Vedtak og endelig kontrollrapport

Størrelse: px
Begynne med side:

Download "Vedtak og endelig kontrollrapport"

Transkript

1 Securitas AS Postboks 35 Grønland 0133 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /CBR 21. november 2013 Vedtak og endelig kontrollrapport Det vises til Datatilsynets foreløpige kontrollrapport og varsel om vedtak av 29. august 2013, og til selskapets rettidige tilsvar av 23. september Dette brevet faller i tre hoveddeler. I del 1 gjennomgås selskapets tilsvar til Datatilsynets varsel om vedtak. Datatilsynet vedtak følger i del 2, og i del 3 gis en orientering om selskapets adgang til å klage på vedtakene. Datatilsynets endelige kontrollrapport følger vedlagt. En kopi av dette brevet og endelig kontrollrapport oversendes til de av selskapets kunder som mottok kopi av tilsynets varsel om vedtak, til deres orientering. Del I Selskapets tilsvar og Datatilsynets vurderinger I Datatilsynets varsel om vedtak ble det lagt til grunn at det forelå en rekke mangler ved Securitas AS sin etterlevelse av personopplysningslovens bestemmelser. Datatilsynet varslet om at det ville gi pålegg for å bringe de ulike behandlingene i lovlige former. Tilsynet varslet også om at det ville fatte vedtak om at enkelte behandlinger uansett må opphøre,, herunder at visse personopplysninger skulle slettes. I tillegg varslet Datatilsynet om at det ville bli ilegge overtredelsesgebyr for lovbruddene. 1 Datatilsynets saksbehandling Securitas stiller spørsmål ved Datatilsynets offentliggjøring og utlevering av den foreløpige kontrollrapporten og varsel om vedtak. Det noe uklart om dette er en formell klage på våre beslutninger, og vi ber om at det klargjøres. Blant annet ber vi om at det vises til hvilke bestemmelser som eventuelt er brutt, og til relevante bestemmelser om klageadgang. I det følgende vil tilsynet redegjøre for de bestemmelser og vurderinger som ligger til grunn for vår publisering og utlevering i dette tilfellet. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 1.2 Offentliggjøring av varsel om vedtak og foreløpig kontrollrapport Offentleglovas bestemmelser og tilsynets praksis Datatilsynet forstår at det er ubehagelig for et tilsynsobjekt at tilsynets foreløpige rapport og varsel om vedtak blir kjent for allmenheten. Tilsynet forstår imidlertid offentlighetslovens bestemmelser slik at sakens dokumenter er offentlige, og derfor skal leveres ut når noen ber om innsyn, jf hovedregelen i offentleglova 3. Datatilsynet er enig med selskapet i at det kan ha uheldige konsekvenser for parten, dersom det publiseres rapporter og varsler som ikke er basert på korrekte beskrivelser. Dette hensynet er ivaretatt gjennom offentleglovas 5, som gir anvisning på utsatt offentlighet i visse tilfeller. Det kreves at «det er grunn til å tru at dei dokumenta som ligg føre gir et direkte misvisende bilete av saka, og at innsyn derfor kan skade klare samfunnsmessige eller private interesser». Terskelen er altså lagt høyt. Datatilsynet legger til grunn at virksomheter som er i kontakt med offentlige myndigheter forstår at tilsynets dokumenter er offentlige, og innretter seg etter dette. Allikevel informerer tilsynets ansatte rutinemessig om dette når vi gjennomfører stedlige kontroller. Det skjer gjerne i forbindelse med at tilsynet oppsummerer sine foreløpige vurderinger etter kontrollen, og informerer om den videre saksbehandlingen. Datatilsynet praktiserer offentleglova slik at det ikke leveres ut slike dokumenter før det er sannsynlig at tilsynsobjektet selv har mottatt dem, det vil i praksis si et par dager etter at dokumentene er sendt herfra. Dette er begrunnet i at virksomheten skal få anledning til å innrette seg, og forberede seg på eventuelle henvendelser om saken eller oppslag i pressen Tilsynets vurderinger i denne saken Vi som deltok i kontrollmøtet med selskapet mener bestemt at offentlighetslovens bestemmelser ble nevnt overfor selskapets ansatte. Det er imidlertid noe uklart hvor omfattende informasjon som ble gitt, blant annet med tanke på offentliggjøring av foreløpig rapport. Som nevnt mener tilsynet at dette uansett er noe som virksomheten uansett må forutsettes å vite, eller å sette seg inn i. Datatilsynet vurderte det slik at unntaket i offentleglova 5 ikke kom til anvendelse i denne konkrete saken. Etter vår oppfatning var faktum så godt opplyst og klart at det var forsvarlig å varsle et vedtak. Når det gjelder foreløpige kontrollrapporter legger vi også vekt på om offentliggjøring kan bidra til sakens endelige opplysning. Dette er etter vår oppfatning en sak hvor også andre enn tilsynsobjektet selv kan ha opplysninger som bør komme til vår kunnskap, før vi treffer et vedtak. Datatilsynet har generelt et stort påtrykk fra pressen. Det har vært interesse og etterspørsel i denne konkrete saken, helt fra det tidspunkt tilsynets varsel om kontroll ble offentlig. Dokumentene ble allikevel ikke levert ut før det var fremmet en innsynsbegjæring og det var klart at Securitas hadde mottatt dokumentene. 2

3 Som det fremgår over mener Datatilsynet at det opptrådte i samsvar med lov og god forvaltningsskikk da dokumentene ble levert ut til pressen. 1.3 Utlevering av foreløpig kontrollrapport og varsel om vedtak til selskapets kunder Datatilsynets oversendelse av dokumentene til Securitas sine kunder skjedde i medhold av forvaltningslovens 16 om forhåndsvarsling av vedtak. Tilsynet la i den forbindelse til grunn at kundene hadde rettigheter som part i kontrollsaken, jf forvaltningslovens 2 litra e, «person ( ) som saken ellers direkte gjelder». Det ble lagt vekt på at hver av kundene er behandlingsansvarlige, og kan bli holdt ansvarlig for de lovbrudd som ble avdekket. Den enkelte kunde er også part i tilsynets beslutning om ikke å forfølge saken videre overfor disse, jf forvaltningslovens 2 litra e «person som en avgjørelse retter seg mot». Datatilsynet mener at de behandlingsansvarlige må gis slik informasjon som er nødvendig for at de skal kunne ivareta sine plikter etter loven, for eksempel iverksette tiltak for å bringe behandlingen i lovlige former. Både hensynet til den behandlingsansvarlige og de registrerte tilsier dette. Datatilsynet mener at utleveringen ikke kan ha vært helt upåregnelig for selskapet, all den tid saken gjelder forhold som også kundene har et selvstendig ansvar for, jf over. Allikevel ser vi at selskapet burde ha fått uttrykkelig informasjon om at utleveringen ville finne sted, og beklager at det ikke ble gjort. Som det fremgår mener Datatilsynet at det opptrådte i samsvar med lov og god forvaltningsskikk da dokumentene ble oversendt selskapets kunder. 2 Securitas sitt pågående arbeid med personvern Datatilsynet ser det som positivt at selskapet hadde igangsatt et pågående arbeid med å implementere et prosessbasert styringssystem, for bedre å sikre etterlevelse av personopplysningslovens bestemmelser. Tilsynet stiller seg selvsagt til disposisjon for råd og veiledning i den forbindelse. 3 Kommentarer til de faktiske forhold i rapporten 3.1 Hvilke opplysninger som behandles i forbindelse med kontrolltjenester I den foreløpige kontrollrapporten og tilsynets varsel om vedtak er det lagt til grunn at det inngår sensitive personopplysninger i kontrolltjenestene, i form av opplysninger om «at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling», personopplysningslovens 2 nr 8 bokstav b. Det medfører at lovens vilkår til behandlingen skjerpes gjennomgående. 3

