Endelig kontrollrapport
|
|
- Niclas Håland
- 7 år siden
- Visninger:
Transkript
1 Saksnummer: 12/00060 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Protector Forsikring ASA Sted: Oslo Utarbeidet av: Mari Hersoug Nedberg Stein Erik Vetland 1 Innledning Datatilsynet gjennomførte stedlig kontroll hos Protector Forsikring ASA 14. februar Kontrollen ble utført med hjemmel i personopplysningsloven 44 jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig med hensyn til grunnkrav til behandling av personopplysninger, behandlingsgrunnlag, informasjonssikkerhet, internkontroll og sletting. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Til stede under kontrollen 2.1 Fra virksomheten: - Fredrik Messel, direktør skadeoppgjør bedrift - Tommy Nygren, IT-sjef 2.2 Fra Datatilsynet: - Mari Hersoug Nedberg, seniorrådgiver - Stein Erik Vetland, overingeniør 3 Generelt Protector Forsikring ASA er et skadeforsikringsselskap med konsesjon fra Finanstilsynet til å drive skadeforsikring, jf. forsikringsvirksomhetsloven 2-1. Selskapet ble stiftet 9. januar 2003 og tok da over den norske delen av markedet til Swiss Re, senere Gabler Rådgivning. Protector fikk konsesjon fra Finanstilsynet i Navnet Protector har tidligere vært brukt av andre selskaper innen forsikring to ganger. Nåværende Protector har ikke driftsmessige forbindelser til disse selskapene. Protector Forsikring er størst i Norge på eierskifteforsikring. Ut over dette jobber selskapet primært opp mot næringslivet samt forsikring av norske kommuner. Selskapet selger gjennom meglere og har ikke direkte distribusjon av forsikring. Selskapet driver heller ikke med livsforsikring. 1 av 11
2 Selskapet har 105 ansatte lokalisert i Oslo. Selskapet ble børsnotert i 2007 og hadde en omsetning på rundt 1,2 milliarder kroner i Kort om bruk av personopplysninger samt formålet med behandlingene Protector er et forsikringsselskap med konsesjon fra Finanstilsynet, og vil i den sammenheng være avhengig av å innhente og behandle personopplysninger. Behovet for å innhente personopplysninger gjør seg spesielt gjeldende ved tegning av personforsikringer og ved skadeoppgjør. Personopplysninger som behandles i Protector omfatter blant annet: - personopplysninger, herunder fødselsnummer - helseopplysninger - opplysninger om arbeidstakere, herunder tilknytning til fagforening - straffbare forhold ved svik Datatilsynet har sett på behandlingen av personopplysninger i selskapet, primært behandlingen av helseopplysninger om forsikringstakere. 5 Grunnkrav til behandling av personopplysninger Det oppstilles en rekke grunnkrav til behandling av personopplysninger i personopplysningsloven 11. Personopplysninger skal kun behandles dersom det foreligger et behandlingsgrunnlag for dette etter personopplysningsloven 8 og 9. Den behandlingsansvarlige skal også sørge for at personopplysningene som behandles bare brukes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, jf. personopplysningsloven 11 bokstav b). Videre stilles det i personopplysningsloven 11 bokstav e) et krav om at opplysningene som behandles er korrekte og oppdaterte, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen, jf. 28. Opplysningene skal slettes med mindre de deretter skal oppbevares i henhold til arkivloven eller annen lovgivning. 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Innledende bemerkninger Datatilsynet vil i det følgende gjennomgå hvilke krav som stilles i regelverket, jf. lovkrav, beskrive hvilke funn som ble gjort under det stedlige tilsynet, jf. funn, foreta en vurdering av forholdet opp mot regelverket, jf. Datatilsynets vurdering, og konkludere, jf. konklusjon. 6.2 Melde- og konsesjonsplikt Lovkrav Det følger av personopplysningsloven 33 at det kreves konsesjon fra Datatilsynet for å behandle sensitive personopplysninger. Videre følger det uttrykkelig av personopplysningsforskriften 7-2 at forsikringstilbydere er underlagt konsesjonsplikt etter personopplysningsloven for behandling av personopplysninger for kundeadministrasjon, fakturering og gjennomføring av forsikringsavtaler. 2 av 11
