Tilbakemelding - Bruk av nettskyen Microsoft Office Moss kommune

Størrelse: px
Begynne med side:

Download "Tilbakemelding - Bruk av nettskyen Microsoft Office 365 - Moss kommune"

Transkript

1 Moss kommune - Rådmannen Postboks MOSS Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/ /LON 21. september 2012 Tilbakemelding - Bruk av nettskyen Microsoft Office Moss kommune Det vises til e-post fra Moss kommune av 9. november 2011 og påfølgende dialog, hvor Datatilsynet blir forespurt om å vurdere databehandleravtalen mellom kommunen og Microsoft for bruk av skytjenesten Office 365. Bakgrunn Moss kommune ønsker å flytte deler av sin e-postløsning over i nettskytjenesten Office 365 fra Microsoft. Kommunen har i den forbindelse engasjert SIMONSEN advokatfirma (SIMONSEN) til å foreta en juridisk vurdering av databehandleravtalen med Microsoft, og kommunen har i samråd med Det Norske Veritas (DNV) gjennomført en kvalitativ risikovurdering med utgangspunkt i kommunens planlagte bruksmønster. For øvrig har Datatilsynet, Moss kommune og Microsoft avholdt dialogmøter for å belyse aktuelle problemstillinger ytterligere. I det følgende vil Datatilsynet kommentere de vurderinger som er gjort av SIMONSEN om databehandleravtalen. Tilsynet vil tilslutt også adressere andre problemstillinger knyttet til bruk av Office 365. Kommentarer til SIMONSENs gjennomgang av databehandleravtalen 1) Formålet med avtalen og typer av behandling Dersom et foretak behandler personopplysninger på vegne av et annet, slik at det førstnevnte blir å regne som det andre foretakets databehandler, jf. lovens 2 nr. 5, følger det av lovens 15 at selskapene må inngå en databehandleravtale. Det fremgår av denne bestemmelsen at avtalen må oppfylle nærmere bestemte kriterier: En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av 13. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt OSLO

2 Kommunen opplyser at databehandleravtale er inngått, og viser til Microsofts Enterprise Enrollment Addendum Office 365 Data Processing Agreement (heretter: Avtalen ). Nedenfor går vi gjennom de ulike kravene som stilles i 15, i lys av kommunens redegjørelse for Avtalens innhold. 1 Skriftlighetskravet Den behandlingsansvarlige og databehandleren er for det første forpliktet til å inngå skriftlig avtale om den aktuelle behandlingen av personopplysninger. Det fremgår av sakens dokumenter at skriftlighetskravet er oppfylt. Avtalens formålsavgrensning For det andre følger det av bestemmelsen at databehandleren ikke kan behandle personopplysningene på annen måte, eller til andre formål, enn det som er avtalt med den behandlingsansvarlige. Dette forutsetter at avtalen definerer de aktuelle behandlingsmåtene og behandlingsformålene. I dette ligger det også at databehandleren ikke kan gå utover de instruksjoner som den behandlingsansvarlige gir om den aktuelle databehandlingen databehandleren er bundet av de behandlingsformål og de behandlingsmåter som den behandlingsansvarlige kan gjøre gjeldende i medhold av personopplysningsloven. Dersom leverandøren behandler personopplysningene på andre måter, eller til andre formål, enn det som er avtalt, vil det medføre brudd på databehandleravtalen. Leverandøren vil i tillegg bli å regne som behandlingsansvarlig for de databehandlinger som ikke er omfattet av avtalen. I så fall må leverandøren svare for oppfyllelsen av samtlige rettslige krav som stilles til behandlingen. 2 Kommunen har under henvisning til Avtalens punkt 1 titulert Privacy redegjort for Microsofts rådighet over de personopplysningene som behandles ved hjelp av tjenesten. 3 Det er oppgitt at opplysningene utelukkende behandles til formål som er knyttet til levering av tjenesten Office 365. Avtalen viser dessuten til de underliggende tjenestene som er omfattet av Office 365. Samlet sett har vi vurdert at disse delene av Avtalen gir et akseptabelt bilde av hvilke personopplysninger som skal behandles, på hvilke måter de skal behandles og til hvilke formål. Kravet om formålsavgrensning i lovens 15 er etter dette å anse som oppfylt. Forbudet mot å overlate opplysningene til andre Det fremgår av Avtalens punkt 1 litra d at Microsoft ikke kan utlevere data til andre uten etter godkjennelse fra kommunen. Dette punktet er således i overensstemmelse med lovens Simonsens notat datert 29. september Hvorvidt disse rettslige kravene springer ut av den norske personopplysningsloven, avhenger av om vilkårene i personopplysningsloven 4 er oppfylt. 3 Personopplysningenes art er beskrevet på følgende måte: Customer data, som ifølge kommunen igjen er definert som alle data, herunder tekst-, lyd- eller billedfiler som formidles til Microsoft ved bruk av Office