4 I sitt tilsvar viser selskapet til at det å avdekke eller etterforske straffbare handlinger ikke er formålet med behandlingen. Formålet er først og fremst å vurdere om oppdragsgivers interne rutiner og retningslinjer følges. Det er opp til oppdragsgiver å vurdere hva som videre skal skje med eventuelle avvik, og å følge opp dette. Datatilsynet vil bemerke at formålet med behandlingen ikke er avgjørende ved vurderingen av om den omfatter sensitive opplysninger. Det må bero på en vurdering av de opplysningene som faktisk inngår i behandlingen. Både når det gjelder ansattkontroll og kundekontroll kan opplysninger om brudd på interne retningslinjer samtidig være opplysninger om at det er grunnlag for å mistenke noen for en straffbar handling typisk i form av underslag eller tyveri. Når det rapporteres om at en kunde har passert betalingspunktet i en butikk uten å betale for de varene som han bringer med seg i lommene, vil det lett være å anse som en opplysning om at vedkommende har forsøkt å stjele varene. Det at opplysningene kun er en gjengivelse av faktum, og ikke i seg selv inneholder noen vurderinger eller mistanke, er etter tilsynets vurdering ikke avgjørende. Mistanken kommer til syne ved at dette er en type faktum som er forhåndsvurdert av oppdragsgiver å skulle være gjenstand for rapportering og nærmere undersøkelser blant annet med tanke på å anmelde forholdet til politiet. Selv om formålet ikke er å avdekke straffbare handlinger, og det heller ikke utelukkende behandles opplysninger om straffbare handlinger, mener tilsynet allikevel at det må tas høyde for at det vil inngå opplysninger i behandlingen som gir grunn til å mistenke straffbare handlinger hos de registrerte, og derved er sensitive i lovens forstand.. Datatilsynet har moderert ordlyden i kontrollrapporten noe, men finner ikke at det er grunnlag for å gjøre endringer i våre vurderinger og konklusjoner om hvorvidt det inngår sensitive personopplysninger i behandlingen. 3.2 Segmentering av personopplysninger I den foreløpige kontrollrapporten beskriver Datatilsynet en demonstrasjon av søkefunksjonalitet i Securitas Azur-tjeneste for lagring av opplysninger i Kontrollsys. Her framkommer opplysninger fra flere behandlingsansvarlige samtidig. Datatilsynet påpeker at dette er et avvik fra Datatilsynets krav om segmentering av opplysninger. Securitas kommenterer dette i sitt svar og påpeker at tilgang til opplysninger fra flere behandlingsansvarlige kun er mulig når bruker er innlogget som «Superbruker»/ «administrator» og at det kun er tre personer som har denne rettigheten. Dette bekrefter Datatilsynets oppfatning av at skiller mellom personopplysninger fra ulike behandlingsansvarlige kun skjer ved hjelp av tilgangsstyring. Datatilsynets praksis tilsier at skille ved hjelp av tilgangsstyring er nødvendig, men ikke tilstrekkelig ut fra sikkerhetsformål. I tillegg til tilgangsstyring skal opplysninger fra ulike behandlingsansvarlige skilles. Securitas løsning tilfredsstiller ikke dette kravet. 4

5 Datatilsynet har tatt med Securitas presiseringer av tilgangsstyringen, men finner ikke at det er grunnlag for å gjøre endringer i våre vurderinger og konklusjoner om kravet til segregering av data. 4 Kommentarer til varslede pålegg 4.1 Pålegg om å inngå databehandleravtaler Datatilsynet ser det som positivt at selskapet har endret sine standardavtaler, i tråd med tilsynets vurderinger og varsel om vedtak. Tilsynet har ikke vurdert om den nye avtalen er i tråd med personopplysningslovens bestemmelser og underliggende faktiske forhold, men har allikevel besluttet at det ikke lenger er grunnlag for å treffe det varslede vedtaket. At selskapet i dag forutsettes å ha oppfylt plikten til å inngå databehandleravtaler medfører ikke endringer i kontrollrapporten, og er uten betydning ved tilsynets vurderinger av om selskapet skal ilegges overtredelsesgebyr. Securitas har også dokumentert sletting av tilleggsdokumentasjon fra filområder. Datatilsynet vil derfor ikke fatte vedtak som tidligere varslet om sletting/ overføring av personopplysninger til behandlingsansvarlige. 4.2 Risikovurdering Securitas har i forbindelse med implementering av styringssystem etablert rutine for gjennomføring av risikovurdering av sine behandlinger av personopplysninger. Securitas har oversendt dokumentasjon på bestilte endringer i Kontrollsys og endret rutine for lagring av tilleggsdokumentasjon. Datatilsynet kan imidlertid ikke se at Securitas har sannsynliggjort at de har ivaretatt Datatilsynets pålegg om gjennomføring av risikovurdering. Datatilsynet opprettholder derfor det varslede vedtaket. 4.3 Krav ved tilgjengeliggjøring av personopplysninger Securitas har oversendt dokumentasjon på at de har etablert en løsning for reell tofaktorautentisering for tilgjengeliggjøring av personopplysninger i Kontrollsys. Datatilsynet tar dokumentasjonen til etterretning og vil ikke fatte vedtak som tidligere varslet. 4.4 Segmentering av personopplysninger Se dette brevets avsnitt 3.2. Datatilsynet vil opprettholde det varslede vedtaket. 4.5 Elektroniske filmapper Securitas har i etterkant av Datatilsynets kontroll endret rutine for lagring på filmapper. Denne rutineendringen er dokumentert i Securitas sikkerhetshåndbok og rutinen for sikkerhetssamtale. Disse dokumentene er oversendt. I tillegg har Securitas slettet eldre personopplysninger som var lagret på filområder. Securitas har oversendt kvittering på sletting for å dokumentere dette. Datatilsynet tar dokumentasjonen til etterretning og vil ikke fatte vedtak som tidligere varslet. 5