3 På Datatilsynets nettsider ligger standardkonsesjon for forsikringstilbydere tilgjengelig, Det følger av standardkonsesjonen punkt 6 at: Den behandlingsansvarlige skal hvert tredje år sende Datatilsynet bekreftelse på at behandlingen skjer i overensstemmelse med søknaden og personopplysningslovens regler Funn Advokatfirma MNA Kogstad Lunde & Co. DA orienterte i brev av 19. og 24. januar 2012 om navneendring da virksomheten er blitt kjent med at navn hos tilsynet beklageligvis ikke synes å være oppdatert, jf. brev av 19. januar Det vises til at: Konsesjon til å behandle personopplysninger er formodentlig fremdeles registrert under navnet Gabler Rådgivning AS (opprinnelig navn på søknadspliktig var Swiss Reinsurance Norway AS i praksis forkortet til Swiss Re). Oppdatert og således rett navn på den konsesjonspliktige skal være Protector Forsikring ASA. I forbindelse med fusjon er det trolig ikke fanget opp behovet for å underrette Datatilsynet om navneendringen Vi benytter samtidig anledningen til å meddele at behandlingsansvarlig i selskapet har gitt oss instruks om å meddele på vegne av forsikringsselskapet Protector Forsikring ASA at behandlingen av personopplysninger fremdeles skjer i overensstemmelse med søknaden og personopplysningslovens bestemmelser. Selskapet Swiss Re ble gitt konsesjon 20. februar 2002, jf. DT ref. 2001/ ACM/-. Konsesjonen ble gitt for en tidsbegrenset periode frem til 1. januar I brev av 27. mai 2002 ble det søkt om en utvidelse av konsesjonen, med særlig henblikk på elektronisk lagring av personopplysninger. Datatilsynet ga i brev av 19. juni 2002 en utvidelse av konsesjonen. Konsesjonen inneholdt et vilkår om at den behandlingsansvarlige hvert tredje år skulle sende bekreftelse til Datatilsynet på at behandlingen skjer i overensstemmelse med personopplysningsloven. For øvrig henvises det til vilkår i Rammekonsesjon for forsikringsvirksomhet. I brev av 21. oktober 2003 orienterer Trond Høye for Gabler Rådgivning AS om at: Swiss Re Norway AS har skiftet navn til Gabler Rådgivning AS. Gabler Rådgivning AS har ikke videreført forsikringskonsesjonen men fortsetter for øvrig den samme aktiviteten som Swiss Re Norway AS knyttet til rådgivning og administrasjon av et enkelt risikoprodukt 3 av 11
4 Tilsynet orienterer i brev av 14. november 2003 adressert til Gabler Rådgivning AS om at: Datatilsynet velger å ikke overføre konsesjonen til Gabler Rådgivning AS da virksomheten ikke fremstår å ha selvstendig formål med den behandling av personopplysninger som foretas. Brevet beskriver videre at Datatilsynet etter en ny vurdering forstår faktum slik at Gabler Rådgivning AS opptrer på vegne av distributører av forsikringsavtaler ved å gjennomføre den helsevurdering som er nødvendig ved inngåelse av avtaler om livsforsikring. Dette fremstår som en databehandleroppgave, og er således ikke underlagt konsesjonsplikt da konsesjonsplikten rettes mot den behandlingsansvarlige, jf. personopplysningsloven 33 jf. personopplysningsforskriften 7-2. Virksomheten gjøres avslutningsvis oppmerksom på muligheten til å kommentere Datatilsynets vurdering, herunder om virksomheten mener at Gabler Rådgivning AS har et selvstendig behandlingsgrunnlag. Datatilsynet har ikke mottatt kommentarer fra virksomheten på denne vurderingen. I brev av 20. februar 2012 fra Kogstad Lunde & Co anføres det at ingen i Protector har vært kjent med brevet eller innholdet i brevet frem til den 14. februar Det følger videre at: Protector var av den oppfatning at selskapet hadde konsesjon fra Datatilsynet og har i de påfølgende årene tilstrebet å etterleve tilsynets ulike krav. Gjennomføringen av kjøp av 100 % av aksjene i Gabler Liv var betinget av endelig godkjenning fra Finanstilsynet. Avtalen om kjøp ble inngått i oktober Ettersom det tok tid å få gjennomført avtalen sendte Protector melding iht. personopplysningsloven 31 til