Risiko- og sårbarhetsvurdering

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Begynne med side:

Download "Risiko- og sårbarhetsvurdering"

Transkript

1 Risiko- og sårbarhetsvurdering Risikovurdering av skytjenesten box.com Versjon: 0.3 Dato: Skrevet av: Rolf Sture Normann Utkast 0.3 Side

2 Innholdsfortegnelse Innledning... 3 Bakgrunn... 3 Formål... 3 Avgrensninger... 4 Om skytjenesten box.com... 4 Prosjektgjennomføring... 4 Hovedkonklusjon og anbefaling... 5 Aksept tabell Kriterier Vedlegg Utkast 0.3 Side

3 Innledning 13 i personopplysningsloven (POL) pålegger den behandlingsansvarlige og databehandleren å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Dette pålegget gjelder alle, uavhengig av hva slags personopplysninger som behandles og uavhengig av hva slags hjelpemidler som benyttes. I forskrift til loven finnes bestemmelser om informasjonssikkerhet som gjelder for all behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, «der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet, er nødvendig med sikkerhetstiltak». Vurdering av risiko er utgangspunktet for alt sikkerhetsarbeid sikkerhet er nettopp håndtering av risiko. I denne sammenhengen er formålet med risikovurderinger å identifisere hendelser som kan få betydning for sikring av personvernet, samt formulere hypoteser om konsekvensene av hendelsene og sannsynligheten for at de inntreffer. En viktig del av oppgaven er kartlegging av de aktiva som må sikres, og å kartlegge det miljø verdiene befinner seg i. Risikovurderingen skal i tillegg identifisere behovet for risikoreduserende tiltak ved å sammenligne avdekket risiko med akseptabelt risikonivå. For å understreke resultatene av vurderingen, er det også naturlig å gi anbefalinger om sikkerhetstiltak som kan være til hjelp i det videre arbeidet med informasjonssikkerheten. Risikovurderinger er altså et sentralt element i sikkerhetsarbeidet. I tillegg er risikovurderinger lovpålagt i mange sammenhenger, se for eksempel personopplysningsforkriften 2-4. Det skal dessuten gjøres vurderinger slik at sikkerhetstiltakene skal stå i forhold til den aktuelle risikoen. Det er ikke bare i personopplysningsloven man finner bestemmelser om risikovurdering; andre eksempler er sikkerhetsloven og helseregisterloven. Bakgrunn Den 30. april 2013 ble det gjennomført en Risiko- og sårbarhetsvurdering (ROS vurdering) v/ UNINETT begrenset til vurderinger av sårbarheter som kan være aktuelle i forbindelse med skytjenesten box.com. Formål Formålet med ROS vurderingen er å kartlegge hvilke trusler som eksisterer eller som kan utløses i forbindelse med skytjenesten box.com. Utkast 0.3 Side

4 Avgrensninger Rapporten er avgrenset til situasjoner rundt bruken av skytjenesten box.com. Om skytjenesten box.com Tjenesten BOX.COM tilbyr en sikker samarbeidsplattform for deling av dokumenter enten dette er mediafiler, eller rene tekstdokumenter eller andre. Informasjon som lagres i BOX kan deles både internt og eksternt avhengig av hvem du som bruker inviterer inn i dokumentmappe eller dokument. Brukerne kan bruke nesten hva som helst av utstyr enten det er en iphone, ipad, Android, Windows mobile eller andre enheter med tilgang til en nettjener. Tjenesten BOX.COM kan integreres mot andre skytjenesteleverandører slik som Microsoft, Amazon eller Google. Tjenesten tilbyr en synkronisering av filer fra din enhet til BOX.COM. BOX.COM er amerikansk selskap som har undertegnet safe harbour avtalen. Hovedsenteret ligger i California. BOX.COM benytter tjenester fra blant andre Amazon som backup for sine kunders data. Prosjektgjennomføring ROS vurderingen er gjennomført i form av et arbeidsmøte den 30. april med følgende deltakere: Rolf Sture Normann (UNINETT) Øivind Høiem (UNINETT) Jan Meijer (UNINETT) Lars Strømmen (NTNU) Ole Langfeldt (NTNU) Espen Grøndal (UIO) Bente Aasgaard (UIO) Arbeidsmøtet ble ledet av Rolf Sture Normann fra UNINETT. Metodikken var lik den som sekretariat for informasjonssikkerhet for øvrig benytter under ROS vurderinger. Møtet ble i noe større grad basert på idemyldring og gule lapper, og noe mer fristilt i henhold til skjematikken. Dette var positivt i forhold til at dette var en enkelttjeneste, og Utkast 0.3 Side