3 I tillegg er det opplyst at Microsoft vil kunne bli nødt til å utlevere opplysninger til law enforcement [authorities]. Vi antar at det siktes til krav om utlevering av persondata som skriver seg fra andre jurisdiksjoner enn den norske, for eksempel i forbindelse med etterforskning av straffbare forhold. Så fremt det enkelte kravet er rettslig bindende overfor tjenesteleverandøren, og en påfølgende utlevering ikke er i strid med øvrige bestemmelser i norsk lov, vil utleveringer fra tjenesteleverandøren til nevnte behandlingsformål kunne finne sted. Den behandlingsansvarlige bør imidlertid også forsikre seg om at databehandleren kan garantere at ingen personopplysninger vil bli utlevert til noe annet lands justismyndigheter, med mindre de ovennevnte kriteriene er oppfylt. 4 I tillegg bør de registrerte informeres om denne utleveringsadgangen, jf. prinsippene i personopplysningsloven 19 bokstav c og e. 2) Klar adskillelse av opplysningene Skytjenester som Office 365 håndterer personopplysninger fra mange forskjellige virksomheter, og baserer seg i stor grad på virtualiseringsteknologi og logiske sikkerhetsbarrierer. Personopplysningsregelverket stiller krav til at personopplysninger som knyttes til forskjellige juridiske enheter skal holdes forsvarlig atskilt fra hverandre. SIMONSEN bemerker i sin vurdering at de ikke umiddelbart kan se at avtalen tar høyde for disse kravene. Datatilsynet kan heller ikke se at avtalen spesifikt adresserer tiltak knyttet til atskillelse av personopplysninger fra ulike behandlingsansvarlige. I tilsynets dialog med Microsoft henvises det imidlertid til nettstedet Office 365 Trust Center 5, som har som formål å opplyse kunder om personvern og sikkerhet i Office 365. I dette tilfellet henvises det særskilt til dokumentene Security in Office 365 White Paper 6 og Office 365 Security and Service Continuity Service Description 7, og følgende avsnitt er hentet fra sistnevnte: Data isolation: Data storage and processing is logically segregated among customers of the same service through Active Directory structure and capabilities specifically developed to help build, manage, and secure multitenant environments. The multitenant security architecture ensures that customer data stored in shared Office 365 data centers is not accessible by or compromised to any other organization. Organizational units (OUs) in Active Directory control the prevention of unauthorized and unintended information transfer via shared system resources. Tenants are isolated from one another based on security boundaries, or silos, enforced logically through Active Directory. 4 Jf. Artikkel 29-gruppens uttalelse 05/2012 om Cloud Computing, avsnitt nr. 13, jf. også avsnitt 4.1 femte strekpunkt tredje kulepunkt

4 Datatilsynet anser at logiske mekanismer for atskillelse av data, som regel i samspill med andre sikkerhetstiltak, kan oppfylle kravene i personopplysningsregelverket. Det er imidlertid Moss kommunes ansvar å påse gjennom sin risikovurdering at databehandlerens sikkerhetstiltak er effektive og tilstrekkelig for den aktuelle behandlingen. Moss kommune har gjennom sin risikovurdering opplyst Datatilsynet om at de anser Microsofts tiltak for å være meget gode og tilfredsstillende. Tilsynet legger kommunens vurdering til grunn. 3) Informasjonssikkerhet og revisjon Personopplysningslovens 13 og personopplysningsforskriftens kapittel 2 stiller krav til blant annet risikovurdering, implementasjon og dokumentasjon av sikkerhetstiltak, og sikkerhetsrevisjon av kommunikasjonspartnere og leverandører. Avtalens punkt 4 beskriver sikkerhetstiltak i Office 365 på et overordnet nivå, og omfatter i hovedsak områdene som dekkes av standarden ISO SIMONSEN understreker i sine kommentarer viktigheten av å gjennomføre en risikovurdering og å dokumentere at sikkerhetstiltakene er tilfredsstillende, noe Datatilsynet slutter seg til. Datatilsynet legger til grunn at Moss kommune i samarbeid med DNV har gjennomført en risikovurdering av Office 365 som kommunen anser som tilstrekkelig og god. Denne peker på en rekke risikoer og tiltak som kommunen må vurdere i forkant av en eventuell implementering av tjenesten. Avtalens punkt 4 inneholder bestemmelser om sikkerhetsrevisjon, og kan kort oppsummeres slik: Microsoft har etablert et styringssystem for informasjonssikkerhet basert på standarden ISO 27001, og er sertifisert i henhold til denne. Det skal minst årlig gjennomføres en tredjepartsrevisjon i henhold til ISO Det skal produseres en konfidensiell oppsummeringsrapport av revisjonen som Moss kommune kan motta på forespørsel til Microsoft. På bakgrunn av oppsummeringsrapporten skal Moss kommune kunne vurdere om sikkerhetstilstanden i Office 365 er i henhold til avtalen og kommunens krav. Datatilsynet legger til grunn Artikkel 29 Opinion 05/2012 on Cloud Computing 8, hvor uavhengige tredjepartsrevisjoner omtales slik: Individual audits on data hosted in a multi-party, virtualized server environment may be impractical technically and can in some instances serve to increase the risks to those physical and logical network security controls in place. In such cases, a relevant third party audit chosen by the controller may be deemed to satisfy in lieu of an 8 4

