsverktøy for den som har ansvaret for informasjonssikkerhet. Risikovurderingen må resultere i en beskrivelse av risiko som er avdekket og en sammenligning av dette risikonivå med det som er definert som akseptabelt risikonivå 1. Datainnsamlingen har bestått av et spørreskjema med grunnlag i Datatilsynets risikovurdering som er besvart av Fylkessjefen for videregående opplæring og IKT- avdelingen i fylkeskommunen. I tillegg har det vært dokumentanalyse og intervjuer med sentrale personer innen videregående opplæring i Hedmark fylkeskommune, IKT- avdelingen og administrativt personale ved Trysil videregående skole. Planen var å bruke Trysil videregående som et case i prosjektet, det ble det ikke noe av. Det er lagt en kvalitativ tilnærming 2 til grunn for undersøkelsen. Fylkesrevisjonen har fokusert på svarene vi har fått fra videregående opplæring og IKTavdelingen og forsøkt å finne risikofaktorer knyttet til de fem hovedområdene i risikovurderingen. Disse områdene er ledelsens ansvar, organisering, sikkerhet hos andre bedrifter, sikkerhet og dokumentasjon, jf. tabell 1. Det er avgrenset bare mot personopplysninger vedrørende elever og ikke ansatte i fylkeskommunen. I Personopplysningsforskriftens 2-4 står det at risikovurderinger skal gjennomføres for å klarlegge sannsynlighet for og konsekvens av sikkerhetsbrudd. Risikobegrepet rommer altså to størrelser. Sannsynlighet for at noe skal skje, og hvilke konsekvenser denne hendelsen kan få. Dette er illustrert i tabell 1, hvor det angis en skjematisk oppstilling av vurderingens innhold. 1 Datatilsynet (2005):3. 2 Kvalitativ metode er en fellesbetegnelse på ulike typer undersøkelser og undersøkelsesopplegg. Felles for disse er måten data systematiseres, analysene gjennomføres og muligheten for generaliseringen av funnene. 6
7 Fylkesrevisjonen har ikke gjennomført en total risikovurdering, da dette er omfattende, og vi har ikke nok ressurser eller den kompetanse som kreves for en slik vurdering. Vi har konsentrert oss om risikofaktorene som har kommet fram i forbindelse med spørreskjemaet og sett noe på hva fylkeskommunen har gjort så langt av tiltak for å redusere risikoen. Risikovurdering Mål for virksomheten 1)Ledelsens ansvar Risikofaktorer Sikkerhetsbehov/ Lav troverdighet (K/I/T) Risikovurdering Sannsynlighet 1-4 Konsekvens 1-4 Risikofaktor (S+K) Akseptabel risiko (Tallfestet verdi) 2)Organisering 3) Sikkerhet hos andre virksomheter 4) Sikkerhet 5) Dokumentasjon Tabell 1 3. Vurderingsskjema. Hedmark fylkeskommune fikk gjennomført en sikkerhetsrevisjon av bruken av informasjonssystemer i Denne gjennomgangen ble foretatt i samarbeid med Institutt for datasikkerhet og formålet var å avdekke eventuelle sikkerhetsmessige svakheter i systemtekniske, fysiske eller organisatoriske forhold ved fylkeskommunens tjenestesteder og foreslå måter å utbedre dette på. I rapporten vår bygger vi på en del informasjon fra denne sikkerhetsrevisjonen. 3 Basert på Datatilsynet (2005). 7
8 3.0 Revisjonskriterier. For å kunne vurdere de faktiske forhold i forvaltningen må vi ha noe å måle i forhold til. Revisjonskriterier er en samlebetegnelse for det regelverk, standarder og normer etc. som fakta vurderes mot. Revisjonskriteriene fastsettes vanligvis med basis i en eller flere av følgende kilder: lovverk, politiske vedtak og føringer, fylkeskommunens egne retningslinjer, anerkjent teori på området og andre sammenlignbare virksomheters løsninger og resultater. De revisjonskriteriene som vi har målt funn/fakta opp mot i dette prosjektet, følger av: 1) Datatilsynet (2002): Risikovurdering av informasjonssystem med utgangspunkt i forskrift om personopplysningsloven. 2) Lov om behandling av personopplysninger av nr ) Forskrift om behandling av personopplysninger av nr ) Datatilsynet (2005): Veiledning i informasjonssikkerhet for kommuner og fylker. 5) Hedmark fylkeskommune (2006): Overordnet IT- strategi for Hedmark fylkeskommune ) Hedmark fylkeskommune (2005): Strategisk plan for videregående opplæring i Hedmark. 7) Lov om grunnskolen og den videregående opplæringa (opplæringsloven) av nr