6 4.6 Sending over ukryptert e-post Securitas har i etterkant av Datatilsynets kontroll endret rutiner for sending av personopplysninger ved hjelp av usikret e-post. Slik sending er avviklet. Dette gjenspeiler seg i at sending av kontrollrapporter på PDF-format fra Kontrollsys ikke lenger er mulig. At personopplysninger ikke skal sendes på e-post er også omtalt i Securitas IT-reglement og i tjenestehåndboken. Datatilsynet tar dokumentasjonen til etterretning og vil ikke fatte vedtak som tidligere varslet. 5. Særlig om ileggelse av overtredelsesgebyr Datatilsynet har varslet et overtredelsesgebyr på kr , for brudd på personopplysningslovens 13 og 15. Selskapets hevder at overtredelsene ikke kvalifiserer for slikt gebyr. 5.1 Mangler ved databehandleravtalene Datatilsynet la til grunn for sitt varsel at det forelå mangler ved selskapets databehandleravtaler. Selskapet viser på sin side til at kundene også mottar brukerdokumentasjon vedrørende behandlingen, og at det gjennom kundenes egne tilganger til Kontrollsys er full åpenhet med hensyn til selskapets utførelse av oppdragene. Datatilsynet vil innledningsvis bemerke at det ikke bestrider at det foreligger et databehandlerforhold mellom Securitas og dennes oppdragsgivere. Det er heller ikke omstridt at det er inngått avtaler som har til hensikt å formalisere og regulere dette forholdet. Det sentrale spørsmålet for tilsynet er om fremlagte avtaler tilfredsstillende regulerer Securitas sin behandling og gir oppdragsgiverne nødvendig kontroll med behandlingen, jf vilkårene i personopplysningslovens 15 jf personopplysningsforskriftens 3-1 siste jf tredje ledd. Datatilsynet er enig i at andre dokumenter enn det som er benevnt som databehandleravtale kan være relevante ved vurderingen av om det foreligger en slik avtale og ved tolkningen av denne. At loven og forskriften forutsetter at databehandleravtalen skal reflektere den behandlingsansvarliges rutiner, er heller ikke til hinder for at det inngås standardavtaler som databehandleren har utarbeidet. Det forutsettes imidlertid at alle vilkår og forutsetninger i avtalen er godt kjent for den behandlingsansvarlige, og at denne klart aksepterer disse. I dette tilfellet må det etter vår vurdering anses som en mangel at det ikke foreligger noen knytning mellom det dokumentet som er benevnt som databehandleravtale og de øvrige dokumentene som selskapet viser til. Dette kunne ha vært løst gjennom en henvisning fra avtaledokumentet til blant annet gjeldende brukerveiledning på avtaletidspunktet, eller at disse var inntatt som et vedlegg til avtalen. Det vises i den forbindelse til at brukerveiledningen fremstår å være et selvstendig dokument, som selskapet fritt kan endre uten at det forankres hos den/de behandlingsansvarlige. Det er uforenlig med lovens forutsetning om at det er den behandlingsansvarlige som skal treffe beslutninger om behandlingen og instruere databehandleren vedrørende denne. Datatilsynet 6

7 fastholder etter dette at det forelå mangler ved databehandleravtalene på kontrolltidspunktet, jf personopplysningslovens 15. Selskapet mener at de «reelle avvikene» ikke er av så alvorlig karakter at det kvalifiserer til overtredelsesgebyr. Datatilsynet er enig i at det er uklart om mangler ved databehandleravtalene i dette tilfellet har medført brudd på andre bestemmelser i personopplysningsloven. Det er imidlertid ikke er et absolutt vilkår for å ilegge overtredelsesgebyr. Tilsynet legger til grunn at brudd på systempliktene alene (herunder mangler ved databehandleravtalene), kan gi grunnlag for å ilegge overtredelsesgebyr etter personopplysningslovens 46. Ved vurderingen av om det skal ilegges overtredelsesgebyr for mangler ved avtalene er det lagt vekt på at manglene er gjennomgående for de mange databehandleroppdragene som Securitas har. Det er også lagt vekt på at Securitas har et særlig ansvar, idet selskapet lett kan oppfattes å være den mer profesjonelle parten i det aktuelle avtaleforholdet. Både kunder og tilsyn må kunne forvente at selskapet har satt seg grundig inn i lovens vilkår til slike avtaler. Det må særlig gjelde når selskapet tilbyr standardiserte avtalevilkår. Ved vurderingen av hvor graverende denne overtredelsen er, har tilsynet lagt vekt på at behandlingen omfatter sensitive personopplysninger. Som det fremgår over, fastholder Datatilsynet at det inngår sensitive personopplysninger i behandlingen. Datatilsynet er enig med selskapet i at det ikke har hatt fordeler som følge av overtredelsene, eller at loven er brutt for å fremme selskapets interesser. Det er da heller ikke lagt til grunn i forbindelse med vårt varsel om vedtak. 5.2 Andre brudd på loven Datatilsynet understreker at overtredelsesgebyret også knyttes til brudd på personopplysningslovens 13 om informasjonssikkerhet, jf tilsynets vedtak nr 3 til Konklusjon Det er ikke fremkommet opplysninger eller merknader i tilsvaret som medfører endinger i tilsynets vurdering av om det skal ilegges overtredelsesgebyr, eller ved utmålingen av dette. Del II Vedtak Under henvisning til Datatilsynets varsel om vedtak av 29. august 2013 og ovenstående kommentarer, og med hjemmel i personopplysningslovens 46 treffer Datatilsynet følgende vedtak: 1. Securitas må jevnlig og rutinemessig gjennomføre risikovurderinger av den behandlingen av personopplysninger som skjer i virksomheten, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-4. Dette gjelder 7

8 både for personopplysninger Securitas behandler som databehandler og som behandlingsansvarlig. Det vises til kontrollrapportens punkt Securitas må etablere tilfredsstillende informasjonssikkerhet ved sin lagring av personopplysninger i Windows Azure ved at det etableres en løsning for segmentering av personopplysninger fra ulike behandlingsansvarlige, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-11 og Det vises til kontrollrapportens punkt Securitas pålegges å betale et overtredelsesgebyr til statskassen, pålydende kroner for å ha behandlet personopplysninger i strid med personopplysningslovens 15 og 13. Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er tvangsgrunnlag for utlegg. Inndrivelse av kravet vil bli gjennomført av Statens innkrevingssentral, jf. personopplysningslovens 47a. Del III Klageadgang Dette er et enkeltvedtak som kan påklages i henhold til forvaltningslovens bestemmelser om klage på enkeltvedtak. Eventuell klage må fremsettes for Datatilsynet innen tre uker etter mottak av dette brev. Med vennlig hilsen Bjørn Erik Thon direktør Cecilie Rønnevik fagdirektør 8