5 individual controller s right to audit. [ ] In the context of cloud computing, potential customers should look to see whether cloud services providers can provide a copy of this third party audit certificate or indeed a copy of the audit report verifying the certification [ ]. Selv om Artikkel 29-gruppen langt på vei anerkjenner tredjepartsrevisjoner, vil det trolig være en utfordring for Moss kommune å avklare hvilke deler av en omfattende revisjonsrapport som er relevant for akkurat deres opplysninger. Så vidt Datatilsynet kjenner til finnes det på nåværende tidspunkt ingen oppsummeringsrapport tilgjengelig for Moss kommune, noe som gjør det vanskelig å vurdere hvorvidt denne kan anses som et tilfredsstillende styringsverktøy. Det vil være opp til Moss kommune å følge opp dette og gjøre de nødvendige vurderingene. Kontroll med at leverandøren etterlever avtalen Det følger av personopplysningslovens 14 om internkontroll at den behandlingsansvarlige skal etablere planlagte og systematiske tiltak for å sikre at lovens krav følges. Plikten tilligger den behandlingsansvarlige, og ikke databehandleren. Hvordan personopplysningene skal behandles, hvilke rutiner som skal følges, og hvordan etterlevelse kontrolleres, må derfor reguleres i avtalene mellom behandlingsansvarlig og databehandler. Krav om internkontroll gjelder også for andre plikter enn informasjonssikkerhet, som for eksempel at opplysningene ikke behandles til andre formål enn avtalt, sletting og bruk av tredjeland. Etter Datatilsynets syn fremstår det som nødvendig at databehandlerens etterlevelse av avtalen bekreftes gjennom tredjepartsrevisjoner (med mindre behandlingsansvarlig selv gjennomfører revisjon), på samme måte som for informasjonssikkerhet, se avsnitt 3). Dette for at behandlingsansvarlig skal ivareta kravet om systematiske tiltak for å sikre etterlevelse av loven. 4) Tilgangsstyring Personopplysningslovens 13 jf. personopplysningsforskriftens 2-11, 2-12 og 2-13 stiller krav til at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Som SIMONSEN nevner i sin vurdering, fremgår det av avtalens punkt 1 at det bare er autorisert personell hos Microsoft som skal kunne behandle Moss kommune sine opplysninger, og at slikt personell er underlagt taushetsplikt. Det er også angitt en rekke krav til tilgangskontroll, autentisering og autorisasjon. I tilsynets dialog med Microsoft henvises det også her til Office 365 Trust Center for utfyllende informasjon, og særskilt dokumentet Administrative Access 9. Her beskrives mer 9 5