9 4.0 Fakta 4.1 Hvilke personopplysninger registreres vedrørende elevene, også sensitive opplysninger og i hvilke systemer oppbevares disse opplysningene? Personopplysningsforskriften (Pol.f.) har bestemmelser om informasjonssikkerhet i kapittel 2. Disse reglene gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. I lov om personopplysninger 2 nr. 1 defineres personopplysninger på følgende måte: Personopplysninger: opplysninger og vurderinger som kan knyttes til en enkeltperson. Med sensitive personopplysninger( 2 nr.8) forstås Opplysninger om a) rasemessige eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold e) medlemskap i fagforeninger. Pol.f. 2-4 krever at det føres oversikt over hva slags personopplysninger som behandles, og at den behandlingsansvarlige skal gjennomføre risikovurdering for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Når det gjelder personopplysninger vedrørende elevene i Hedmark fylkeskommune har vi fått opplyst at følgende opplysninger er registrert når det gjelder elever: - navn og adresse - fødselsnummer - fravær - karakterer fra ungdomsskolen - informasjon i elevmapper (Oppfølgingtjenesten) - opplysninger om spes.pedagogiske behov (Særskilte søkere) Det er mange systemer i fylkeskommunen hvor det oppbevares personopplysninger. Fylkesrevisjonen har ikke full oversikt over alle systemene hvor det registreres personopplysninger. Vi har fått informasjon om noen av systemene, det er blant annet datasystemene Vigo inntak og fag, Otto og Realdok. Vigo inntak inneholder personopplysninger om søkere og elever i forbindelse med inntaket til videregående skole. Mens Vigo fag inneholder personopplysninger om søkere, elever og lærlinger i bedrift. Datasystemet Otto har personopplysninger om søkere og elever som Oppfølgingstjenesten har kontakt med. 9
10 I systemet Realdok registreres personopplysninger vedrørende personer som har fått gjennomført en realkompetansevurdering og opplæringsbehovet for voksne. Hedmark fylkeskommune innførte høsten 2006 ny læringsplattform (Fronter) I tillegg benyttes et fraværssystem (SkoleArena). Begge disse er meldt til Datatilsynet. Etter den gjennomførte sikkerhetsrevisjonen i 2004 ble det identifisert hvilke datasystemer som inneholdt opplysninger som omfattes av Personopplysningsloven og om det var noen konsesjonspliktige systemer. Fire systemer var av en slik art at de krevde innsending av meldinger ble funnet og disse er nå registret hos Datatilsynet. I spørreskjemaet som vi sendte ut ble det spurt om Fylkessjefen for videregående opplæring har en oppdatert oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke opplysninger som inngår i disse. Svaret på dette spørsmålet var at fylkeskommunen ikke har noen slik oversikt. 4.2 I hvilken grad sikrer Hedmark fylkeskommune at personopplysninger vedrørende elever håndteres på en forsvarlig måte? Ifølge Pol.f. 2-5 skal sikkerhetsrevisjon av bruk av informasjonssystemet gjennomføres jevnlig. Resultatene av sikkerhetsrevisjonen som ble gjennomført i 2004 var blant annet anbefaling om å utarbeide en sikkerhetshåndbok for Fylkeshuset. Når det gjelder personopplysninger var forslaget at sensitive personopplysninger og andre opplysninger av en slik art at de ønskes skjermet, skal være under tilsyn eller låses ned. Det ble også gitt anbefalinger om å sikre skrivere hvor det skrives ut dokumenter med personopplysninger. Svakhetene som kom fram i sikkerhetsrevisjonen har vi delvis fått bekreftet i svarene vi har fått fra fylkeskommunen. Det