9 Saksnummer: 13/00329 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Securitas AS Sted: Oslo Utarbeidet av: Cecilie Rønnevik Marius Engh Pellerud 1 Innledning Datatilsynet gjennomførte kontroll hos Securitas AS den 22. mai Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med leveranse av tjenester med preg av etterforskningsvirksomhet ovenfor privatpersoner. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen Fra virksomheten: - Leif Magnus Holme, Risk manager - Tore Kjæserud, HR-direktør - Geir Lapstuen, IT-sjef - Pål Eirik Johansen, fagsjef for kontrolltjenester - Roy Christiansen, driftssjef Fra Datatilsynet: - Cecilie L. B. Rønnevik, fagdirektør - Ylva Marrable, rådgiver - Marius Engh Pellerud, rådgiver 3 Generelt Securitas er et internasjonalt selskap som hovedsakelig leverer sikkerhetsrelaterte tjenester. Securitas i Norge er organisert slik at staben ved hovedkontoret i Oslo utvikler og styrer tjenester, mens tjenesteproduksjonen skjer av Securitas region- og lokalkontor. Datatilsynets kontroll var rettet mot de tjenestene Securitas leverer som kan sies å falle innenfor kategorien etterforskning ovenfor privatpersoner. I Securitas kalles dette kontrolltjenester. 1 av 12

10 4 Kort om bruk av personopplysninger samt formålet med behandlingene 4.1 Behandlinger som omfattes av denne kontrollen Under kontrollen ble Securitas ulike kontrolltjenester diskutert. Kontrollen ble avgrenset til tjenestene kassekontroll, utpasseringskontroll og salgs- og skjenkekontroll. Alle lokale enheter i Securitas tilbyr kontrolltjenester. Nærmere beskrivelse av innholdet i disse tjenestene følger. Kassekontroll Kassekontroll innebærer at Securitas sender ut to sivilkledde kontrollører til en butikk (oppdragsgiveren). En av kontrollørene gjør et kjøp mens den andre kontrolløren observerer om pengene behandles etter rutinen. Slike kjøp er alltid med kontanter. I enkelte tilfeller gjør kontrollørene et kjøp av en vare med en tilnærmet rundt sum (f.eks. 99 kroner) og utgir seg for å ha hastverk. Dette for å provosere fram et underslag. En slik kontroll er gjerne rettet mot konkrete butikkansatte som ofte beskrives av oppdragsgiver med utseende. Utpasseringskontroll Utpasseringskontroller gjennomfører for å avdekke svinn av varer i butikk fra butikkens egne ansatte. Vektere plasseres ved butikkens utgang(er) og gjennomgår varer de ansatte bringer med seg ut fra butikken. Dersom den ansatte ikke kan framvise kvittering i tråd med butikkens rutine rapporterer vekteren dette til oppdragsgiver. Når kvittering kan framvises tar vekteren bilde av disse. Salgs- og skjenkekontroll Securitas gjennomfører kontroll av om butikker og utsteder oppfyller regelverket for salg og skjenking av alkohol. Oppdragsgiver ved slike tjenester er kommuner. Oppdragsbeskrivelse og rapportering Hvordan kontrollen skal gjennomføres og hvilken ansatt som skal kontrolleres beskrives inn en oppdragsinstruks. Disse gjøres tilgjengelig for kontrollørene før kontrollen via elektroniske hjelpemidler. Umiddelbart etter kontrollen skriver kontrollørene en kontrollrapport som gjøres tilgjengelig for oppdragsgiver. Kontrollen kan gjentas om ønskelig. Securitas gjør ingen selvstendig oppfølging av slike kontroller, men kan bistå oppdragsgiver ved samtaler med de ansatte i ettertid. 4.2 Informasjonssystemer som benyttes Kontrollsys Alle Securitas kontrolltjenester benytter systemet Kontrollsys til rapportering. Kontrollsys består av en rapporteringsmodul som benyttes av kontrollørene og av en webløsning som benyttes av oppdragsgivere og administrativt personale i Securitas. Under en kontroll vil kontrolløren fra Securitas bringe med seg en ipad eller iphone. På dette utstyret har kontrolløren tilgang til en innrapporteringsløsning. Denne løsningen er en nettside, ikke en app. Kontrollørene registrerer sine funn ved hjelp av valg i nedtrekksmenyer, 2 av 12

11 fritekst eller bilder. Når kontrolløren har fylt ut rapporten sender vedkommende dette inn til lagring i en skytjeneste. Rapportene blir umiddelbart etter at de er sendt gjort tilgjengelige gjennom webløsningen. Her er de tilgjengelige for oppdragsgiver på det aktuelle oppdraget og administrativt personale i Securitas Filområder I enkelte tilfeller har kontrolløren behov for å komme med ytterligere informasjon til oppdragsgiver eller til administrativt personale i Securitas i etterkant av kontrollen. I slike tilfeller skrives en tilleggsrapport. Slike tilleggsrapporter skrives i tekstbehandler og lagres på filområder. På slike filområder ligger også skannede versjoner av erklæringsskjema som butikkansatte fyller ut når det foreligger avvik ved utpasseringskontroll. 5 Ansvarsforhold etter personopplysningsloven 5.1 Securitas som databehandler En databehandler er den som behandler personopplysninger på vegne av en behandlingsansvarlig, jf. personopplysningsloven 2 nummer 5. Under den stedlige kontrollen framkom det at Securitas ser på seg selv som en databehandler mens oppdragsgiver er behandlingsansvarlig. Datatilsynet slutter seg til at Securitas primært vil ha rollen som databehandler for personopplysninger som er relevante for denne kontrollen. En databehandler skal normalt ikke forholde seg direkte til personopplysningslovens krav, men til de behandlingsregler som oppstilles i databehandleravtalen. Bestemmelsene i personopplysningsloven 13 om informasjonssikkerhet og 15 om databehandleravtaler får allikevel direkte anvendelse for databehandlere. 5.2 Securitas som behandlingsansvarlig Dersom Securitas behandler personopplysninger utover det som er avtalt med oppdragsgiver, må virksomheten allikevel svare utad som behandlingsansvarlig for denne delen av behandlingen. Herunder må den kunne vise til et behandlingsgrunnlag, jf personopplysningslovens 11 jf 8 og 9. Under kontrollen ble det klart at Securitas selv ikke oppfatter at de behandler opplysninger på egne vegne, eller at de har rettslig adgang til det. Tilsynet legger derfor til grunn at virksomheten utelukkende innehar rollen som databehandler, i forbindelse med slik behandling som denne kontrollen omfatter. 3 av 12