6 detaljert klassifiseringen av ulike typer informasjon i løsningen og hvilke tilgangsnivåer som er etablert. Kommunen må selv gjøre en vurdering av hvorvidt tilgangsstyringen er tilfredsstillende, men Datatilsynet har ingen videre merknader til dette. 5) Autorisert og uautorisert bruk Personopplysningsforskriftens 2-8, tredje ledd og 2-14, annet ledd stiller krav til at autorisert og uautorisert bruk av informasjonssystemet skal registreres. Videre pålegger 2-16 at opplysninger om slike registreringer og alle andre hendelser med betydning for informasjonssikkerheten skal lagres i minst tre måneder. Det fremgår av avtalens punkt 4 at Microsoft skal registrere opplysninger om sikkerhetssvikt og ha disse tilgjengelig i en periode på minst seks måneder. SIMONSEN anser avtalen for å være uklar og mangelfull på dette området, og at den etter deres oppfatning ikke er i overensstemmelse med kravene i personopplysningsregelverket. Dette er også Datatilsynets oppfatning. I tilsynets dialog med Microsoft henvises det til dokumentet Standard Response to Request for Information Securiy and Privacy 10. Dette er en oversikt som viser hvordan Microsoft Online Services (inkludert Office 365) oppfyller kravene til blant annet sikkerhet og personvern som er utarbeidet av Cloud Security Alliance (CSA) 11. Det pekes særskilt på følgende krav fra CSA (krav SA-15 i Cloud Controls Matrix 12 ): Audit logs recording privileged user access activities, authorized and unauthorized access attempts, system exceptions, and information security events shall be retained, complying with applicable policies and regulations. Audit logs shall be reviewed at least daily and file integrity (host) and network intrusion detection (IDS) tools implemented to help facilitate timely detection, investigation by root cause analysis and response to incidents. Physical and logical user access to audit logs shall be restricted to authorized personnel. Videre beskriver Microsoft sin etterlevelse av kravet slik: Access to logs is restricted and defined by policy and logs are reviewed on a regular basis. Audit logging is covered under the ISO standards, specifically addressed in Annex A, domain For more information review of the publicly available ISO standards we are certified against is suggested https://cloudsecurityalliance.org/ 12 https://cloudsecurityalliance.org/wp-content/uploads/2011/08/csa_ccm_v1.2.xlsx 6

7 Basert på denne beskrivelsen er det fortsatt uklart for Datatilsynet om Microsoft er i henhold til de konkrete kravene i personopplysningsforskriftens 2-8, 2-14 og ) Overføring av personopplysninger til tredjeland Lagring og behandling i Microsofts datasentre Det følger av personopplysningsloven 29 at personopplysninger bare kan overføres til stater som sikrer en forsvarlig behandling av opplysningene. I praksis vil dette si at overføring av persondata til andre land enn medlemsstatene i EU og EØS-landene, som hovedregel er utelukket. Det finnes imidlertid unntak. For eksempel kan dataeksportøren gi individuelle garantier, eller EU-kommisjonen kan ha besluttet at visse enkeltstater er trygge mottakerstater. 13 Kommunen opplyser at det som følge av Avtalen punkt 1 litra e åpnes for overføring av personopplysninger til Microsofts datasentre i USA og Europa, men også i andre stater. Overføring til USA Det følger av artikkel 1 i EU-kommisjonens beslutning 2000/520/EF av 26. juli 2000 at Safe Harbor-prinsippene sikrer et tilstrekkelig beskyttelsesnivå, i den forstand som omtalt i direktiv 95/46/EF artikkel 25 (1) og (2). Det følger videre av den samme bestemmelsen at personopplysninger kan eksporteres fra EU-/EØS-land til foretak som er etablert i USA, under de nærmere forutsetninger som er angitt i artikkelen. Kommisjonsbeslutningen er bindende for Norge, jf. personopplysningsforskriften 6-1. Det fremgår av offentlig tilgjengelig informasjon at Microsoft Corporation and its Controlled U.S. Subsidiaries (heretter: Microsoft Corp. ) er sertifisert under Safe Harbor-programmet. 14 Under forutsetning av at samtlige aktuelle datasentre i USA er en del av Microsoft Corp. og således utgjør en del av det Safe Harbor-sertifiserte foretaket, vil overføring av personopplysninger fra Norge til disse datasentrene være i samsvar med personopplysningsloven 29. Overføring til andre tredjeland Som nevnt åpner Microsoft for å overføre personopplysninger til andre datasentre enn de som finnes i USA og EØS-området. Slik overføring av personopplysninger til andre land enn de som er nevnt innledningsvis over i avsnitt 5, må forhåndsgodkjennes av Datatilsynet, på bakgrunn av individuelle garantier gitt av den behandlingsansvarlige, jf. personopplysningsloven 30 andre ledd. Dersom den behandlingsansvarlige og databehandleren inngår standardavtalen inntatt i bilaget til EU-kommisjonens beslutning av 5. februar 2010 (2010/87/EU), og denne 13 Jf. hhv. personopplysningsloven 30 andre ledd, og 29, jf. personopplysningsforskriften