ble blant annet spurt om virksomhetens sikkerhetsmål er dokumentert og undertegnet av en representant for virksomhetens ledelse. Et annet spørsmål var om virksomhetens valg og prioriteringer i sikkerhetsarbeidet var beskrevet i en sikkerhetsstrategi. Svarene her er at ikke noe av dette er gjennomført så langt, men at det arbeides med å få til en sikkerhetshåndbok hvor disse punktene vil bli tatt med. Etter hva fylkesrevisjonen erfarer er det fortsatt skrivere hvor det skrives ut dokumenter med personopplysninger og hvor disse skriverne ikke er sikret for utenforstående. 10
11 4.3 Hvilke tiltak og løsninger gjøres for å redusere systemenes sårbarhet og risiko for å ivareta sikkerheten for brukerne? Vedrørende beredskapsplanlegging for fylkeskommunen ble det svart nei på spørsmålet om det er utarbeidet en beredskapsplan for å sikre nødvendig behandling av personopplysninger ved avbrudd i normal drift. Det er ikke parallelle IT-systemer som kan ta over ved driftsbrudd. Data som inneholder personopplysninger sikkerhetskopieres jevnlig slik som øvrige dokuemnter. Det ble stilt spørsmål om det iverksettes avviksbehandling i tilfeller hvor informasjonssystemet benyttes i strid med fastlagte rutiner, ved brudd på informasjonssikkerhet, samt ved mistanke om sikkerhetsbrudd. Ifølge fylkeskommunen settes det ikke i gang avviksbehandling. Personellsikkerhet Det stilles krav om at medarbeidere i fylkeskommunen som har tilgang til sensitive personopplysninger underskriver taushetserklæring. De blir også informert om omfanget og varigheten for taushetsplikten, samt om konsekvensene ved brudd på denne. Det finnes også rutiner for tildeling av autorisasjon vedrørende behandling av personopplysninger. Disse omfatter også autorisasjon av nytilsatte, vikarer og partnere med tjenestelige behov, i tillegg også for sletting av autorisasjon når en medarbeider for eksempel slutter i virksomheten. Det ble opplyst at kontroll med at tildelte autorisasjoner fungerer etter forutsetningene ikke blir gjort. Fysisk sikkerhet På spørsmål om lokaler og utstyr hvor det behandles sensitive personopplysninger er forsvarlig sikret, fikk vi svar fra IKT- avdelingen om at det gjelder kun der hvor dataeier har gjort avtale om det. Det samme gjelder adgangskontrollen til lokaler og utstyr hvor sensitive personopplysninger finnes. Når det gjelder utstyret som benyttes til behandling av sensitive personopplysninger (arbeidsstasjoner, skrivere, telefakser, kopimaskiner osv.) og spørsmål om disse er innrettet slik at tilgangen begrenses til de som har tjenstlig behov er dette OK for fylkestannlegen, men ikke for videregående opplæring. 11
12 Systemteknisk sikkerhet IKT- avdelingen opplyser om at informasjonssystemet er inndelt i soner, det skilles mellom sikker og åpen sone. Dette skillet innebærer at det er en sikret sone hvor sensitive personopplysninger behandles, atskilt fra det interne nettverket, andre sikrede soner og eksterne nettverk. Skillet mellom sikret sone og intern sone skal være slik at det ikke er mulig for brukere å overstyre de innlagte begrensningene. Når det gjelder den systemteknisk sikkerheten med sikkerhetsbarrierer, applikasjons- og nettverkskontroller osv har IKT- avdelingen svart at dette har de gode rutiner og kontroll på. Dette bekreftes også i rapporten fra sikkerhetsrevisjonen, hvor det er følgende kommentarer: Etter vår vurdering ivaretar fylkeskommunen i all hovedsak disse sikkerhetskrav, bl.a gjennom svært gode systemtekniske tiltak, herunder sikrede nettverk/sikre soner der det foregår behandling av sensitive personopplysninger, gode autorisasjons- og tilgangskontrollrutiner, krypteringsrutiner for ekstern- kommunikasjon med sensitive opplysninger (OT- tjenesten), god dataviruskontroll, osv. og ikke minst: sikkerhetsbevisste