Datatilsynet medio november Protector beklager sterkt manglende rapportering til tilsynet om de ulike endringene i virksomheten. Virksomheten har imidlertid hele tiden forholdt seg til at den har hatt konsesjon fra Datatilsynet, og det er etablert rutiner for å overholde det til enhver tid gjeldende regelverk. Søknad om konsesjon for behandling av personopplysninger for gjennomføring av forsikringstjenester fra Protector ble journalført 23. februar Datatilsynets vurdering Datatilsynet noterer selskapets anførsel om at Protector var av den oppfatning at selskapet hadde konsesjon. Dokumentasjonen i saken tilsier imidlertid entydig at konsesjon til å behandle personopplysninger ble trukket tilbake 14. november Selskapets anførsel om at ingen i virksomheten har kjent til dette brevet noteres imidlertid. Det bemerkes dog at virksomheten heller ikke har senere sendt inn bekreftelse i tråd med krav oppstilt i tidligere gjeldende konsesjon. Videre tyder øvrige funn på at manglende konsesjon har hatt innvirkning på virksomhetens behandling av personopplysninger, jf. punkt Melding med referansenummer ble registrert 18. november Meldingen utløp 18. november av 11
5 Det bemerkes at den behandlingsansvarlige plikter å sørge for at krav oppstilt i personopplysningsloven med forskrift overholdes. Kravet om konsesjon er en grunnleggende forpliktelse for den behandlingsansvarlige, spesielt i tilfeller hvor kravet om konsesjon er regulert særskilt Konklusjon Manglende konsesjon anses som et brudd på personopplysningsloven 33 jf. personopplysningsforskriften Internkontroll rutiner Lovkrav Etter personopplysningsloven 14 skal den behandlingsansvarlige etablere og holde ved like planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjenglig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjenglig for Datatilsynet og Personvernnemnda. Internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner, samt ha denne dokumentasjonen tilgjenglig for de den måtte angå. Personopplysningsforskriften kapittel 3 utleder systematiske tiltak som skal sikre at internkontroll er i samsvar med personopplysningsloven 14. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av personopplysningsloven, med særlig vekt på bestemmelser gitt i medhold av personopplysningsloven 13. Det følger av personopplysningsforskriften 3-1 at den behandlingsansvarlige skal ha rutiner for oppfyllelse av sine plikter og registrertes rettigheter etter det til enhver tid gjeldende personvernregelverk, herunder ha rutiner for a) innhenting og kontroll av de registrertes samtykke, jf. personopplysningsloven 8, 9 og 11, b) vurdering av formål med behandling av personopplysninger i samsvar med personopplysningsloven 11 bokstav a, c) vurdering av personopplysningenes kvalitet i forhold til det definerte formålet med behandling av opplysningene, jf. personopplysningsloven 11 bokstav d og e, 27 og 28, samt oppfølging av eventuelle avvik, f) oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt, jf. personopplysningsloven 31 til av 11
6 6.3.2 Funn I varsel om kontroll ba Datatilsynet om å få oversendt dokumentasjon knyttet til nærmere angitte punkter. Tilsynet fikk oversendt etterspurt dokumentasjon 26. januar En ny versjon av internkontrollen ble presentert under den stedlige kontrollen. Tilsynet ba blant annet om de siste ti avvikene som var registrert i virksomheten. I brev av 26. januar 2012 punkt g) står det at Protector har ikke registrert avvik. Etter det Datatilsynet kjenner til forelå heller ingen rutiner for innhenting og kontroll av samtykke, vurdering av formål med behandlingen av personopplysninger samt vurdering av personopplysningenes kvalitet. Enn videre forelå det ikke rutiner for melde- og konsesjonsplikt, og sletting etter personopplysningsloven 28. I forkant av tilsynet mottok Datatilsynet en henvendelse knyttet til bruk av fullmaktskjema hos Protector. Det ble vist til at selskapet benyttet skjemaet Fullmakt, som ble fremlagt av Protector under stedlig