5 deltakerne måtte se på problemstillinger som hadde betydning for både studenter, forelesere, forskere, ansatte og de organisasjoner de tilhører. Også UNINETT som selskap som sådan. Box.com antydet å kunne levere single-signout funksjonalitet per 31.7 men klarte det ikke. 31. august ble det foretatt en revisjon for å ta det risikomomentet med ROS vurderingen. Hovedkonklusjon og anbefaling Dette avsnittet presenterer hovedkonklusjonene fra ROS vurderingen. Datagrunnlaget finnes i det vedlagte regnearket. Følgende scenario ble vektet som uakseptable, eller med høy risikofaktor og som det må settes inn tiltak for å redusere risiko. Referanse 2, Risikoverdi 9 Brukere senker gradering av informasjon av bekvemmelighetshensyn for å kunne laste opp informasjon med behov for konfidensialitet (personsensitivt, bedriftskritisk el.l.) Muligheten for at brukere av tjenesten box.com kan komme til å laste opp informasjon som ikke burde være lagt ut til en skytjenesteleverandør som box.com for å lett kunne hente ned informasjonen fra andre steder, f.eks. hjemmekontor, reise eller lignende ble vurdert til å ha høy sannsynlighet (3) og dersom den skulle inntreffe vil konsekvensen eller skadevirkningen i værste fall kunne være alvorlig (3) Bevistgjøre og ansvarliggjøre brukerne. Informere og repetere at brukerne gjør ansvarlige valg i forbindelse med bruken av box gjennom å informere på startssiden ved pålogging. Det bør også lages en kort veileder/kjøreregler for bruken av box.com Avtalen mellom UNINETT og institusjon bør inneholde forventninger om at institusjonen bevistgjør og ansvarliggjøre brukerne. Vurdere bruken av BoxCryptor i noen tilfeller Utkast 0.3 Side

6 Referanse 32, Risikoverdi 9 Tilgang til brukers box-konto på en delt enhet, på grunn av manglende funksjonalitet. Manglende Single Sign out medfører fare for kompromittering av egen konto at dersom en bruker logger seg på en delt enhet (PC, nettbrett el.l.). Et eksempel på denne problemstillingen er at en foreleser logger seg på klasseromsmaskinen, og henter ut noen filer fra Box kontoen sin. Deretter logger vedkommende seg ut av box kontoen. Neste foreleser eller annen bruker som logger seg på denne maskinen vil finne forrige foreleseren pålogget. Dermed kan denne brukeren fritt kopiere, sende til andre, endre eller slette innholdet til foreleseren som var pålogget. Dette er et scenario som er vurdert som alvorlig med høy sannsynlighet. Tiltak bør etableres. Hver enkelt institusjon må vurdere dette punktet og ta stilling til om man er villig til å akseptere denne risikoen eller ikke. Implementere Single Sign Out Private/Inkognito Browsing Bevistgjøre brukerne slik at de ikke benytter delte maskiner for å logge seg på boxkontoen sin Igangsette prosess for å få bedre internasjonalt fokus på Single Sign Out som obligatorisk funksjonalitet slik at box.com implementerer Single Sign Out raskt. Referanse 11, Risikoverdi 8 Uønsket sammenstilling av data som følge av koblinger mot andre applikasjoner eller skytjenesteleverandører (Big data) Selv om skytjenesten box.com sin policy er å ikke utlevere informasjon til andre parter kan dette være hendelse. Integrering av ulike skytjenesteleverandører som google, microsoft, amazon eller andre med skytjenesten box.com kan forekomme som følge av at brukeren selv gjør dette mulig. Dette er en situasjon som kan komme til å utlevere mye mere informasjon enn hvert informasjonselement hver for seg. Vurdere tekniske tiltak i Box som begrenser mulighetene for sammenstilling av data. Overvåke dataflyt fra Box til andre tjenester for å monitorere om dette er et problem. Bevistgjøring og opplæring av brukerne vil også her være sentralt Referanse 1, Risikoverdi 6 Amerikanske myndigheters rett til innsyn i data Skytjenesten box.com har underskrevet Safe harbour act. Selv om dette er tilfellet vil amerikanske myndigheter ved mistanke om terror eller andre situasjoner forbeholde seg retten til å kreve innsyn. Dette kan i værste fall medføre store problemer for brukere som har lastet opp informasjon som av amerikanske myndigheter kan tolkes som kriminelle selv om brukeren kunne hatt helt andre intensjoner. For eksempel forskning på terrornettverk etc. Utkast 0.3 Side