ledere og medarbeidere. En av anbefalingene etter sikkerhetsrevisjonen var at Mulighetene for å klippe og lime vurderes fjernet i de fagsystemer som bl.a. behandler personsensitive opplysninger (VIGO, OTTO, osv.), slik at HFKs rutiner for dette blir i samsvar med sikkerhetskravene i POL mht. å sikre mot mulige uautoriserte endringer ( manipuleringer ) av sensitive personopplysninger. Ifølge fagpersoner på videregående opplæring er ikke disse mulighetene for å klippe og lime fjernet. For å få gjennomført arbeidsoppgavene er det meget praktisk å ha muligheten for dette ble det opplyst. FEIDE Hedmark fylkeskommune er en av pilotene når det gjelder prosjektet FEIDE (Felles Elektronisk Identitet). Dette er et nasjonalt tiltak for enhetlig identitetsforvaltning i utdanningssektoren. Målsettingen er å gi studenter og lærere én elektronisk identitet som kan brukes på mange digitale tjenester for utdanning og læring. FEIDE ble innført høsten 2006 i Hedmark fylkeskommune. Med innføring av FEIDE vil en forbedre den elektroniske håndteringen av persondata. FEIDE- løsningen kalles for Buddy. Buddy er en integrasjonsmotor som sikrer at persondata blir behandlet iht personvernloven. Buddy er en kjernekomponent i fylkeskommunens FEIDE- løsning. 12
13 5.0 Revisors vurderinger 5.1 Registrerte personopplysninger vedrørende elevene, også sensitive opplysninger og systemene hvor opplysningene oppbevares Etter hva fylkesrevisjonen erfarer registreres det personopplysninger vedrørende elever i mange datasystemer. Dette er et stort og uoversiktlig område hvor fylkeskommunen ikke har noen total oversikt. Det følger av Pol.f. 2-4, 1. ledd at det skal føres en oversikt over hva slags personopplysninger som behandles i virksomheten. Fylkesrevisjonen anbefaler at Hedmark fylkeskommune får gjennomført en risikovurdering for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Det skal også fastlegges kriterier for akseptabel risiko forbundet med behandling av personopplysninger i virksomheten. Dette er sentralt i forhold til elevenes rettssikkerhet når det gjelder personopplysninger. 5.2 Håndtering av personopplysninger i Hedmark fylkeskommune Det håndteres store mengder av personopplysninger vedrørende elever daglig i Hedmark fylkeskommune. Etter fylkesrevisjonens oppfatning tas utfordringene med å ivareta elevenes rettssikkerhet vedrørende personopplysninger på alvor i fylkeskommunen. Det vises til FEIDEprosjektet. Hedmark fylkeskommune er som tidligere skrevet med i et prosjekt som heter FEIDE og som har utviklet felles elektronisk identitet for elever og lærere. Dette vil etter hvert gjøre det enklere å ha oversikt over og i tillegg håndtere personopplysninger for elevene i den videregående skolen. Det at fylkeskommunen ikke har noen total oversikt over personopplysninger kan gjør det vanskeligere for fylkeskommunen å overholde kravene om melde- og konsesjonsplikt for personopplysninger til Datatilsynet. Nedlåsing av dokumenter med personopplysninger og sikring av skrivere hvor det skrives ut slike dokumenter må prioriteres. Det kan gjøres ved relativt enkle grep. Etter den gjennomførte sikkerhetsrevisjonen kom det fram at det var svært få makuleringsmaskiner i fylkeshuset. Dette har bedret seg noe, men det er viktig at de som arbeider med personopplysninger enkelt og greit kan makulere dokumenter de ikke har behov for. 13