tilsyn. Skjemaet inneholder følgende erklæring: Undertegnede har meldt personskade etter ulykke til Protector Forsikring ASA. For å kunne behandle saken videre er det nødvendig for Protector å innhente nærmere medisinske opplysninger vedrørende helsetilstanden samt opplysninger knyttet til de økonomiske forhold de siste 10 år. Formålet med å innhente opplysningene er å danne grunnlag for Protectors vurderinger av de helsemessige og økonomiske konsekvensene som følge av ulykken. Fullmakten gir Protector Forsikring ASA adgang til å innhente opplysninger/dokumenter fra leger, sykehus, behandlere, trygdekontor og likningskontor. Opplysningene kan innhentes fra følgende instanser (vennligst fyll ut) Fullmakten fulgte brev adressert til lege, hvor det står at: Ovennevnte har fremsatt krav mot Protector Forsikring ASA om erstatning. I den anledning ber vi om å få tilsendt kopi av journalen. Ved oversendelse ber vi Dem vennligst henvise til vårt skadenummer. Formålet med opplysningene er å få et best mulig grunnlag for å vurdere omfanget av de helsemessige konsekvensene som skaden har medført, herunder behovet for å innhente en vurdering av den medisinske invaliditeten. Datatilsynet ba under kontrollen om å få se nærmere på fem tilfeldige saker hvor det hadde blitt innhentet helseopplysninger. I samtlige saker var dette fullmaktsskjema blitt brukt, og sakene inneholdt følgelig hele eller store deler av pasientjournaler. 6 av 11
7 6.3.3 Datatilsynets vurdering Tilsynet påpeker viktigheten av at det ikke innhentes flere opplysninger enn det som er nødvendig, jf. personopplysningsloven 11 jf. 9 og 8. Videre fremheves kravene til et gyldig samtykke, jf. personopplysningsloven 2 nr. 7, hvoretter et samtykke skal være frivillig, uttrykkelig og informert. Det vises i forlengelsen av dette til merknader til standardkonsesjon for forsikringsvirksomhet hvor det fremgår at: Mulige informasjonskilder må oppgis samtidig med avgivelse av samtykke. Når kilden skal benyttes, må forsikringsselskapet overfor den registrerte, særskilt angi ønsket informasjonskilde (for eksempel navngitt lege og navngitt behandlingsinstitusjon) og hvilke forhold det ønskes mer informasjon om. Slik spesifisering er svært viktig, slik at fullmakten kan utformes i samsvar med reglene for opphevelse av taushetsplikt og samtykket kan sies å være informert. Innhenting av informasjon fra kilder som ikke er oppgitt av den registrerte, krever selvstendig samtykke. Etter at Datatilsynet varslet kontroll har Protector gjennomgått hvordan virksomheten behandler personopplysninger. Virksomheten har gått gjennom etablerte rutiner, og har samlet dokumenter som tidligere har vært spredt. Det ble også avdekket at selskapet manglet enkelte rutiner. Manglende rutiner har imidlertid blitt utarbeidet og delvis utbedret i forkant av det stedlige tilsynet. Dette gjelder også bruk av fullmaktskjema hvor det nå differensieres mellom basisfullmakt, utvidet fullmakt I og utvidet fullmakt II. Fullmaktene bygger ikke på standardmal fra FNO (tidligere FNH). Datatilsynet ser at kontrollen har vært en katalysator for gjennomgang og revisjon av internkontroll i virksomheten. Virksomheten har identifisert mangler i eksisterende internkontroll og supplert denne. Ved at virksomheten ikke tidligere har hatt avviksrapportering kan det være særlig vanskelig å kunne identifisere problemområder og iverksette tilstrekkelige tiltak for å rette på forholdet. Manglende rapportering av avvik gjør det også svært vanskelig for tilsynet å avdekke om virksomheten jobber systematisk med tiltak for å forbedre behandlingen Konklusjon Manglende avviksrapportering er en indikator på at avvikshåndteringen er mangelfull. Datatilsynet nøyer seg med å påpeke viktigheten av et effektivt rapporteringssystem, jf. personopplysningsloven 14. Tilsynet påpeker videre viktigheten av at det ikke innhentes flere opplysninger enn det som er nødvendig, jf. personopplysningsloven 11 jf. 9 og 8 samt krav til gyldig samtykke, jf. personopplysningsloven 2 nr. 7. Det vises for øvrig til merknader til standardkonsesjon for forsikringsvirksomhet. 6.4 Internkontroll oversikt over behandlinger og behandlingsgrunnlag Lovkrav Personopplysningsforskriften 3-1 fastsetter at den behandlingsansvarlige skal etablere internkontroll i samsvar med personopplysningsloven 14. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å 7 av 11