7 Benytte BoxCryptor eller andre krypteringsprogramvare Informere brukeren om amerikanske myndigheters innsynsrett i henhold til Patriot Act og konsekvenser dette kan ha Referanse 6, Risikoverdi 6 Tekniske sikkerhetshull eller sårbarheter i skytjenesten box.com Skytjenesten box.com kan inneholde tekniske sårbarheter som kan utnyttes. Dette er selvsagt ikke spesifikt for box.com. Sårbarheter kan utnyttes av uvedkommende og informasjon med behov for beskyttelse kan bli utlevert, uautorisert endret eller slettet. Avtale som sikrer UNINETT innsyn i Box sine egne sikkerhetsrevisjoner (databehandleravtale) Etablere klare varslingsrutiner mellom UNINETT og Box dersom sikkerhetshull skulle avdekkes Generell egen monitorering og årvåkenhet Referanse 10, Risikoverdi 6 Opplasting av feil data, eller opplasting av riktig data til feil mappe med andre brukertilganger Skytjenesten box.com har i tillegg til at en kan laste opp filer og mapper også en synkroniseringstjeneste. En bruker kan komme i skade for å laste opp feil dokument, eller legge et dokument med behov for beskyttelse i en mappe med videre brukertilganger. Lage veiledningsmateriell, ex «10 enkle regler for bruk av box» Skape holdninger gjennom informasjon «Du bryr deg vel om dataene dine?» Informere på påloggingsside til Box Institusjonen bør vurdere å benytte LMS og/eller forelesere til å informere Referanse 12, Risikoverdi 6 Applikasjoner og tilhørende plugins/apper i box.com blir benyttet på en slik måte at brukeren mister oversikt over dataflyt og tilganger. Bevisst og ubevisst kopiering av data. Skytjenesten box.com tilbyr en del funksjonalitet gjennom såkalte apper. Brukere som installerer disse og tilhørende i andre tjenester kan medføre at brukeren bevisst eller ubevisst kopierer data som har behov for konfidensialitet. UNINETT må skaffe seg mer detaljert oversikt over plugins Se ellers tiltak i Referanse 11. Referanse 13, Risikoverdi 6 Utkast 0.3 Side