8 forhåndsgodkjennes av Datatilsynet, jf. 30 andre ledd, vil opplysningene kunne overføres til tredjeland i medhold av avtalens standardklausul 11. Slik overføring fra dataimportøren til underleverandører forutsetter imidlertid skriftlig forhåndsgodkjenning fra den behandlingsansvarlige: The data importer shall not subcontract any of its processing operations performed on behalf of the data exporter under the Clauses without prior written consent of the data exporter Bruk av underleverandører krever altså at den behandlingsansvarlige (dataeksportøren) avgir et skriftlig fornhåndssamtykke til databehandleren (dataimportøren). Spørsmålet om dette samtykkets art er drøftet av Artikkel 29-gruppen, i dens uttalelse om Cloud Computing, hvor gruppen uttaler følgende: In the view of the WP29, the processor can subcontract its activities only on the basis of the consent of the controller, which may be generally given at the beginning of the service with a clear duty for the processor to inform the controller of any intended changes concerning the addition or replacement of subcontractors with the controller retaining at all times the possibility to object to such changes or to terminate the contract. There should be a clear obligation of the cloud provider to name all the subcontractors commissioned. Spørsmålet om dette forhåndssamtykket må være spesifikt for hvert enkelt tilfelle, eller om det er tilstrekkelig med et generelt samtykke, er ytterligere drøftet i Artikkel 29- gruppens arbeidsdokument WP 176: 15 Model Clauses 2010/87/EU do not specify this. According to the Working Party, it is up to the controller to decide if general prior consent would be sufficient or if specific consent is required for each new sub processing. Det er med andre ord den behandlingsansvarlige som må ta stilling til dette spørsmålet, i lys av følgende faktorer: This decision will probably vary depend on the context of the processing, the type of data (sensitive or not), and the level of involvement of the controller for this type of choice. Some controllers may decide that a full prior check of the identity of each sub processor is necessary while others may consider that prior information (clause 5.h), the duty to communicate the clause (clause 5.j) and the guarantee to have the same level of protection (clause 11.1) are enough. 15 FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC, tilgjengelig fra ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp176_en.pdf, se dokumentets avsnitt II.1. 8

9 Bruken av standardavtale 2010/87/EU som rettslig fundament for overføring av personopplysninger til underleverandører i tredjeland, er i tråd med reglene i personopplysningsloven. Vi gjør for ordens skyld også oppmerksom på følgende: Ved inngåelse av avtalen påtar den behandlingsansvarlige seg de forpliktelser som er angitt i klausul 4, blant annet gir den behandlingsansvarlige følgende garantier: to make available to the data subjects upon requests a copy of the Clauses, with the exception of Appendix 2, and a summary description of the security measures, as well as a copy of any contract for sub-processing services which has to be made in accordance with the Clauses [ ] that, in the event of sub-processing, the processing activity is carried out in accordance with clause 11 by a sub-processor providing at least the same level of protection for the personal data and the rights of data subjects as the data importer under the Clauses Samtidig underlegges databehandleren (dataimportøren) som er part i avtalen, de forpliktelser som følger av klausul 5, blant annet: to make available to the data subject upon request a copy of the Clauses, or any existing contract for sub-processing [ ] that, in the event of sub-processing, it has previously informed the data exporter and obtained its prior written consent that the processing services by the sub-processor will be carried out in accordance with Clause 11 to send promptly a copy of any sub-processor agreement it concludes under the clauses to the data exporter Vi minner dessuten om at enkelte tredjeland er godkjent som trygge mottakerstater av EUkommisjonen. 16 Forholdet mellom Avtalen og Office 365 Trust Center Microsoft har i den pågående dialogen med Datatilsynet vist til at det er opprettet et Microsoft Office 365 Trust Center. Dette er et nettsted hvor Microsoft informerer om behandling av personopplysninger i Office 365, blant annet er det gitt opplysninger om: Data Use Limits Administrative Access Geographic Boundaries Third Parties Security, Audits and Certifications 16 Se fullstendig oversikt på ec.europa.eu/justice/data-protection/document/internationaltransfers/adequacy/index_en.htm 9

10 Regulatory Compliance 17 Datatilsynet legger til grunn at formålet med nettstedet er å sikre full gjennomsiktighet overfor kundene, i tråd med Artikkel 29-gruppens anbefalinger, 18 men at innholdet på nettstedet ikke utgjør en del av de omtalte avtalene. Diskusjonen i dette brevs 2) og 4) synliggjør ufordringer ved at informasjonen gitt i Trust Center ikke kan anses som avtalt med den behandlingsansvarlige. Klageadgang Ovenstående beslutninger kan påklages i henhold til forvaltningslovens bestemmelser. En eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at brevet ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på retten til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Med vennlig hilsen Helge Veum avdelingsdirektør Lars-Otto Nymoen overingeniør 17 Kategoriene er sitert ordrett fra Microsofts e-post til Datatilsynet av 26. mars Opinion 5/2012 on Cloud Computin avsnitt