8 etterleve krav gitt i eller i medhold av personopplysningsloven. Det legges særlig vekt på bestemmelser gitt i medhold av personopplysningsloven 13. For å kunne etablere internkontroll må virksomheten identifisere hvilke personopplysninger som virksomheten trenger å behandle Funn I varsel om kontroll av 17. januar 2012 etterspurte Datatilsynet en rekke dokumenter, herunder styrende dokumenter for internkontroll og gjennomførende rutiner i internkontrollen. Det ble blant annet bedt om en oversikt over virksomhetens behandlinger av personopplysninger og beskrivelse av det rettslige grunnlaget for virksomhetens behandlinger av personopplysninger, jf. b). Tilsynet fikk oversendt en versjon sammen med etterspurt dokumentasjon 26. januar En ny versjon ble presentert under den stedlige kontrollen. Oversendt dokumentasjon inneholdt flere mangler, som i stor grad er utbedret i ny versjon. Datatilsynet vil i det følgende ta utgangspunkt i den siste versjonen. I dokumentet Styringsdokument internkontroll personopplysninger punkt 2 er det listet opp hvilke personopplysninger som behandles: - Opplysninger om personlige forhold, herunder personnummer og lignende - Straffbare forhold (f eks i sviksaker) - Helseopplysninger - Arbeidstageres forhold, herunder tilknytning til fagforeninger og lignende I punkt 3 vises det til at virksomheten er avhengig av å innhente og behandle personopplysninger for å kunne oppfylle sine forpliktelser for å kunne selge og behandle forsikringssaker. Det presiseres at dette gjør seg spesielt gjeldende ved tegning av personforsikringer og ved skadeoppgjør Datatilsynet vurdering Personopplysningsforskriften 3-1 forutsetter at virksomheten har en oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke opplysninger som inngår i disse. Det kreves videre en oversikt over hvilket behandlingsgrunnlag som ligger til grunn for den enkelte behandling. Oversikten er nødvendig for at virksomheten skal kunne ivareta pliktene sine. Oversikten skal også danne grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved risikovurderinger. Dokumentasjonen til virksomheten inneholder kun en grov oversikt over noen opplysningstyper. I tillegg mangler en oversikt over behandlingsgrunnlag, jf. personopplysningsloven 9 jf av 11
9 6.4.4 Konklusjon Den manglende oversikten anses som et brudd på personopplysningsforskriften Forholdsmessig sikring av personopplysninger Lovkrav Det følger av personopplysningsloven 13 at den behandlingsansvarlige gjennom planlagte og systematiske tiltak skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjenglighet ved behandling av personopplysninger. Utfyllende bestemmelser finnes i kapittel 2 i personopplysningsforskriften. Personopplysningsforskriftens 2-1 stiller krav om forholdsmessighet ved tiltakene skal stå i forhold til sannsynlighet og konsekvens av sikkerhetsbrudd. Personopplysningsforskriftens 2-11 stiller krav om konfidensialitetssikring hvor nødvendig, og 2-14 stiller krav om at sikkerhetstiltak etableres. Etter forskriftens 2-14, 3. ledd skal sikkerhetstiltak omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre Funn Virksomheten har valgt å legge alle ansatte i samme Active Directory. Virksomheten lagrer sensitive personopplysninger i mapper hvor det er satt begrensinger i hvilke ansatte som har tilgang. De ansatte som har tilgang til mappen har tilgang til alle saker. For etablering og endringer av tilgang, må avdelingslederne fylle ut et skjema som oversendes til databehandler for effektuering. Denne oversendelsen gjøres kun av en person i selskapet. Under