12 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Databehandleravtaler med oppdragsgivere Personopplysningslovens krav En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige, jf. personopplysningsloven 15. En behandlingsansvarlig kan heller ikke, uten slik avtale, overlate personopplysninger til en databehandler. En databehandleravtale skal etablere instruksjonsmyndighet mellom to rettssubjekter som i utgangspunktet er innbyrdes uavhengige. Formålet er å gjøre den behandlingsansvarliges rutiner gjeldende i databehandlerens virksomhet, for å sikre at personopplysningslovens bestemmelser etterleves ved behandlingen. Databehandleravtalen er å anse som en nødvendig del av den behandlingsansvarliges internkontrollsystem, jf personopplysningsforskriftens 3-1 siste ledd. For databehandleren representerer avtalen det rettslige grunnlaget for behandlingen; den skal angi rammene for behandlingen og oppstille nærmere behandlingsregler. Manglende databehandleravtale medfører en uakseptabel risiko for at personopplysningslovens øvrige bestemmelser ikke blir etterlevd ved behandlingen. Hvilke konkrete krav som stilles til databehandleravtalens form og nærmere innhold, avhenger av den aktuelle behandlingens formål og omfang, og av opplysningenes art. I dette tilfellet omfatter behandlingen sensitive personopplysninger. Behandlingen er knyttet til kontrolltiltak hvor formålet er å avdekke avvik fra oppdragsgivers interne rutiner og retningslinjer. Slike avvik vil imidlertid kunne innebære straffbare handlinger. Dette medfører et betydelig inngrep i den enkelte registrertes personvern. Det stilles derfor strenge krav til de tiltak den behandlingsansvarliges iverksetter for å sikre at behandlingen skjer i henhold til personopplysningslovens bestemmelser - herunder de instrukser som skal gis i en databehandleravtale Funn Det framkom under kontrollen at Securitas kun det siste året har begynt å etablere databehandleravtaler med sine kunder. Etter kontrollen oversendte virksomheten en signert databehandleravtale, inngått med virksomheten Glasmagasinet ANS. Datatilsynet legger til grunn at denne representerer gjeldende praksis for Securitas ivaretagelse av plikten til å inngå databehandleravtaler Datatilsynets vurdering og konklusjon Datatilsynet har vurdert den fremlagte avtalen, og kommet til at den etter sin form og innhold avviker betydelig fra personopplysningslovens krav. 1 Securitas databehandleravtaler med sine underleverandører er for øvrig behandlet i avsnitt av 12

13 Virksomheten har åpenbart tatt utgangspunkt i en skisse som Datatilsynet har utarbeidet som en del av veilederen «Databehandleravtaler etter personopplysningsloven og helseregisterloven» (av 26. mai 2009), uten at dens enkelte punkter er fylt ut og tilpasset den konkrete behandlingen. For eksempel heter det i den signerte versjonens punkt 2 Formål at «Her skal det redegjøres for formålt med databehandleravtalen. Herunder hvilke personopplysninger som skal behandles». Selve redegjørelsen mangler. Tilsynet vil også bemerke at avtalen ikke er datert. Manglende databehandleravtaler medfører et brudd på personopplysningslovens 15, som både Securitas og dennes oppdragsgivere må svare for. Dette gjelder både de oppdragsgivere som helt mangler en avtale, og de oppdragsgivere som i løpet av det siste året har inngått ovennevnte avtale. 6.2 Andre krav etter personopplysningsloven - konsekvenser av manglende databehandleravtale Det er den behandlingsansvarlige som er personopplysningslovens primære rettssubjekt, og som plikter å sørge for at lovens bestemmelser etterleves også hos eventuelle databehandlere. Det er den behandlingsansvarlige som først og fremst skal vurdere hvorvidt lovens bestemmelser gjelder, og hvilke konsekvenser dette får for den aktuelle behandlingen (for eksempel hvilket behandlingsgrunnlag som ligger til grunn for behandlingen, hvilke opplysninger som kan inngå, når opplysningene skal slettes og hvilke rettigheter de registrerte har). Disse vurderingene skal reflekteres i de behandlingsreglene som nedfelles i databehandleravtalen. Når det foreligger så store mangler i databehandleravtalen som i dette tilfellet er det umulig for Datatilsynet å føre kontroll med om de fleste personopplysningslovens øvrige bestemmelser etterleves ved den aktuelle behandlingen. Tilsynet nøyer seg derfor med å vise til at manglende databehandleravtaler medfører en uakseptabel risiko for at personopplysningene behandles av Securitas i strid med de øvrige bestemmelsene loven. Personopplysningslovens 13 og personopplysningsforskriftens kapittel 2 retter seg imidlertid både mot behandlingsansvarlig og databehandler. Securitas er derfor kontrollert fullt ut etter disse bestemmelsene. Datatilsynet vil allikevel knytte noen kommentarer til enkelte av lovens øvrige krav Krav om behandlingsgrunnlag ( 11 jf 8 og 9) I henhold til personopplysningslovens 11 er det forbudt å behandle personopplysninger uten et det foreligger et behandlingsgrunnlag etter 8. Dersom behandlingen omfatter sensitive personopplysninger kommer også de skjerpede vilkårene i 9 til anvendelse. En databehandler har i utgangspunktet ikke et selvstendig behandlingsgrunnlag, men utleder adgangen til å behandle opplysninger fra den behandlingsansvarlige. Det betyr at databehandleren ikke kan gjøre noe mer enn det den behandlingsansvarlige selv har kompetanse til. 5 av 12

14 Datatilsynet legger til grunn at personopplysningslovens 8 f og 9 f, jf arbeidsmiljølovens bestemmelser om kontroll i arbeidslivet, er et aktuelt behandlingsgrunnlag for behandling av personopplysninger om butikkansatte i forbindelse med personalkontroll. Datatilsynet legger til grunn at behandling av personopplysninger i forbindelse med annen kontroll, etter sin art kan hjemles i personopplysningslovens 8 litra f jf 9 litra e. Nevnte bestemmelse gir kun behandlingsgrunnlag for «nødvendig» behandling av personopplysninger. Det må derfor foretas en konkret forholdsmessighetsvurdering, blant annet sett hen til tiltakets art, omfang og formål. For kontroll av ansatte er det også en forutsetning at arbeidsmiljølovens bestemmelser etterleves ved kontrolltiltaket. Det er den behandlingsansvarlige (her arbeidsgiver) som er nærmest til å vurdere hvor langt dette behandlingsgrunnlaget rekker, både i omfang og tid. Disse vurderingene skal reflekteres i den databehandleravtalen som pliktes etablert i medhold av personopplysningslovens 15. Manglende databehandleravtaler vanskeliggjør Datatilsynet kontroll av om det foreligger et tilfredsstillende behandlingsgrunnlag for all behandling av personopplysninger i alle oppdrag som Securitas gjennomfører, og tilsynet kan derfor ikke konkludere vedrørende dette. Tilsynet nøyer seg her med å vise til at manglende databehandleravtaler medfører en uakseptabel risiko for at Securitas behandler personopplysninger uten at det foreligger et behandlingsgrunnlag etter personopplysningslovens 11 jf 8 og Sletting ( 11 jf 28) I henhold til personopplysningslovens 11 litra e er det forbudt å lagre personopplysninger lenger enn det som er nødvendig ut fra formålet med behandlingen, jf lovens 27 og 28. Det er først og fremst den behandlingsansvarlige som skal vurdere når personopplysninger eventuelt skal slettes. Disse vurderingene skal reflekteres i den databehandleravtalen som pliktes etablert i medhold av personopplysningslovens 14. Manglende databehandleravtaler vanskeliggjør Datatilsynet kontroll av om sletteplikten er oppfylt i alle enkeltsaker som har vært og er under utredning, og tilsynet kan derfor vanskelig konkludere vedrørende dette. Datatilsynet vil allikevel peke på følgende: Under kontrollen framkom det at rapporter inneholdende personopplysninger i Kontrollsys aldri blir slettet. Kontrollsys ble tatt i bruk i 2011 og alle rapporter som er produsert i hele Securitas-apparatet etter dette er fremdeles lagret. Før Kontrollsys ble tatt i bruk ble alle rapporter produsert på papir. Alle papirrapporter ble makulert i 2010 og 2011 av Securitas. Under den stedlige kontrollen ble Datatilsynet vist innholdet i filmappene som benyttes til oppbevaring av tilleggsrapporter og egenerklæringsskjema. Her fant vi utpasseringsrapporter fra så langt tilbake som Enkelte av rapportene var gjennomført for oppdragsgivere som 6 av 12