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen Dette er

Detaljer

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. mars 2015 Utgangspunktet Det er Datatilsynets utgangspunkt at det er mulig

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Bjørn Erik Thon Direktør www.personverbloggen.no @bjornerikthon www.datatilsynet.no

Bjørn Erik Thon Direktør www.personverbloggen.no @bjornerikthon www.datatilsynet.no Personvern i skyen - Foredrag for Dataforeningen 10. september 2013 Bjørn Erik Thon Direktør www.personverbloggen.no @bjornerikthon www.datatilsynet.no Datatilsynet - Håndhever personopplysningsloven,

Detaljer

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013 22.03.2012 Side 1 Lovlig bruk av Cloud Computing Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013 Agenda Kort om personvern Kan skyen brukes? Litt om Cloud computing generelt Narviksaken

Detaljer

Tjenester i skyen hva må vi tenke på?

Tjenester i skyen hva må vi tenke på? Tjenester i skyen hva må vi tenke på? Renate Thoreid, senioringeniør Datatilsynet, Tilsyn og sikkerhetsavdeling Side 1 Visjon: Datatilsynet i front for retten til selvbestemmelse, integritet og verdighet

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Ny personvernforordning Hvordan reguleres informasjonssikkerhet Ny personvernforordning Hvordan reguleres informasjonssikkerhet Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 41 medarbeidere Faggruppe 1 (justis,

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1 Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1. Innledning og bakgrunn Mange land i Europa har de senere årene forenklet sine

Detaljer

Public 360 Online Datasikkerhet

Public 360 Online Datasikkerhet Public 360 Online Datasikkerhet Ver. 1.0 Mars 2014 Public 360 Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft Windows Azure. Azure er valgt som skyplattform ettersom

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

ISO-standarderfor informasjonssikkerhet

ISO-standarderfor informasjonssikkerhet Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and

Detaljer

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01. Virksomhetens kontroll og ansvar - Når den ansatte går i skyen Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.2014 Samme data Store data - nye formål Aller først - vårt

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

I Datatilsynets brev av 30. juni 2011 ble det bedt om en redegjørelse fra kommunen om følgende punkter:

I Datatilsynets brev av 30. juni 2011 ble det bedt om en redegjørelse fra kommunen om følgende punkter: Narvik kommune Rådhuset 8512 NARVIK Deres referanse Vår referanse (bes oppgitt ved svar) 11/00593-18/RTH 21. september 2012 Dato Saken avsluttes - Ny e-postløsning i Narvik Kommune - Google Apps Det vises

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011 Cloud computing og offshoring Juridiske sjekkpunkter for overføring av data til utlandet Espen Werring, 1. desember 2011 Er dette noe å bry seg om? Betydelig vekst innen offshoring de seneste årene Alle

Detaljer

Skytjenester bruk dem gjerne, men bruk dem riktig

Skytjenester bruk dem gjerne, men bruk dem riktig Skytjenester bruk dem gjerne, men bruk dem riktig 29.10.2014 Dagens tema Bruk av skytjenester, og bevisst(løs) bruk Skytjenester og informasjonssikkerhet Datatilsynets krav til skytjenester Hvor trykker

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Microsoftkjennelsen. - Amerikanske myndigheters tilgang til data. Eirik Andersen 16. oktober 2014 www.svw.no

Microsoftkjennelsen. - Amerikanske myndigheters tilgang til data. Eirik Andersen 16. oktober 2014 www.svw.no Microsoftkjennelsen - Amerikanske myndigheters tilgang til data Eirik Andersen 16. oktober 2014 www.svw.no Faktum Den 2. desember 2013 fremmet amerikanske myndigheter krav for domstolene i New York om

Detaljer

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Lovgivningens krav til sikkerhet ved outsourcing - offshoring Lovgivningens krav til sikkerhet ved outsourcing - offshoring Advokat Arve Føyen FØYEN Advokatfirma DA Introduksjon Et konglomerat av lovgivning stiller rammer for outsourcing og offshoring av IKT tjenester

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak Vestre Viken HF c/o Sykehuset Buskerud 3004 Drammen Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01080-5/MEP 19. april 2013 Avslutning av sak - Foreløpig kontrollapport for Vestre Viken