kontrollen instruerte tilsynet en av de ansatte, som har tilgang til sensitive personopplysninger, til å merke et dokument med sensitive personopplysninger og høyreklikke. Et av valgene som da kommer opp er Send til. Ved å fullføre e-posten med mottakeradresse ville den ansatte kunne sende e-posten direkte. Det er ikke innført sikkerhetstiltak for sensitive personopplysninger som i vesentlig grad begrenser faren for uautorisert lesing, uautorisert eller uaktsom utlevering, eller utlevering ved datainnbrudd Datatilsynets vurdering Datatilsynet har gjennom forvaltningspraksis stadfestet at sensitive personopplysninger skal beskyttes med to uavhengige tekniske sikkerhetstiltak 2. Løsningen som virksomheten har valgt for sin lagring av sensitive personopplysninger er lagt på det tilsynet anser som et alminnelig sikkerhetsnivå hvor det er lagt til rette for ekstern kommunikasjon. Alminnelige tiltak for å etablere ytterligere sikkerhet er sonedeling av informasjonssystemet (bruk av sikre soner) eller at det knyttes overvåking til særskilt beskyttelsesverdige opplysninger (som innholdsmarkering) 2 Det vises som eksempel også til tilsvarende vurderinger nedfelt i Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren 9 av 11
10 Datatilsynet har ikke vurdert om det burde vært innført ytterligere tilgangsstyring for hvilke opplysninger de ansatte gis tilgang til, for eksempel gjennom bruk av et fagsystem hvor tilgangen kan begrenses til de som arbeider med en konket sak Konklusjon Datatilsynet anser manglende konfidensialitetssikring av sensitive personopplysninger for å være et brudd på personopplysningsloven 13, jf personopplysningsforskriften 2-1, 2-11 og Kommunikasjon Lovkrav Krav til informasjonssikkerhet fremgår av personopplysningsloven 13 jf. personopplysningsforskriften kapittel 2, jf. punkt Det følger av personopplysningsforskriften 10-2 at: Postsendinger som inneholder fødselsnummer skal være utformet slik at nummeret ikke er tilgjengelig for andre enn adressaten. Tilsvarende gjelder sendinger som formidles ved hjelp av telekommunikasjon. Av dette følger at det er behov for konfidensialitetsbeskyttelse, og kravet etter personopplysningslovens 13, jf. personopplysningsforskriftens 2-11 kommer til anvendelse Funn Datatilsynet så i forkant av tilsynet på Protectors nettsider, blant annet på fanen Hvordan melde en skade. Man fikk da informasjon om at: Du kan melde skade per e-post eller telefon En skademelding må inneholde: Forsikringstagers navn og polisenummer Forsikredes navn og personnummer Detaljert beskrivelse av skadens tidsforløp, tilstand og omfang E-postadressene skade_barn@protectorforsikring.no og skade_liv@protectorforsikring.no ble oppgitt. Disse ble rutet videre til en annen adresse da virksomheten ikke tilbyr livsforsikring og heller ikke tilbyr barneforsikring gjennom nettsidene. Nettsiden inneholdt også et kontaktskjema med åpne tekstfelt, deriblant feltet Beskriv skade:. 10 av 11
11 6.6.3 Datatilsynets vurdering Det følger av krav oppstilt i personopplysningsforskriften 2-11 og 10-2 at fødselsnummer ikke skal sendes elektronisk, med mindre kommunikasjonen er kryptert. En oppfordring til å sende slike opplysninger over en ukryptert Internettløsning vil derfor at innebære at virksomheten legger til rette for en praksis i konflikt med kravene i personopplysningsforskriftens 2-11 og Det bemerkes også at det er uheldig at man oppfordres til å beskrive skaden i et åpent merknadsfelt, uten at det presiseres at sensitive personopplysninger ikke bør kommuniseres på denne måten Konklusjon At det legges til rette for usikker kommunikasjon av fødselsnummer inn til virksomheten er et avvik fra personopplysningslovens 13, jf. personopplysningsforskriftens Det bemerkes at virksomheten i etterkant har tatt bort de omtalte e-postadressene fra nettsiden, samt fjernet informasjon om hva skademeldingen må inneholde, herunder krav til personnummer. 11 av 11
Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger.