14 5.3 Tiltak og løsninger for å redusere systemenes sårbarhet og risiko for å ivareta sikkerheten for brukerne. Fylkesrevisjonen er kjent med at anbefalingene i sikkerhetsrevisjonen som ble gjennomført i fylkeskommunen blir fulgt opp med diverse tiltak. Det er blant annet satt i gang et prosjekt med å utarbeide en sikkerhetshåndbok for å få dokumentert sikkerhetsrutinene i fylkeshuset, rutinene for behandling av dokumenter og data i Hedmark fylkeskommune. Risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd skal gjennomføres av den behandlingsansvarlige i virksomheten. Det er vanskelig å vite hvem som har fått delegert ansvaret for en del av de overordnede oppgavene med sikkerhetsmål, strategier og rutiner med mer i Hedmark fylkeskommune. Dette ansvaret ser ut til å være fordelt på flere. Det er IKT- avdelingen som har ansvaret for den tekniske driften, og det er ledelsen i Hedmark fylkeskommune som skal sørge for at det blir gjennomført overordnede risikovurderinger, fastsettelse av sikkerhetsmål, utarbeidelse av strategier m.m. Etter fylkesrevisjonens oppfatning bør ledelsen i Hedmark fylkeskommune uttrykkelig gi ansvaret for disse overordnede oppgavene til en eller flere sentrale personer. Som stor dataeier har fylkeskommunen et stort og tungt ansvar for å sikre driften og gjennomføringen når det gjelder blant annet å overholde reglene vedrørende personopplysninger. 14
15 6.0 Konklusjoner og anbefalinger Etter fylkesrevisjonens oppfatning har ikke Hedmark fylkeskommune god nok kontroll og sikkerhet vedrørende håndteringen av personopplysninger for elever. De har blant annet ingen oppdatert oversikt over hvilke behandlinger av personopplysninger som foretas, dette kreves i forskriften om personopplysninger 2-4, 1. ledd. Fylkesrevisjonen anbefaler at fylkeskommunen utarbeider en slik oversikt og holder den oppdatert. Fylkesrevisjonen vil også anbefale at fylkeskommunen gjennomfører en risikovurdering for kartlegging av personopplysninger, slik at de kan dokumentere at de har god oversikt og kontroll når det gjelder personopplysninger. Og for å oppfylle kravene om risikovurderinger i forskriften om personopplysninger 2-4, 2. ledd. Fylkesrevisjonen savner avklaring av hvem som har hovedansvaret for en del av de overordnede oppgavene med sikkerhetsmål, strategier og rutiner med mer. Dette ansvaret ser ut til å være fordelt på flere. Sikkerhetsrevisjonen viser at de har gode rutiner på enkelte områder, spesielt de systemtekniske områdene. FEIDE vil bidra til en mer ensartet og riktig behandling av personopplysninger. Hamar Gjertrud Aas Moen fylkesrevisjonssjef Hans Ole Tårneby førsterevisor 15
16 7.0 Kilder. Datatilsynet (2002): Risikovurdering av informasjonssystem med utgangspunkt i forskrift til personopplysningsloven. Datatilsynet (2005): Veiledning i informasjonssikkerhet for kommuner og fylker. NS ISO/IEC Andersen Kari Merete m.fl.: Veileder i forvaltningsrevisjon. NKRF Lov om behandling av personopplysninger av nr. 31. Forskrift om behandling av personopplysninger av nr Hedmark fylkeskommune (2005): Strategisk plan for videregående opplæring i Hedmark. Hellevik, Ottar (2002): Forskningsmetode i sosiologi og statsvitenskap. Oslo: Universitetsforlaget. Norges kommunerevisorforbund (2005): RSK 001 Standard for forvaltningsrevisjon. 8.0 Vedlegg Vedlegg 1: Oppstartsbrev for prosjektet til Fylkesrådet av Vedlegg 2: Brev med spørreskjema til Fylkessjefen for vid.g. opplæring av Vedlegg 3: Brev fra Fylkessjefen for vid.g. opplæring av Vedlegg 4: Brev vedr. verifisering Fylkessjefen for vid.g. opplæring av Vedlegg 5: E-post vedr. verifisering fra Fylkessjefen for vid.g. opplæring av Vedlegg 6: Brev til Fylkesrådet av
17 17
18 18
19 19
20 20
21 21
22 22
Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerForvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for
DetaljerInformasjonssikkerhet i Nord-Trøndelag fylkeskommune
Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerOppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 17/4005-1 Saksbehandler: Kari Lousie Hovland Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken
DetaljerPersonvern og informasjonssikkerhet
Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom..kommune Behandlingsansvarlig og