Detaljer

Workshop 22. september 2015

Workshop 22. september 2015 Workshop 22. september 2015 Rapporteringsforordning (EU) nr. 376/2014 Luftfartstilsynet T: +47 75 58 50 00 F: +47 75 58 50 05 postmottak@caa.no Postadresse: Postboks 243 8001 BODØ Besøksadresse: Sjøgata

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Narvik kommune Postboks 64 8501 NARVIK Deres referanse Vår referanse (bes oppgitt ved svar) 1111/1210-6/PEJA 11/00593-7/SEV 16. januar 2012 Dato Varsel om vedtak - Ny e-postløsning i Narvik kommune - Google

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato

Deres ref Vår ref (bes oppgitt ved svar) Dato Datatilsynet TELE AS Deres ref Vår ref (bes oppgitt ved svar) Dato XXXX XXXXXX KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER BEHANDLING AV OPPLYSNINGER OM ABONNENTERS BRUK AV TELETJENESTER I medhold av Lov

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT Box: erfaringer med UNINETTs første internasjonale skytjeneste Jan Meijer, UNINETT UNINETT Norges forskningsnett KDs verktøy for felles IKT infrastruktur i norsk UH 85 årsverk omsetning 180 millioner ca.

Detaljer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS) AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN Felles Studentsystem (FS) 1. Avtalens parter 1.1 Parter Avtalen inngås mellom, Org.nr: (heretter kalt behandlingsansvarlig)

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Microsoft Dynamics C5 Version 2008 Oversigt over Microsoft Reporting Services rapporter

Microsoft Dynamics C5 Version 2008 Oversigt over Microsoft Reporting Services rapporter Reporting Services - oversigt Microsoft Dynamics C5 Version 2008 Oversigt over Microsoft Reporting Services rapporter Summary Efterfølgende vises en oversigt over de rapporter som er indeholdt i Microsoft

Detaljer

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September 2015. Kari Gimmingsrud. www.haavind.no

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September 2015. Kari Gimmingsrud. www.haavind.no Samtykke som behandlingsgrunnlag i arbeidsforhold 3. September 2015 Kari Gimmingsrud www.haavind.no TEMA Samtykke som grunnlag for behandling av personopplysninger i arbeidsforhold Aktualitet Før - under

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Barns personvern spesielt samtykke til behandling av personopplysninger

Barns personvern spesielt samtykke til behandling av personopplysninger Barns personvern spesielt samtykke til behandling av personopplysninger Oversikt over foredraget Spesielle utfordringer med barns personvern Gjeldende rett om samtykke til behandling av barns personopplysninger

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Ny personvernforordning

Ny personvernforordning Ny personvernforordning 19.11.2015 www.personvernbloggen 19.11.201 Side 2 De «gamle» prinsippene dagens lov er bygd på Selvbestemmelse samtykke og reservasjonsrett Informasjon og innsyn Sletting av opplysninger

Detaljer

Arkiv skal ikkje førast ut or landet

Arkiv skal ikkje førast ut or landet Arkiv skal ikkje førast ut or landet Advokat Siv Owing Maanum Copyright 2015 Foyen Torkildsen All Right Reserved 1 Arkivloven 9 b) «Utan i samsvar med føresegner gjevne i medhald av 12 i denne lova eller

Detaljer

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Innledning Hva er cloud computing? IaaS, PaaS, SaaS osv Skyen er en forretningsmodell som bygger på noen prinsipper: Standardisering (tjenester,

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar

Detaljer

Endring av forskrift om bruk av bilbelte legeerklæring om unntak fra påbudet om bruk av bilbelte

Endring av forskrift om bruk av bilbelte legeerklæring om unntak fra påbudet om bruk av bilbelte Statens vegvesen Vedlegg 1 Høringsnotat Endring av forskrift om bruk av bilbelte legeerklæring om unntak fra påbudet om bruk av bilbelte Høring om forslag til endring i: - forskrift 21. september 1979

Detaljer

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport Oppegård Kommune Postboks 510 1411 KOLBOTN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/137-11 13/01092-10/MEP 21. mai 2014 Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig

Detaljer

17. desember 2015 kl.15.00 17 December 2015 at 15.00 (CET) 4. FORSLAG OM ENDRING AV VEDTEKTENE 5 4 PROPOSAL FOR CHANGE OF ARTICLES OF ASSOCIATIONS 5