Virksomhet XY Postboks 1234 9999 STED Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00431-15/XXX 8. juli 2011 Konsesjon forsikring XY Det vises til søknad av xx.xx.xxxx om konsesjon til
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerEndelig kontrollrapport for Protector Forsikring ASA - Vedtak om overtredelsesgebyr
Protector Forsikring ASA Postboks 1351 Vika 0113 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00060-8/MHN 24. mai 2012 Endelig kontrollrapport for Protector Forsikring ASA - Vedtak
DetaljerEndelig kontrollrapport
Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerEndelig kontrollrapport
Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerEndelig kontrollrapport
Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik
DetaljerEndelig kontrollrapport
Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig
DetaljerKontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg
Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerEndelig kontrollrapport
Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand
DetaljerEndelig Kontrollrapport
Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal
Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre
Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte
DetaljerEndelig kontrollrapport
Saksnummer: 12/00057 Dato for kontroll: 18.01.2012 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Paulsens Hotell AS Sted: Lyngdal Utarbeidet av: Stein Erik Vetland 1 Innledning Datatilsynet
DetaljerKontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger
Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerKontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler
Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerEndelig kontrollrapport
Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi
DetaljerBrevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak
TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak
DetaljerKontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten
Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund
Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning
DetaljerDatabehandleravtale. Denne avtalen er inngått mellom
Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerHvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015
Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets
DetaljerAvslutning av sak og endelig kontrollrapport - Kontroll hos Blålys
Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerEndelig kontrollrapport
Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerEndelig kontrollrapport
Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerEndelig kontrollrapport
Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerDatabehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden
Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerKonkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale
Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerVedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og
DetaljerDatabehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021
Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerVedtak om pålegg - Endelig kontrollrapport for Bindal kommune
Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport
DetaljerPersonvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerSporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.
Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver
DetaljerKontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger
Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen
DetaljerKontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby
Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom..kommune Behandlingsansvarlig og
DetaljerKontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø
Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen
DetaljerEndelig kontrollrapport
Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning
DetaljerDatabehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg
I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse
DetaljerPERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA
PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA 1. Innledning Denne personvernerklæringen gjelder for Fend advokatfirma DA («Fend»). Vi er behandlingsansvarlige for behandlingen av personopplysninger som
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerVår referanse (bes oppgitt ved svar)
Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift
DetaljerKontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik
Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand
DetaljerVedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet
Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerUnder henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :
YFF - databehandleravtale Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte 29.04.2015: Sak til behandling: Delegering av fullmakt til
DetaljerKF Brukerkonferanse 2013
KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerKontrollrapport. Kontrollobjekt: Telenor Objects AS Sted: Fornebu
Saksnummer: 14/01291 Dato for kontroll: 02.12.2014 Rapportdato: 30.03.2015 Kontrollrapport Kontrollobjekt: Telenor Objects AS Sted: Fornebu Utarbeidet av: Camilla Nervik 1 Innledning og bakgrunn for kontrollen
DetaljerDet vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.
Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets
DetaljerVedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet
Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy
DetaljerKontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord
Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning
DetaljerVedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011
Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerForeløpig kontrollrapport
Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas
DetaljerDe opplysningene vi henter inn skal være tilstrekkelige og relevante for å behandle saken din. Opplysningene skal være av så god kvalitet som mulig.
Les dette før du fyller ut skjemaet Vi ber deg fylle ut alle feltene i skjemaet nøye. Felt merket med stjerne * må fylles ut. Noen felt har en forklarende tekst. Denne bør du lese før du fyller ut feltet.
DetaljerVedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale
Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
Detaljer14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet
Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerVi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.