DetaljerEndelig kontrollrapport
Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerHvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015
Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets
DetaljerIKT-sikkerhet og sårbarhet i Risør kommune
Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland-6jerstad-Grimstad-Lillesand-Riser-Tvedestrand-Vegarshei-knii 12-\ cx - IKT-sikkerhet og sårbarhet i Risør kommune Forvaltningsrevisjonsrapport - november
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerSikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret
INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014
Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll
DetaljerInnsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud
Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning
DetaljerVIRKE. 12. mars 2015
VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerPersonvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen
Det frivillige Skyttervesen Del 1 Personvernerklæring Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1 av
DetaljerForvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune
Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerInformasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt
Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.
DetaljerKontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler
Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerEndelig kontrollrapport
Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland
DetaljerPlan for informasjonssikkerhet Bjugn kommune
Plan for informasjonssikkerhet Bjugn kommune Våren 2015 1 Innledning...3 Overordnet mål...4 Delmål...4 Grunnkrav...4 System for oversikt behandlinger...4 Akseptkriterier...4 System for behandling av avvik...5
DetaljerSpesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum
Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerKonkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale
Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerHva skal i sak/arkivsystemet og hva skal i fagsystem?
Hva skal i sak/arkivsystemet og hva skal i fagsystem? Solfrid Kjærran, nestleder Arkiv i Nordland 25.11.15 Skulpturlandskap Nordland Meløy Foto: Aina Sprauten Bakgrunn Henvendelser fra kommunene til KS
Detaljer3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.
1.5 Definisjoner Definisjoner i Personopplysningslov og -forskrift 1) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. 2) Behandling av personopplysninger Enhver bruk av
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerStyringssystem i et rettslig perspektiv
Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet
DetaljerKontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg
Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerForvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune
Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune
DetaljerKan du legge personopplysninger i skyen?
Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,
DetaljerKvalitetssikring av feideforvaltningen. Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen
Kvalitetssikring av feideforvaltningen Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen 3 Hva er målet? Hva må ligge til grunn? Stabil drift Kompetanse til å bruke Kompetanse på pedagogisk
DetaljerStatus personvern Hedmark og Oppland fylkeskommuner
Status personvern Hedmark og Oppland fylkeskommuner Kontrollutvalget Tone Hoddø Bakås, personvernombud 21.5.2019 Personvernlovgivningen Personopplysningslov fra 2000 Ny personopplysningslov fra juli 2018
DetaljerGo to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.
INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1
DetaljerMed forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.
Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for
DetaljerNy personvernlov. Hilde Lange, personvernombud Troms fylkeskommune
Ny personvernlov Hilde Lange, personvernombud Troms fylkeskommune - Litt om personvernombudet i TFK - Hva er personopplysninger - Hva er nytt fra 25. mai 2018? - Hvordan håndtere personopplysninger - Hvilke
DetaljerOVERSIKT SIKKERHETSARBEIDET I UDI
OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument
DetaljerHandbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret
Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt
DetaljerRevisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer
Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Mottaker: Kunnskapsdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold til lov om Riksrevisjonen
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerRSK 001 Standard for forvaltningsrevisjon
Forslag til revidert 06.10.10 RSK 001 Standard for forvaltningsrevisjon Innhold Avsnitt Innledning 1-5 Krav til revisor 6-9 Bestilling 10-11 Revisjonsdialogen 12-17 Prosjektplan 18-19 Problemstilling(er)
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
DetaljerEndelig kontrollrapport
Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning
DetaljerSikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer
Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerInnledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerKontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby
Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet
DetaljerGDPR Ny personvernforordning
GDPR Ny personvernforordning Sunndalsøra, 1. mars 2018 Vindel morgenseminar Advokat Martin Marsteen Williams 1. Personopplysninger dagens regelverk 2. GDPR/Personvernforordningen 3. Hvordan oppfylle kravene
DetaljerSaksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 13/09/2017 SAK NR 23-2017 Behandling av personopplysninger - oppfølging av styresak 05-2017 Forslag til vedtak: 1. Styret tar redegjørelsen
DetaljerSikkerhetshåndbok for Utdanningsetaten. kortversjon
Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerNye personvernregler
Nye personvernregler Rollen som tillitsvalgt Akademikerforeningenes tillitsvalgtkurs Soria Moria 15. og 16. januar 2018 Ellen Røyneberg, Legeforeningen Agenda Grunnleggende om personvern Personvernforordningen
DetaljerPROSJEKTPLAN Forvaltningsrevisjonsprosjekt Mindreforbruk ved de videregående skolene
2015 PROSJEKTPLAN Forvaltningsrevisjonsprosjekt Mindreforbruk ved de videregående skolene Vest-Agder Fylkesrevisjon INNHOLD 1. INNLEDNING... 3 1.1 Bakgrunn... 3 1.2 Formålet med prosjektet... 5 1.3 Avgrensing
DetaljerRevidert plan for forvaltningsrevisjon
Revidert plan for forvaltningsrevisjon 2016-2020 Årsmelding 2017 Midtre Kontrollutvalget Gauldal kommune i Melhus kommune Vedtatt av kommunestyret 13.12.2018 1 Om forvaltningsrevisjon I henhold til kommuneloven
DetaljerEndelig kontrollrapport
Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerSøknad om tildeling av FoU- tid for studieåret 2015-2016
Søknad om tildeling av FoU- tid for studieåret 2015-2016 Kriterier for tildeling av FoU- tid FoU- tiden skal resultere i tellende publikasjoner. (Med tellende publikasjon menes fagfellevurdert, vitenskapelige
DetaljerKontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten
Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal
Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning
DetaljerFORVALTNINGSREVISJON AV ELEKTRONISK BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER
FORVALTNINGSREVISJON AV ELEKTRONISK BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER ROGALAND FYLKESKOMMUNE JANUAR 2013 INNHOLD Denne rapportens målgrupper er kontrollutvalget, andre folkevalgte, formelt ansvarlige
DetaljerDatabehandleravtale. Denne avtalen er inngått mellom
Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407
DetaljerINF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen
INF1000: IT og samfunn Uke 6, høst 2014 Siri Moe Jensen Oversikt Praktisk om semesterplan og obliger Hilde Lovett, Teknologirådet IT: Eksempler på muligheter og løsninger Kan teknologi styres? Om anvendelse
DetaljerKontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger
Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10
SANDNES KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : S. Haugen Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10 RAPPORT ETTER FORVALTNINGSREVISJON - ELEKTRONISK
DetaljerEndelig kontrollrapport
Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand
DetaljerEndelig kontrollrapport
Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerRevisjonsplan forvaltningsrevisjon for. Marker kommune
Revisjonsplan forvaltningsrevisjon for Revisjonsplan Marker kommune Forvaltningsrevisjon Aremark kommune 2010 2014 2013-2014 INNHOLDSFORTEGNELSE 1. INNLEDNING 3 1.1. Hjemmel for forvaltningsrevisjon 3
DetaljerEndelig kontrollrapport
Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi
DetaljerBrukerinstruks Informasjonssikkerhet
STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...