15 i dag ikke eksisterer. Slike rapporter kan inneholde navn, hvor de jobber, beskrivelse av hva de har tatt med seg ut av butikken og om rapporten innebærer et avvik fra butikkens rutiner. Datatilsynet kan ikke se at Securitas kan påberope seg oppdragsgivers behandlingsgrunnlag når oppdraget er avsluttet, for oppdragsgivere som ikke lenger har et kundeforhold til Securitas eller som i flere tilfeller har opphørt å eksistere. Det må anses åpenbart at disse opplysningene senest skulle ha vært slettet (eventuelt tilbakeført til oppdragsgiver) senest i forbindelse med at databehandleroppdraget ble avsluttet. 6.3 Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 har databehandlere en selvstendig plikt til, gjennom planlagte og systematiske tiltak, å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Den behandlingsansvarlige vil i alle tilfeller ha et ansvar for å være innforstått med hvordan lovens krav oppfylles av databehandler, jf. personopplysningsforskriften 2-15, 5. ledd. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Funn Det kom fram under den stedlige kontrollen at Securitas ikke har gjennomført risikovurderinger av informasjonssikkerhet ved sin behandling av personopplysninger i kontrollvirksomheten. Konklusjon Manglende risikovurderinger er et avvik, jf. personopplysningsloven 13, ref. personopplysningsforskriften Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. personopplysningsforskriften av 12

16 Funn Securitas som databehandler er hyppig gjenstand for revisjon fra sine oppdragsgivere. Slike revisjoner omfatter mange forhold. IT-avdelingen til Securitas Norge skal gjennomføre en årlig revisjon av IT-sikkerhet. Datatilsynet er oversendt to eksempler på slike revisjoner; en for generell IT-risiko og en for tilgangskontroll. Revisjonene er ikke datert. Datatilsynet har ikke hatt anledning til å vurdere om det faktisk gjennomføres årlige revisjoner. Vi har imidlertid ikke gått dypere inn i problemstillingen, og konstaterer ikke avvik. Konklusjon Ingen avvik konstatert Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriften 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter personopplysningsloven 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. Funn Avvik meldes, saksbehandles og avsluttes i Securitas kvalitetssystem. I tilfelle avvik i kontrollvirksomheten bringes den relevante områdesjefen inn i saksbehandlingen av avviket. Konklusjon Ingen avvik konstatert Sikkerhetstiltak Personopplysningsloven 13 jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Forskriftens 2-7 stiller krav om at informasjonssystemet konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås (konfigurasjonskontroll). Forskriftens 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriftens 2-8, 3. ledd og 2-14, 2. ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres Kontrollsys Rapporter i Kontrollsys skrives på ipad eller iphone. Kanalen for forsendelse av rapporter til Kontrollsys sentralt er kryptert med SSL og HTTPS. Rapporter sendes til Microsofts skytjeneste Windows Azure. Revio er leverandør av Kontrollsys og er Securitas 8 av 12

17 databehandler. Bruken av Azure til lagring av opplysninger er nærmere behandlet i denne rapportens avsnitt Det bærbare utstyret eies av Securitas. Securitas benytter Apples Mobile Device Management til håndtering av sikkerhet for utstyret, blant annet fjernsletting av tapte enheter. Pålogging til Kontrollsys på bærbare enheter og på Web gjøres ved hjelp av individuelt brukernavn og passord. I tillegg benyttes et ukespassord. Dette ukespassordet er ikke individuelt, men felles for alle ansatte og kunder. Dette passordet distribueres ukentlig på ukryptert e-post. Dette kan betraktes som en kvasi-tofaktorautentisering. Securitas har ingen skriftlige vurderinger av nødvendig sikkerhetsnivå for Kontrollsys. Autentiseringsløsningen til Kontrollsys må risikovurderes og tilstrekkelige sikkerhetstiltak må dokumenteres, jf. denne rapportens avsnitt Kontrollsys inneholder opplysninger som kan være et ledd i en vurdering av straffbare forhold. Dette kan være sensitive personopplysninger, og må vurderes til å ha et høyt behov for konfidensialitetsbeskyttelse. Det skal treffes tiltak for å hindre uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig, jf. personopplysningsforskriften 2-11, 1. og 2. ledd. Aktuelle tekniske tiltak i tilfeller der behovet for konfidensialitetsbeskyttelse er høyt er sterk autentisering, f.eks. to-faktorautentisering eller elektronisk ID. Konfigurasjonskontroll oppnås normalt ved at det etableres tiltak som sikrer at utstyret som benyttes er under Securitas eller samarbeidende virksomheters kontroll. Tilgang til å registrere rapporter via Kontrollsys gis av avdelingessjefene. En kontrollør gis kun tilgang til å rapportere på det oppdraget vedkommende er satt på. Opprettelse, endring og avslutning av rettigheter i Kontrollsys er helt manuelt. Andre systemer i Securitas benytter AD. Datatilsynet anbefaler å etablere automatiske rutiner for å kontrollere at endring og avslutning av arbeidsforhold styrer tilgangene til Kontrollsys. Datatilsynet vil imidlertid ikke påpeke avvik her, ettersom en manuell rutine kan være tilstrekkelig ut fra regelverkets krav. Konklusjon Tilgjengeliggjøring av personopplysninger med høyt behov for konfidensialitetsbeskyttelse over dagens løsning med svak autentisering og manglende konfigurasjonskontroll er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-7, 2-11, 2-14 og Windows Azure Revio benytter Microsofts skytjeneste Windows Azure til lagring av opplysninger fra Kontrollsys. Dette gjør at Microsoft er en databehandler for Securitas. Datatilsynet har tidligere hatt kontrollsaker som har behandlet bruk av skytjenester, jf. Datatilsynets sak 11/01198 (Microsoft Office 365) og 11/00593 (Google Apps). Datatilsynet har ikke gjort en full gjennomgang av alle forhold ved bruk av skytjenester i kontrollsaken mot Securitas. I denne saken har vi valgt å kun forholde oss til segregering av data fra ulike behandlingsansvarlige. 9 av 12