8 Uautorisert tilgang som følge av feil gruppetilhørighet, medlemmer av en gruppe som ikke skulle vært det med tilhørende tilganger. Skytjenesten box.com gir deg som bruker mulighet til å etablere grupper og melde andre inn i ulike grupper for deling av informasjon. Dette gir en mulighet for at en bruker har medlemmer som ikke skulle vært det av ulike årsaker. Det kan være at en har glemt å fjerne noen fra en gruppe, eller legger til feil person i en gruppe. Dette kan medføre at informasjon med behov for beskyttelse blir utlevert. Se tiltak under referanse 10. Etablere standard grupper som brukerne kan benytte for å begrense brukerfeil Referanse 16, Risikoverdi 6 Hacking/innbrudd i systemer med tilhørende datatyveri eller annen uautorisert tilgang. Skytjenesten box.com eller en av brukerne kan få innbrudd i sine systemer med tilhørende datatyveri, uautorisert endring eller sletting av informasjon. Se tiltak referanse 10 UNINETT bør støtte institusjonene med å utarbeide en kriseplan ved større hendelser med Box Referanse 5, Risikoverdi 4 Opplasting av uønsket eller støtende og eller ulovlig informasjon til en brukers konto som følge av gitt tilgang. Brukere som tidligere har delt informasjon med hverandre kan komme til å laste opp informasjon som er trakkaserende eller støtende. Det kan også være ulovlig informasjon slik som barneporno, terrorinformasjon som kan føre til pågripelser eller tap av omdømme el.l. Informere om hvem som eksplisitt skal varsles ved slike hendelser Benytt CERT/abuse som støttespiller på dette Forbeholde seg retten til å stenge brukere ute ved alvorlige hendelser. Dette må være en del av brukeravtalen Oppfordre til å rapportere uønsket oppførsel Hver enkelt institusjon må definere prosesser for hvordan slike saker skal behandles Andre forhold En bør også se på andre forhold slik som leverandørens mulighet til å endre vilkår, oppkjøp og konkurs eller andre forhold som endrer forutsetningene for leveransen. Det bør også spesifiseres hvor lenge man kan hente ut sine data ved for eksempel endringer i organisasjonen box.com. Utkast 0.3 Side

9 Se for øvrig komplett oversikt over uønskede hendelser. Hver enkelt institusjon må selv gjøre en vurdering av risikofaktor og eventuelt adressere andre hendelser. Denne risikovurderingen er gjort av en arbeidsgruppe. Institusjonene selv kan ha andre meninger om sannsynlighet og konsekvens enn denne, og eventuelt andre hendelser som ikke er adressert her. Utkast 0.3 Side

10 Aksept tabell Tallene i de enkelte rubrikkene i tabellen referer til risikoelementene i det vedlagte regnearket. Utkast 0.3 Side