Lier kommune Postboks 205 3401 LIER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00141-9/MEI 22. oktober 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll
DetaljerPERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL
PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL (Org.nr. 916 487 703) Sist endret: 05.10.2018 Denne personvernerklæringen gjelder for Advokatfirma Omdal ("vi" eller "oss"). Vi er behandlingsansvarlige for behandlingen
DetaljerPERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)
PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN) Behandling av personopplysninger i Newsec Basale AS Når du bruker nettsiden vår og/eller er i kontakt med oss vil Newsec Basale AS behandle personopplysninger
DetaljerDet vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.
Eniro Norge AS avd Trondheim Postboks 2333 7004 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00721-5/MHN 29. august 2011 Vedtak - endelig kontrollrapport for Eniro Norge AS Det
DetaljerEksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)
Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter
DetaljerBARNEFORSIKRING - EGENERKLÆRING VED KRAV OM ERSTATNING
RETURADRESSE: Storebrand Livsforsikring AS PB 500 Lysaker 1327 Lysaker VELG ÅRSAK.: BARNEFORSIKRING - EGENERKLÆRING VED KRAV OM ERSTATNING AVTALENR./POLISENR.: Behandling av personopplysninger Storebrand
DetaljerPERSONVERNERKLÆRING FORUM SECURITIES AS
PERSONVERNERKLÆRING FORUM SECURITIES AS Nytt personvernregelverk ble innført i Norge gjeldende fra 1. juli 2018 og Forum Securities AS har oppdatert sin personvernerklæring i tråd med det nye regelverket.
DetaljerSporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler
Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,
DetaljerEndelig kontrollrapport
Saksnummer: 13/01089 Dato for kontroll: 08.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014
Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll
DetaljerSkytjenester. Forside og Databehandleravtale. Telenor Norge
Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976
DetaljerAdressemekling. Innhold INNLEDNING AKTØRENE
Adressemekling Oppdatert februar 2012 Innhold Adressemekling... 1 INNLEDNING... 1 AKTØRENE... 1 1. Når kan man foreta mekling uten samtykke?... 2 2. Når krever bruk av adresselister samtykke?... 3 3. Den
DetaljerEndelig kontrollrapport
Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig
DetaljerPERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )
PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR.994 236 016) (Sist endret 05.07.2018) Denne personvernerklæringen gjelder for Advokatfirmaet Even Solbraa-Bay. Jeg er behandlingsansvarlig
DetaljerDeres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014
Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerPERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om
PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS Sist endret: 20.07.2018 Denne personvernerklæringen gjelder for Larsen Advokatfirma AS («vi»). Vi er behandlingsansvarlige for behandlingen av personopplysninger
DetaljerPersonvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet
Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens
DetaljerAvtale om leveranse av IKT-tjenester. Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:
DetaljerVår referanse (bes oppgitt ved svar)
Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til
DetaljerVedtak om pålegg - Endelig kontrollrapport for Vega kommune
Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune
DetaljerKontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer
Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerPersonvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen
Det frivillige Skyttervesen Del 1 Personvernerklæring Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1 av
DetaljerForeløpig kontrollrapport
Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand
DetaljerBEHANDLING AV PERSONOPPLYSNINGER
BEHANDLING AV PERSONOPPLYSNINGER 1.0 Innledning 1.1 Definisjon av personopplysninger 1.2 Behandlingsansvarlig 1.3 Vilkår for å behandle personopplysninger 1.3.1 Samtykke 1.3.2 Krav om informasjon 1.3.3
DetaljerPersonvern-rett H2016
Personvern-rett H2016 Aktualitet - mål Alle virksomheter som behandler personopplysninger - og det er de fleste - må sørge for å opptre iht. personopplysningsloven. Virksomheten er ansvarlig, og kan ikke
DetaljerDatabehandleravtale. Charlotte Lindberg Difi
Databehandleravtale Charlotte Lindberg Difi Hvorfor er denne avtalen så viktig? En databehandleravtale skal sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en klar ramme
DetaljerPersonvern og informasjonssikkerhet
Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1
DetaljerEndelig kontrollrapport
Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
Detaljer