17. desember 2015 kl.15.00 17 December 2015 at 15.00 (CET) 4. FORSLAG OM ENDRING AV VEDTEKTENE 5 4 PROPOSAL FOR CHANGE OF ARTICLES OF ASSOCIATIONS 5 OFFICE TRANSLATION INNKALLING TIL EKSTRAORDINÆR GENERALFORSAMLING Ekstraordinær generalforsamling i LINK Mobility Group ASA, org nr 984 066 910 holdes i: NOTICE OF EXTRAORDINARY GENERAL MEETING Extraordinary

Detaljer

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som Fornyings- administrasjons- og kirkedepartementet Postboks 8004 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/1249 13/00654-2/HHU 20. september 2013 Dato Høring - Endringer i eforvaltningsforskriften

Detaljer

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 NOTAT Til: Landsstyret Fra: Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 Spørreundersøkelser personvern På det siste møtet før landsmøtet behandlet AU en søknad fra Svarte Nattakonferansen om bruk

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og

Detaljer

En praktisk anvendelse av ITIL rammeverket

En praktisk anvendelse av ITIL rammeverket NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter

Detaljer

Blokkering av innhold på internett

Blokkering av innhold på internett Blokkering av innhold på internett Norids registrarseminar Rune Ljostad 30. oktober 2012 Internett egenart har skapt ubalanse Stort skadepotensiale Alle tidligere naturlige begrensninger borte Mulig å

Detaljer

Skytjenester i skolen

Skytjenester i skolen Skytjenester i skolen NKUL 2012 Tommy Tranvik og Harald Torbjørnsen Agenda 1. Skytjenester fordeler og ulemper 2. Rettslige reguleringer personopplysningsloven med forskrift 3. Praktiske eksempel fra skolesektoren

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre. Treningssenter AS Postboks OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00001-34/KBK 10. september 2013 Konsesjon til å behandle personopplysninger - Treningssenter - Dopingkontroll

Detaljer

Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal

Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal Seniorrådgiver Knut Lindelien, Standard Norge Bakgrunn Stort informasjonsbehov mye informasjon

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Independent audit av kvalitetssystemet, teknisk seminar 25-26 november 2014

Independent audit av kvalitetssystemet, teknisk seminar 25-26 november 2014 Independent audit av kvalitetssystemet, teknisk seminar 25-26 november 2014 Valter Kristiansen Flyteknisk Inspektør, Teknisk vedlikehold Luftfartstilsynet T: +47 75 58 50 00 F: +47 75 58 50 05 postmottak@caa.no

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE Skytjenester utviklingstrekk, krav og forventninger Frank Skapalen NVE Kilde: http://srmsblog.burtongroup.com/ Innhold Globale utviklingstrekk for skytjenester Skypolitikk Dilemmaet sikkerhet opp mot funksjonalitet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi

Detaljer

ILO- 98 Rett til kollektive forhandlinger.

ILO- 98 Rett til kollektive forhandlinger. ILO 98 Artikkel 1.1. Når det gjelder sysselsetting, skal arbeidstakerne nyte tilstrekkelig vern mot all diskriminering som innebærer et angrep på foreningsfriheten.2. Dette vern skal særlig være rettet

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Finansdepartementet Postboks 8008 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/01410 SL HS/KR 13/00439-2/JSK 10. juni 2013 Dato Høringsuttalelse - Om gjennomføring av avtale mellom

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no Rettslig regulering av helseregistre Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no Innhold Mål og strategier Verdier Holdninger Vurderingstemaer 20.03.2014 Side 2 Datatilsynets strategi i

Detaljer

Public roadmap for information management, governance and exchange. 2015-09-15 SINTEF david.norheim@brreg.no

Public roadmap for information management, governance and exchange. 2015-09-15 SINTEF david.norheim@brreg.no Public roadmap for information management, governance and exchange 2015-09-15 SINTEF david.norheim@brreg.no Skate Skate (governance and coordination of services in egovernment) is a strategic cooperation

Detaljer

Hvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk

Hvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk Hvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk Logica 2012. All rights reserved No. 3 Logica 2012. All rights reserved No. 4 Logica 2012. All rights reserved

Detaljer

STILLAS - STANDARD FORSLAG FRA SEF TIL NY STILLAS - STANDARD

STILLAS - STANDARD FORSLAG FRA SEF TIL NY STILLAS - STANDARD FORSLAG FRA SEF TIL NY STILLAS - STANDARD 1 Bakgrunnen for dette initiativet fra SEF, er ønsket om å gjøre arbeid i høyden tryggere / sikrere. Både for stillasmontører og brukere av stillaser. 2 Reviderte

Detaljer