DetaljerForvaltningsrevisjonsplan 2014-2015
Forvaltningsrevisjonsplan 2014-2015 Hvaler kommune Østfold kontrollutvalgssekretariat Innhold: 1. Innledning... 2 2. Om den overordnede analysen... 3 2.1 Kravene i forskriften ( 10)... 3 2.2 Informasjonsgrunnlag
DetaljerAVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel
DetaljerVeileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?
Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To
DetaljerEndelig kontrollrapport
Saksnummer: 12/00176 Dato for kontroll: 27.03.2012 Rapportdato: 05.09.2012 Endelig kontrollrapport Kontrollobjekt: Kåfjord kommune Sted: Kåfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerPersonvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet
Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens
DetaljerEndelig kontrollrapport
Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerKontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik
Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand
DetaljerAUST-AGDER FYLKESREVISJON - for demokratisk innsyn og kontroll - Spillemidler 2008 En undersøkelse om hvorvidt regelverk rundt utbetaling er fulgt.
AUST-AGDER FYLKESREVISJON - for demokratisk innsyn og kontroll - Spillemidler 2008 En undersøkelse om hvorvidt regelverk rundt utbetaling er fulgt. Forvaltningsrevisjonsrapport oktober 2009 1. INNLEDNING
DetaljerVedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016
Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
DetaljerNOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354
NOTAT Til: Landsstyret Fra: Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 Spørreundersøkelser personvern På det siste møtet før landsmøtet behandlet AU en søknad fra Svarte Nattakonferansen om bruk
DetaljerKF Brukerkonferanse 2013
KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom
DetaljerInformasjon interesseorganisasjoner
Informasjon interesseorganisasjoner Behandling av personopplysninger ved gjennomføring av arbeidsrettede tiltak for NAV Implementering av databehandleravtale mellom tiltaksarrangør og NAV Datatilsynet
Detaljerekommune 2017 Prosessplan for god praksis om personvern
ekommune 2017 Prosessplan for god praksis om personvern Utfordringen Ble tidligere i år klar over at ny EUforordning ville medføre nye krav fra mai 2018 => erkjennelse: Overhalla kommune har et grunnleggende
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
DetaljerArbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6
Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel
DetaljerEr din bedrift klar for ny personopplysningslov?
Er din bedrift klar for ny personopplysningslov? 1. Hva er GDPR? GDPR står for General Data Protection Regulation. GDPR er EUs nye personvernforordning som blir norsk lov den 25. mai i år. Innføringen
DetaljerSkoleeiers forsvarlige system for å vurdere og følge opp kravene i regelverket
Skoleeiers forsvarlige system for å vurdere og følge opp kravene i regelverket Denne delen av tilsynet omhandler skoleeier (kommunen, fylkeskommunen eller styret for friskolene) sitt ansvar for å vurdere
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerMØTEPROTOKOLL KONTROLLUTVALGET I LUNNER KOMMUNE. Onsdag 24. september 2014 holdt kontrollutvalget møte i Lunner rådhus fra kl. 0830 til kl. 1430.
MØTEPROTOKOLL KONTROLLUTVALGET I LUNNER KOMMUNE Onsdag 24. september 2014 holdt kontrollutvalget møte i Lunner rådhus fra kl. 0830 til kl. 1430. Som medlemmer møtte: Tor Ivar Grina (V), leder Kai Roar
Detaljer*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.
Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier
DetaljerAVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN Felles Studentsystem (FS) 1. Avtalens parter 1.1 Parter Avtalen inngås mellom, Org.nr: (heretter kalt behandlingsansvarlig)
DetaljerPsykososialt skolemiljø
1 BAKGRUNN Revisjon Midt-Norge har i brev av 2.10.2017 fått i oppdrag å gjennomføre en forvaltningsrevisjon innenfor temaet læringsmiljø i grunnskolen. Begrunnelsen for prosjektet er beskrevet i Plan for
Detaljer