11 Kriterier Sannsynlighet Prosjektgruppen vedtok å benytte følgende skala for sannsynlighet S=1; Lav sannsynlighet S=2; Moderat sannsynlighet S=3; Høy sannsynlighet S=4; Svært høy sannsynlighet Frekvens Hendelser som kan inntreffe 1 gang pr 5 år eller sjeldnere For brann: hvert 50. år eller sjeldnere. Hendelser som kan inntreffe 1 gang pr 2 år eller sjeldnere For brann: hvert 10. år eller sjeldnere Hendelser som kan inntreffe flere ganger pr. år For brann: årlig eller sjeldnere Hendelser som kan inntreffe flere ganger pr. halvår. For brann: flere ganger pr. år. Letthet Sikkerhetstiltak er etablert i forhold til sikkerhetsbehovet og fungerer etter hensikten. Tiltakene kan kun omgås/brytes av egne medarbeidere med gode ressurser, og god/fullstendig kjennskap til tiltakene. Utenforstående kan ikke omgå/bryte tiltakene. Sikkerhetstiltak er etablert i forhold til sikkerhetsbehovet og fungerer etter hensikten. Tiltakene kan likevel omgås/brytes av egne medarbeidere med små til normale ressurser, som i tillegg har normal kjennskap til tiltakene. Utenforstående trenger gode ressurser, og god/fullstendig kjennskap til tiltakene for å omgå/bryte disse. Sikkerhetstiltak er ikke fullt etablert, eller fungerer ikke etter hensikten. Egne medarbeidere trenger kun små til normale ressurser for å omgå/bryte tiltakene, og det er ikke nødvendig med forutgående kjennskap til tiltakene. Utenforstående trenger små til normale ressurser, samt normal kjennskap til tiltakene, for eksempel hvilke rutiner som gjelder eller hvordan sikkerhetsteknologi er implementert. Sikkerhetstiltak er ikke etablert, eller kan omgås/brytes av egne medarbeidere og utenforstående med små til normale ressurser. Det er ikke nødvendig med forutgående kjennskap til tiltakene Motivering Sikkerhetsbrudd kan kun skje ved at egne medarbeidere opptrer med overlegg og har spesiell kompetanse eller kunnskap. Utenforstående må ha spisskompetanse og et samarbeid med personer i virksomheten Sikkerhetsbrudd kan skje ved at egne medarbeidere opptrer med forsett og har en viss kompetanse. Utenforstående må opptre med overlegg og noe kunnskap om interne forhold (med hensikt og plan, eksempelvis ved at flere tiltak brytes i riktig rekkefølge) for å omgå/bryte sikkerhetstiltakene Sikkerhetsbrudd kan skje ved uaktsomhet av egne medarbeidere. Utenforstående må ha noe kompetanse, og forsettelig (bevisst eller aktivt) gå inn for å bryte sikkerhetstiltakene. Sikkerhetsbrudd kan skje ved uaktsomhet (ubevisst eller uten forsett) av egne medarbeidere eller utenforstående. Det er ikke nødvendig med spesielle kunnskaper om interne forhold. De forskjellige nivåene er oppsummert i følgende sannsynlighetsmatrise: Konsekvens Prosjektgruppen vedtok å benytte følgende skala for konsekvens: K=1; Ubetydelig K=2; Moderat K=3; Alvorlig Utkast 0.3 Side

12 K=4; Katastrofal Nivåene er oppsummert i følgende konsekvensmatrise: Ubetydelig (1) Moderat (2) Alvorlig (3) Katastrofal (4) Konfidensialitet Integritet Ingen uautorisert innsyn i ikke sensitive personopplysninger der konfidensialitet er nødvendig. Journal/ nedtegnelser er tilnærmet komplett Uautorisert innsyn i ikke sensitive personopplysninger eller personopplysninger der konfidensialitet er nødvendig. Brudd på lov. I forhold til enkeltpersoner Noen mangler i Journal/ nedtegnelser Mulighet for endring av personopplysninger Registeret har tapt integritet for enkeltperson. Uautorisert innsyn i enkelte sensitive personopplysninger eller personopplysninger der konfidensialitet er nødvendig. Brudd på lov. En eller få kan få innsyn Hele/deler registeret avdekket på fakultets- /avdelingsnivå Viktig informasjon mangler i journal/ nedtegnelser Mulighet for endring av enkelte sensitive personopplysninger eller personopplysninger der integritet er nødvendig. Fullt uautorisert innsyn i alle sensitive personopplysninger eller personopplysninger der konfidensialitet er nødvendig. Brudd på lov. Mange kan få innsyn der konfidensialitet er nødvendig. Hele registeret avdekket på institusjonsnivå Kritisk informasjon mangler i journal/ nedtegnelser og brudd på lov. Mulighet for omfattende uautorisert endring av alle sensitive personopplysninger eller personopplysninger der integritet er nødvendig. Tilgjengjeli ghet Systembrudd er uvesentlig. Utfall 1 dag (studentregistrering /eksamen 1-2 timer) Systembrudd kan føre til skade dersom reservesystem ikke fins. Utfall opptil 5 dager. (studentregistrering /eksamen = 2 t). System settes ut av drift opptil 14 dager (studentregistrering /eksamen = 5 t) System settes ut av drift mer enn 4 uker (studentregistrering /eksamen = 1 dag) Hensikten med å fastsette risiko er å få en oversikt over virksomhetens trusselbilde og bruke dette som grunnlag for å redusere de risikoer man ikke kan akseptere. Personopplysningsforskriften 2-4 slår fast at «Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger». En forutsetning for å kunne vurdere graden av risiko er at det finnes etablerte kriterier å vurdere opp mot. Det må fastsettes grenser for hva som er akseptabel risiko innenfor områder som helse, omdømme, økonomi, etterlevelse av lover og forskrifter, etc., og retningslinjer for å anslå når en risiko øker Utkast 0.3 Side