18 En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige, jf. personopplysningsloven 15. En databehandler skal sikre personopplysningene mot uautorisert innsyn der hvor konfidensialitet er nødvendig, jf. personopplysningsforskriften For å forhindre brudd på konfidensialiteten ved uautorisert bruk skal det etableres tekniske sikkerhetstiltak, jf. personopplysningsforskriften Dette innebærer at det skal etableres tekniske tiltak for å forhindre at opplysninger fra en behandlingsansvarlig samlet inn til ett formål, ikke skal kunne blandes sammen med opplysninger fra en annen behandlingsansvarlig med et annet formål. Tiltak for å segmentere opplysninger fra flere behandlingsansvarlige skal stå i forhold til opplysningens art, antallet behandlingsansvarlige den databehandleren har som kunder, risikoen ved sammenblanding av opplysninger med mer. I Kontrollsys/ Azure lagres personopplysninger fra flere behandlingsansvarlige. Under demonstrasjonen som ble gitt under Datatilsynets stedlige kontroll ble det gjort søk i basen. Disse søkene ble gjort innlogget som «Superbruker»/ «administrator». Resultatene som kom fram var fra ulike behandlingsansvarlige. Ut fra denne demonstrasjonen framstår det som det ikke er noen logiske eller fysiske skiller mellom de ulike behandlingsansvarliges data, men kun skille ved hjelp av tilgangsstyring. Databehandleravtalen Securitas har med Revio om Kontrollsys og Azure behandler heller ikke segmentering ved lagring av data fra ulike behandlingsansvarlige (se denne rapportens avsnitt 6.3.6). Det framstår derfor for Datatilsynet som overveiende sannsynlig at det ikke er gjort tiltak for å segmentere personopplysninger som Securitas er databehandler for i Azure. Konklusjon Manglende segmentering ved behandling av personopplysninger fra ulike behandlingsansvarlige er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-11 og Filmapper Det oppbevares rapporter og skannede egenerklæringsskjema på fellesområder. Det opprettes en kundemappe per kunde. Når tilleggsrapporter skrives skjer dette på områdeleders PC. Områdeleder logger da inn på PCen slik at kontrolløren kan skrive rapport. Mappene er tilgjengelig for avdelingsleder for Kontroll i Oslo. Det er ingen egen pålogging for tilgang til mappene. Det er ingen sperrer i systemet som forhindrer at filer med sensitiv informasjon kan distribueres ut av bedriften ved bruk av for eksempel e-post eller lagringsmedier over USB (minnepinne eller ekstern harddisk) for ansatte med nødvendige rettigheter. Personopplysningene som lagres på filområdet er personopplysninger, og ettersom de i enkelte tilfeller knytter seg til mistanke om straffbare forhold er de også å regne som sensitive, jf. personopplysningsloven 2 nr. 8 bokstav b. Dette peker i retning av at dette er opplysninger som har behov for konfidensialitetsbeskyttelse. Konsekvensene ved sikkerhetsbrudd vil kunne sies å være middels til alvorlig. Sikkerhetsnivået for beskyttelse av slike data må kunne kreves å være tilsvarende, jf. personopplysningsforskriften 2-1, 2. ledd. 10 av 12

19 Den behandlingsansvarlige har plikt til å sikre personopplysninger på en måte som står i forhold til sannsynligheter og konsekvenser av sikkerhetsbrudd, jf. personopplysningsforskriften 2-1, 2. ledd. Når konfidensialitet er påkrevd skal det treffes tiltak for å forhindre innsyn i personopplysninger, jf. personopplysningsforskriften 2-11, 1. ledd. Datatilsynet vurderer dagens løsning til at konfidensialiteten til registrerte personopplysninger ikke i tilstrekkelig grad er ivaretatt. Securitas tilfredsstiller heller ikke regelverkets krav om sikkerhetstiltak som hindrer eller sikrer oppdagelse av forsøk på uautorisert utlevering, jf personopplysningsforskriften 2-14, 1. og 2. ledd. Det er påkrevd å treffe tiltak mot uautorisert endring av personopplysninger der integritet er nødvendig, jf. personopplysningsforskriften 2-13, 1. ledd. Datatilsynet anser det som Securitas mangler tiltak for å beskytte integriteten til registrerte personopplysninger. Datatilsynet vurderer det slik at det må etableres tiltak som hindrer uautorisert uthenting av eller endring av personopplysninger. For eksempel kontroll over nettverksdeling eller annen særskilt kontroll med beskyttelsesverdigeopplysninger. Konklusjon Bruk av elektroniske mapper til behandling av personopplysning med behov for beskyttelse av konfidensialitet og integritet er et avvik, jf. personopplysningsloven 13, ref. personopplysningsforskriften 2-11 og E-post Når kontrollørene produserer tilleggsrapporter som er relevante for oppdragsgiver sendes disse til oppdragsgiver på ukryptert e-post. Slike tilleggsrapporter har varierende innhold, men kan inneholde personopplysninger. Securitas har ingen rutine for å vurdere om slike dokumenter har et beskyttelsesverdig innhold. Konklusjon Bruk av ukryptert e-post til forsendelse av personopplysninger med behov for konfidensialitetsbeskyttelse er et avvik, jf. personopplysningsloven 13, ref. personopplysningsforskriften Opplæring Rettslig grunnlag I henhold til personopplysningsforskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Faktiske forhold Krav til opplæring av vektere fins i lov om vaktvirksomhet. At opplæring skjer i tråd med nevnte lov kontrolleres av politiet. Jobbspesifikk opplæring skjer i relevant avdeling. Alle kontrollører som gjør kontrolltjenester i Securitas har generell vekterkompetanse i grunn. 11 av 12