13 ut over dette nivået. Ansvaret for å fastlegge akseptabelt risikonivå for organisasjonen må legges der ansvaret for en eventuell hendelse ligger, altså er dette en ledelsesbeslutning. Selv om behandlingsansvarlig i virksomheten skal fastlegge kriterier for akseptabel risiko, vil også ytre forhold og regulatoriske krav kunne legge føringer for dette. For eksempel sier personopplysningsforskriften at «Datatilsynet kan gi pålegg om sikring av personopplysninger, herunder fastlegge kriterier for akseptabel risiko forbundet med behandling av personopplysninger». I tillegg kan Datatilsynet gjennom pålegg fastlegge kriterier for akseptabelt risikonivå for virksomheter som har besluttet et for lavt nivå, eller for virksomheter som ikke har fastlagt akseptabelt risikonivå. Akseptabel risiko Etter at man har funnet risikonivået for en hendels, skal man vurdere om risikoen er akseptabel eller ikke. For å kunne gjøre dette må man ha definert hva som er et akseptabelt risikonivå. Der hvor man ikke kan benytte lovkrav eller virksomhetskrav for å avgjøre om risikoen er akseptabel, kan arbeidsgruppen se på det resulterende risikonivået (se risikomatrisen). Dersom risikoen er høy bør den trolig ikke aksepteres, da konsekvensene trolig kan medføre vesentlige økonomiske (og andre) problemer for virksomheten. Dersom risikoen havner i det midtre området må veie kostnaden opp mot nytten av å redusere den aktuelle risikoen. Dersom kostnadene overstiger den antatte nytten (i kroner) av å redusere risikoen, er det lite hensiktsmessig å gjøre noe (risikoen aksepteres). Motsatt, dersom nytten av å redusere risikoen antas å være høyere enn kostnadene, bør risikoen reduseres (risikoen er uakseptabel). Prosjektgruppen satte 4 som akseptabelt nivå der driveren er sannsynlighet, og 3 der driveren er konsekvens. Utkast 0.3 Side

14 Vedlegg Selve ROS vurderingen finnes i vedlagte regneark: ROS_vurdering box_com 30_04_13-revisjon31_08_13.xlsx Utkast 0.3 Side

Kvalitetssikring av arkivene

Kvalitetssikring av arkivene Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT Box: erfaringer med UNINETTs første internasjonale skytjeneste Jan Meijer, UNINETT UNINETT Norges forskningsnett KDs verktøy for felles IKT infrastruktur i norsk UH 85 årsverk omsetning 180 millioner ca.

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. mars 2015 Utgangspunktet Det er Datatilsynets utgangspunkt at det er mulig

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale Pilot Digitalt Bortsettingsarkiv Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss Bjørn Erik Thon God informasjonssikkerhet er viktigere enn noen gang 16.10.2012 Side 2 16.10.2012 Side 3 16.10.2012 Side 4 16.10.2012

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Risikovurdering av informasjonssystem

Risikovurdering av informasjonssystem Risikovurdering av informasjonssystem Innholdsfortegnelse 1 Innledning... 4 1.1 Risiko og personvern... 4 2 Akseptabelt risikonivå... 6 3 Forberedelse av risikovurdering... 7 3.1 Planlegging... 7 3.2 Organisering...

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Oslo kommune Utdanningsetaten

Oslo kommune Utdanningsetaten Utdanningsetaten P. Reinholdsen Dato: 22.03.2016 Deres ref: Vår ref (saksnr): Saksbeh: Arkivkode: 16/02641-2 Rohan Fininger, 95754230 Innsynshenvendelse etter Offentlighetslova - Konsekvenser ved valg

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Pålegg om stans av behandling av personopplysninger - Gator AS

Pålegg om stans av behandling av personopplysninger - Gator AS Gator AS Håkon Magnussons gate 8 7041 TRONDHEIM Deres referanse Vår referanse Dato 17/01432-12/EOL 07.12.2017 Pålegg om stans av behandling av personopplysninger - Gator AS Vi viser til vårt brev av 18.

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Bruk av risikoanalyser i KRIK

Bruk av risikoanalyser i KRIK Bruk av risikoanalyser i KRIK Dette dokumentet er ment som en beskrivelse av Kristen Idrettskontakts (heretter KRIK) bruk av risikoanalyser i sitt arbeid. Målet er å forebygge uønskede hendelser under

Detaljer

Varsel om pålegg - Personvern og informasjonssikkerhet i smartklokker for barn - PepCall AS

Varsel om pålegg - Personvern og informasjonssikkerhet i smartklokker for barn - PepCall AS PepCall AS Munkedamsveien 35 0250 Oslo Deres referanse Vår referanse Dato 17/01484-10/EOL 12.12.2017 Varsel om pålegg - Personvern og informasjonssikkerhet i smartklokker for barn - PepCall AS Vi viser

Detaljer

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016 Laget av Dato Orginal plassering fil. Johnny ndre Sunnarvik Nov 2015 http://innsiden.helse-vestikt.no/avdelinger/tjenesteproduksjon/anbudskrav/documents/sikkerhet.docx Dato Nov 2015 Des 2015 Nov 2016 Beskrivelse

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. Kommunenes Sentralforbund - Databehandler U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Nettskyen, kontroll med data og ledelsens ansvar

Nettskyen, kontroll med data og ledelsens ansvar Nettskyen, kontroll med data og ledelsens ansvar SUHS-konferansen 2011 Per Arne Enstad, CISA,CISM 2 Hva kjennetegner en nettsky? Behovsbasert selvbetjening Høy konnektivitet Deling av ressurser Kapasitet

Detaljer

Skytjenester bruk dem gjerne, men bruk dem riktig

Skytjenester bruk dem gjerne, men bruk dem riktig Skytjenester bruk dem gjerne, men bruk dem riktig 29.10.2014 Dagens tema Bruk av skytjenester, og bevisst(løs) bruk Skytjenester og informasjonssikkerhet Datatilsynets krav til skytjenester Hvor trykker

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS) AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN Felles Studentsystem (FS) 1. Avtalens parter 1.1 Parter Avtalen inngås mellom, Org.nr: (heretter kalt behandlingsansvarlig)

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Skytjenester i skolen

Skytjenester i skolen Skytjenester i skolen NKUL 2012 Tommy Tranvik og Harald Torbjørnsen Agenda 1. Skytjenester fordeler og ulemper 2. Rettslige reguleringer personopplysningsloven med forskrift 3. Praktiske eksempel fra skolesektoren

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Public 360 Online Datasikkerhet

Public 360 Online Datasikkerhet Public 360 Online Datasikkerhet Ver. 1.0 Mars 2014 Public 360 Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft Windows Azure. Azure er valgt som skyplattform ettersom

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

RISIKOANALYSE (Grovanalyse-Hazid )

RISIKOANALYSE (Grovanalyse-Hazid ) RISIKOANALYSE (Grovanalyse-Hazid ) Mars Side 1 av 7 Risikoanalyse(Grovanalyse) Ifølge Norsk Standard (NS 5814) er begrepet risiko definert som: «Uttrykk for den fare som uønskede hendelser representerer

Detaljer

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen Personvern nytt landskap i 2018 #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen Personvernforordningen (General Data Protection Regulation/GDPR) Personvernforordningen på overordnet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Avtale mellom. om elektronisk utveksling av opplysninger