20 Opplæring i kontrolltjenester skjer gjennom deltakelse i kontroller som ledes av erfarne kontrollører. Kontrollører innen salg- og skjenkekontroll gjennomfører opplæring som er definert av Helsedirektoratet. Konklusjon Ingen avvik konstatert Databehandlere underleverandører til Securitas En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. En underleverandør til en databehandler har også rollen som en databehandler. Dersom andre virksomheter behandler personopplysninger på vegne av Securitas må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Funn Securitas benytter Revio som databehandler. Revio leverer utviklings- og driftstjenester for Kontrollsys. Revios behandling av personopplysninger på vegne av Securitas er regulert av databehandleravtale. Det framgår av bilag til databehandleravtalen at Revio benytter Microsoft som underleverandør av lagringstjenester. Dette skjer i Microsofts Azureskytjeneste. Securitas har oversendt et dokument som konkluderer med at Azure er sikkert nok for Securitas. Datatilsynet har imidlertid ikke sett dokumentasjon av sikkerhet i lagringsløsningen annet enn en setning om at det benyttes 128 bits krypteringssertifikat. Securitas databehandleravtale med Revio framstår som noe tynn. En databehandler skal implementere den behandlingsansvarliges internkontrollsystem. Dette innebærer at forhold som sletting, segmentering, tilgangsstyring og risikovurderinger skal reguleres av en databehandleravtale. Dette er ikke regulert i Securitas og Revios avtale. At dette mangler kan imidlertid ses som en konsekvens av manglene ved Securitas avtale med de behandlingsansvarlige, se denne rapportens avsnitt 6.1. Datatilsynet konstaterer ikke avvik på dette punktet, men nøyer seg med å påpeke at dagens databehandleravtale med fordel kan detaljeres. Konklusjon Ingen avvik konstatert. 12 av 12

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013. Retura Sør-Trøndelag Postboks 94 7301 ORKANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato TEV/450/99/2013 12/00571-8/HTE 3. juli 2013 Retura Sør-Trøndelag - bruk av GPS - vedtak og overtredelsesgebyr

Detaljer

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet Flekkefjord kommune Kirkegaten 50 4400 FLEKKEFJORD Deres referanse Vår referanse Dato 15/3356 14/00404-9/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014. Lier kommune Postboks 205 3401 LIER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00141-9/MEI 22. oktober 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Vår referanse (bes oppgitt ved svar) 12/ /CBR Arbeids- og velferdsdirektoratet - Styringsenheten IKT Postboks 5200 Nydalen 0426 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00116-8/CBR Dato 24. september 2012 Vedtak om pålegg - endelig

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse Dato 14/7350-AHA 14/00130-7/HHU 30.04.2015 Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset St Croix AS Østre vei 76 1397 NESØYA Deres referanse Vår referanse Dato 14/01190-8/MLS 22.06.2015 Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset Den 16. oktober 2014 gjennomførte

Detaljer

Kontroll av reseptformidleren 11122013 endelig kontrollrapport

Kontroll av reseptformidleren 11122013 endelig kontrollrapport Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00030 Dato for kontroll: 31.01.2014 Rapportdato: 13.05.2014 Endelig kontrollrapport Kontrollobjekt: Pixima AS Sted: Drammen Utarbeidet av: Andreas Jensen Hofstad Marius Engh Pellerud 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00754 Dato for kontroll: 08.10.2012 Rapportdato: 08.04.2013 Endelig kontrollrapport Kontrollobjekt: Toll- og avgiftsdirektoratet Sted: Oslo Utarbeidet av: Atle Årnes Cecilie Rønnevik 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00320 Dato for kontroll: 05.06.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Høyre Utarbeidet av: Knut-Bredee Kaspersen Sted: Oslo 1 Innledning Datatilsynet gjennomførte

Detaljer

Vedtak om pålegg - endelig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 07/01455-9 /CBR 25. januar 2008 Vedtak om pålegg - endelig kontrollrapport Det vises

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00707 Dato for kontroll: 11.07.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: BIT Oslo City Utarbeidet av: Stian D Kringlebotn Sted: Oslo City Mari Hersoug Nedberg

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00057 Dato for kontroll: 18.01.2012 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Paulsens Hotell AS Sted: Lyngdal Utarbeidet av: Stein Erik Vetland 1 Innledning Datatilsynet

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat etterforskningsvirksomhet

Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat etterforskningsvirksomhet AS Scan Detect Postboks 54 1330 FORNEBU Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00327-14/MEP 12. november 2013 Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat

Detaljer

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN) PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN) Behandling av personopplysninger i Newsec Basale AS Når du bruker nettsiden vår og/eller er i kontakt med oss vil Newsec Basale AS behandle personopplysninger

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00319 Dato for kontroll: 02.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Sosialistisk Venstreparti Sted: Akersgata 35, Oslo Utarbeidet av: Knut-Bredee Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og

Detaljer

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som Fornyings- administrasjons- og kirkedepartementet Postboks 8004 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/1249 13/00654-2/HHU 20. september 2013 Dato Høring - Endringer i eforvaltningsforskriften

Detaljer

Personvern - sjekkliste for databehandleravtale

Personvern - sjekkliste for databehandleravtale ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre. Treningssenter AS Postboks OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00001-34/KBK 10. september 2013 Konsesjon til å behandle personopplysninger - Treningssenter - Dopingkontroll

Detaljer

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012 Norsk karkirurgisk register - NORKAR St Olavs Hospital HF Postboks 3250 Sluppen 7006 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 07/00382-12/CBR 26. april 2012 NORKAR - varsel om

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Kontrollrapport. Kontrollobjekt: Telenor Objects AS Sted: Fornebu

Kontrollrapport. Kontrollobjekt: Telenor Objects AS Sted: Fornebu Saksnummer: 14/01291 Dato for kontroll: 02.12.2014 Rapportdato: 30.03.2015 Kontrollrapport Kontrollobjekt: Telenor Objects AS Sted: Fornebu Utarbeidet av: Camilla Nervik 1 Innledning og bakgrunn for kontrollen

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1 Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1. Innledning og bakgrunn Mange land i Europa har de senere årene forenklet sine

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh

Detaljer

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/30431 12/01044-8/MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport

Detaljer

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale mellom. (Oppdragsgiver) Behandlingsansvarlig Kommunesektorens organisasjon (KS) som Databehandler Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes

Detaljer

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport Oppegård Kommune Postboks 510 1411 KOLBOTN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/137-11 13/01092-10/MEP 21. mai 2014 Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert

Detaljer

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Standard tekster i Det lokale Eltilsyns dokumentmaler

Standard tekster i Det lokale Eltilsyns dokumentmaler Dokument dato 2010-04-09 Vår referanse Utarbeidet av Deres dato Deres referanse Ole Edvard Backe Til Arkivkode Standard tekster i Det lokale Eltilsyns dokumentmaler Bakgrunn / Innledning. Dette dokumentet

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom..kommune Behandlingsansvarlig og

Detaljer

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. Kommunenes Sentralforbund - Databehandler U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet Vardø kommune Postboks 292 9951 VARDØ Deres referanse Vår referanse Dato 08/11 14/00490-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet Den 27.

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i

Detaljer

Policy for personvern

Policy for personvern 2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,

Detaljer

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering

Detaljer