Avtale mellom. om elektronisk utveksling av opplysninger Avtale mellom og.. om elektronisk utveksling av opplysninger INNHOLD 1. AVTALENS PARTER 3 2. AVTALENS GJENSTAND OG AVTALENS DOKUMENTER 3 3. HJEMMEL FOR UTLEVERING, INNHENTING OG BEHANDLING AV OPPLYSNINGENE

Detaljer

Lagring av forskningsdata i Tjeneste for Sensitive Data

Lagring av forskningsdata i Tjeneste for Sensitive Data AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Lagring av forskningsdata i Tjeneste for Sensitive Data Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer. 1

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Helseforskningsrett med fokus på personvern

Helseforskningsrett med fokus på personvern Helseforskningsrett med fokus på personvern Sverre Engelschiøn Helseforskningsrett 2009 Sverre Engelschiøn 1 Tema Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Helseforskningsrett

Detaljer

Databehandleravtale etter personopplysningsloven m.m

Databehandleravtale etter personopplysningsloven m.m Databehandleravtale etter personopplysningsloven m.m Databehandleravtale I henhold til personopplysningsloven 13, jf. 15 og personopplysningsforskriftens kapittel 2. Avtalen omhandler også håndtering av

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

" Deling og utveksling med pasienter Deling i store foretak Utlevering / deling mellom foretak Legemiddeldeling Kjernejournal

 Deling og utveksling med pasienter Deling i store foretak Utlevering / deling mellom foretak Legemiddeldeling Kjernejournal ! " " #$ % $$ " Deling og utveksling med pasienter Deling i store foretak Utlevering / deling mellom foretak Legemiddeldeling Kjernejournal " & '$()!"# ) $% #% $ % * $$ + ( & ) &'$$% (' (') * &* % &,,)

Detaljer

Risikovurderinger. Øivind Høiem CISA, CRISK, ISO Lead implementer. Sekretariat for informasjonssikkerhet, UNINETT. SUHS-konferansen 2015

Risikovurderinger. Øivind Høiem CISA, CRISK, ISO Lead implementer. Sekretariat for informasjonssikkerhet, UNINETT. SUHS-konferansen 2015 Risikovurderinger Øivind Høiem CISA, CRISK, ISO 27001 Lead implementer Sekretariat for informasjonssikkerhet, UNINETT SUHS-konferansen 2015 Informasjonssikkerhet som muliggjøreren! For at ny teknologi

Detaljer

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE Skytjenester utviklingstrekk, krav og forventninger Frank Skapalen NVE Kilde: http://srmsblog.burtongroup.com/ Innhold Globale utviklingstrekk for skytjenester Skypolitikk Dilemmaet sikkerhet opp mot funksjonalitet

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

De største utfordringene i tilgangsstyring til EPJ?

De største utfordringene i tilgangsstyring til EPJ? De største utfordringene i tilgangsstyring til EPJ? Bjørn Magne Eggen Enhet for medisinske fag og strategi HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 1 Feil!! Dette er ikke våre nye EPJ-terminaler HelsIT,

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale.

Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale. 1 av 5 Personalavdelingen 01.12.2015 Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale. Innhold 1 Innledning... 2 1.1 Mål... 2 1.2 Gyldighetsområde... 2 1.3 Forhold

Detaljer

OBC FileCloud vs. Dropbox

OBC FileCloud vs. Dropbox OBC FileCloud vs. Dropbox Whitepaper Innledning: utfordringer Ansatte tyr stadig oftere til usikrede, forbrukerrettede fildelingstjenester i nettskyen for å få tilgang til arbeidsdokumenter fra flere utstyrsenheter

Detaljer

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON Retningslinjer for ansattes bruk av IKT-tjenester RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON Vedlagt vil du finne Retningslinjer for ansattes bruk av IKT-tjenester. Retningslinjer for

Detaljer

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum. Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.no OH 1 Agenda Hva er personopplysninger Personvern vs informasjonssikkerhet

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer