Vår referanse (bes oppgitt ved svar) Dato 2013/518 13/ /MEP 20. juni 2013

Størrelse: px
Begynne med side:

Download "Vår referanse (bes oppgitt ved svar) Dato 2013/518 13/00093-9/MEP 20. juni 2013"

Transkript

1 Universitetssykehuset Nord-Norge Norge HF Postboks TROMSØ Deres referanse Vår referanse (bes oppgitt ved svar) Dato 2013/518 13/ /MEP 20. juni 2013 Vedtak om pålegg - endelig kontrollrapport- Universitetssykehuset i Nord- Norge - helseforskning Det vises til Datatilsynets kontroll hos Universitetssykehuset i Nord-Norge Norge HF den 21. februar 2013 og Datatilsynets varsel om vedtak av 18. april Vurdering av tilsvar Datatilsynet har i brev av 21. mai 2013 mottatt virksomhetens merknader til varselet. Vi har endret kontrollrapporten i tråd med UNNs kommentarer. Vi har også gjort noen ytterligere presiseringer i rapportens avsnitt UNN anfører følgende kommentarer til Datatilsynet varslede vedtak 6 (sikkerhet ved bruk av hjemmekontorløsning): 1. Sikkerhetsrisikoen for bruk av hjemmekontorløsning for dedikerte personer er vurdert som tilfredsstillende. 2. Forskningsdata er normalt lagret avidentifisert 3. Autentiseringsløsningen for hjemmekontortjenesten vil bedres i 2016 Til punkt 1 har Datatilsynet kommentert på Datatilsynets myndighet til å overprøve virksomheters s vurdering av risiko i endelig kontrollrapport, jf. rapportens avsnitt Det framgår av rapportens konklusjon at Datatilsynet ikke er enig med UNN i at denne risikoen er tilfredsstillende. Til punkt 2 vil det etter Datatilsynets standpunkt ikke være noe i veien for å tilgjengeliggjøre reelt anonyme data ved hjelp av hjemmekontorløsning med dagens autentiseringsregime. Dersom tilgjengeliggjorte forskningsdata derimot kan inneholde personopplysninger vil Datatilsynets vurderinger fullt ut være gjeldende. Til punkt 3 er Datatilsynets standpunkt at 2016 ikke er en akseptabel tidsramme for gjennomføring av Datatilsynets pålegg. Datatilsynet vil derfor vedta pålegg 6 i tråd med varselet. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 Vedtak om pålegg Med hjemmel i helseforskningsloven 52 gir Datatilsynet følgende pålegg: 1. UNN må utvide sin oversikt over helseforskningsprosjekter til å omfatte også opplysning om prosjektenes planlagte og faktiske sluttdato, vilkår stilt av REK, samt hva som er behandlingsgrunnlag for behandling av person- og/eller helseopplysninger. Dette for å få en reell oversikt og kontroll med helseforskningsprosjekt, jf. krav om til internkontroll etter helseforskningslovens 6, jf. forskriften 4 b) og c). Det vises til tilsynsrapportens avsnitt UNN må utarbeide rutine for å vurdere hvorvidt det foreligger en selvstendig informasjonsplikt overfor registrerte i forskningsprosjekter, jf. personopplysningsloven 20, jf. helseforskningslovens 6, jf. helseforskningsforskriften 4. Det vises til tilsynsrapportens avsnitt UNN må utarbeide rutine for sletting / anonymisering av prosjektdata ved avslutning av prosjekter, jf. helseforskningslovens 6, jf. forskriften 4 d), jf. helseforskningsloven 38. Det vises til tilsynsrapportens avsnitt UNN må utarbeide rutine for kontroll med forskningsprosjekter, jf. helseforskningslovens 6, jf. forskriften 3 og 4. Det vises til tilsynsrapportens avsnitt UNN må etablere et system for kontroll av prosjekters oppfyllelse av vilkår gitt av REK, jf. helseforskningslovens 6, jf. forskriften 4. Det vises til tilsynsrapportens avsnitt UNN må etablere tilfredsstillende informasjonssikkerhet ved tilgjengeliggjøring av helseopplysninger ved bruk av hjemmekontorløsning, jf. personopplysningsloven 13, 1. ledd, ref. personopplysningsforskriften 2-11, 1. ledd. Det vises til tilsynsrapportens avsnitt Datatilsynet gir frist for gjennomføring av pålegget/ene til 1. desember UNN må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. 2

3 Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen sju uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at virksomheten har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Marius Engh Pellerud rådgiver Kopi: REK Nord-Norge, TANN-bygget, Universitetet i Tromsø, 9037 TROMSØ Statens Helsetilsyn, Postboks 8128 Dep, 0032 OSLO Vedlegg: Endelig kontrollrapport 3

4 Saksnummer: 13/00093 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Universitetssykehuset i Nord- Norge HF (UNN) Sted: Tromsø Utarbeidet av: Marius Engh Pellerud Dana Irina Jaedicke Eirin Oda Lauvset 1 Innledning Datatilsynet gjennomførte kontroll hos Universitetssykehuset i Nord-Norge Norge HF (UNN) 21. februar Formålet med kontrollen var å vurdere virksomhetens behandling av helseopplysninger i helseforskningsprosjekter etter de krav som helseforskningsloven og personopplysningsloven med forskrifter oppstiller. Gjennomføringen av kontrollen fant sted med hjemmel i helseforskningslovens 47 og personopplysningsloven 42, tredje ledd og 44. Kontrollen fant sted ved virksomhetens faste forretningsadresse. Datatilsynet ser behov for å følge opp utviklingen etter ikrafttredelsen av helseforskningsloven. Loven innførte prinsippet om én postkasse og de regionale etiske komiteer for medisin og helsefaglig forskningsetikk (REK) overtok 1. juli 2009 oppgaver som tidligere lå hos Helsedirektoratet og Datatilsynet. Datatilsynet gjennomførte i 2011 to kontroller ved to helseforskningsinstitusjoner. For å følge opp utviklingen på området har Datatilsynet gjennomført kontroller av to andre forskningsinstitusjoner. Fokuset i disse to kontrollene er hvordan internkontroll og informasjonssikkerhet ivaretas ved to virksomheter som gjennomfører helseforskning. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Gjennomføring av kontrollen 2.1 Oversendelse av dokumentasjon Datatilsynet ba i varselet av 28. januar 2013 om at UNN oversendte følgende dokumentasjon: 1. oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, 2. virksomhetens styrende dokumentasjon for internkontroll, jf. helseforskningsloven 6 annet ledd, forskrift om organisering av helseforskning 4 og helseregisterlovens 17 med forskrifter. 3. virksomhetens styrende dokumentasjon for informasjonssikkerhet, jf helseregisterlovens 16, jf. personopplysningsforskriftens 2-3 og 2-7 (sikkerhetsmål, sikkerhetsstrategi og organisering), 4. virksomhetens rutiner utarbeidet for helseforskning, jf. helseforskningsloven 6 jf. forskrift om organisering av helseforskning 4. 1 av 18

5 5. virksomhetens risikovurderinger etter helseregisterlovens 16, jf. personopplysningsforskriftens 2-4 omhandlende konfidensialitet, integritet og tilgjengelighet for helseforskningsprosjekter, 6. oversikt over helseforskningsprosjekter ved virksomheten, med følgende informasjon om: a. prosjektets formål, b. prosjektets rettslige grunnlag, c. antall registrerte, d. hvilke tillatelser er påkrevd og oppfølging av disse, e. identitetshåndtering og lagring av helseopplysningene i prosjektet f. hvorvidt det benyttes databehandler for prosjektet, g. hvorvidt opplysninger fra prosjektet utleveres, h. hvorvidt opplysninger fra prosjektet overføres til utlandet, i. eventuelle samarbeidsparter i prosjektet, og j. plassering av det daglige ansvaret for prosjektet, 7. navn og funksjon på de som deltar fra virksomheten under tilsynet, dersom det er avklart Dokumentasjon ble oversendt Datatilsynet i brev datert 8. februar Agenda Virksomheten fikk på forhånd oversendt en agenda for kontrollen. Åpningsmøte Innledende presentasjon av UNN Internkontroll o Forskningsansvarlig o Hvilke behandlinger foretas oversikt over forskningsprosjekter o Formålet med behandlingen o Innsyn og informasjonsplikt o Sletting Informasjonssikkerhet o Sikkerhetsledelse o Teknisk infrastruktur og gjennomgang av systemer o Risikovurderinger o Sikkerhetsrevisjon o Avvik o Opplæring o Sikkerhet hos andre virksomheter databehandlere Verifikasjoner av forskningsprosjekter Sluttmøte 2.3 Fokusområder for kontrollen - Virksomhetens internkontroll med hensyn til helseforskningsprosjekter 2 av 18

6 - Virksomhetens ivaretakelse av informasjonssikkerhet i helseforskningsprosjekter med blant annet fokus på kommunikasjon, lagring, identitetshåndtering og webbasert innhenting av sensitive opplysninger - Virksomhetens ivaretakelse av informasjonsplikten til de registrerte i helseforskningsprosjekter. - Virksomhetens oppfølging av vilkår og forutsetninger gitt i tillatelser for helseforskningsprosjekter. - Konkret ivaretakelse av regelverkets krav i utvalgte helseforskningsprosjekter. Dette ble gjennomført for å verifisere funn fra rutiner og informasjon fra virksomhetens ledelse. 2.4 Til stede fra virksomheten: - Einar Bugge, fungerende viseadministrerende direktør - Svein Ivar Bekkelund, fag- og forskningssjef - Sameline Grimsgaard, avdelingsleder, klinisk forskningsavdeling - Ole Martin R Sand, bioingeniør og biobankansvarlig - Trude Johannessen, rådgiver - Per Bruvold, sikkerhetssjef IKT og personvernombud - Annika Gustafsson, konstituert seksjonsleder - Trond Vegard Bjerke, forskningsleder klinisk psykiatrisk forskning - Dag Grønvoll, rådgiver/ monitor FFS 2.5 Til stede fra Datatilsynet: - Eirin Oda Lauvset - Dana Irina Jaedicke - Marius Engh Pellerud 3 Om Universitetssykehuset i Nord-Norge HF UNN er regionssykehus for Nordland, Troms, Finnmark og Svalbard og lokalsykehus for Troms og nordre Nordland. UNN har sykehusfunksjoner for over mennesker. UNN har 6000 ansatte på fire sykehus og flere andre lokasjoner. Årlig budsjett er på nesten seks milliarder kroner. UNN hadde i avlagte doktorgrader, 1600 studenter i praksis, publiserte 210 forskningsartikler og hadde 303 pågående forskingsprosjekter. 4 Om regelverket Lov 20. juni 2008 nr. 44 om medisinsk og helsefaglig forskning (helseforskningsloven) trådte i kraft 1. juli Samtidig trådte også forskrift 1. juli 2009 nr. 955 om organisering av medisinsk og helsefaglig forskning i kraft. Helseforskningslovens saklige virkeområde er regulert i lovens 2. Loven gjelder for medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger. Medisinsk og helsefaglig forskning er i helseforskningsloven 4 bokstav a definert som virksomhet som utføres med vitenskaplig metodikk for å skaffe til veie ny 3 av 18

7 kunnskap om helse og sykdom. Hvilke forskningsprosjekter som faller innenfor og utenfor lovens vireområde skal baseres på en konkret vurdering av forskningsprosjektets art og natur. Denne vurderingen foretas av de regionale etiske komiteer (REK). I den utstrekning ikke annet følger av helseforskningsloven, gjelder personopplysningsloven med forskrifter som utfyllende bestemmelser til helseforskningsloven, jf. helseforskningsloven 2 tredje ledd. I denne sammenheng er det lovens og forskriftens generelle krav om internkontroll som er mest relevant virksomheten må gjennom planlagte og systematiske tiltak sikre etterlevelse av regelverkets krav. Dette følger av helseforskningslovens 6 2. ledd og forskriftens 4. For å tilfredsstille kravet bør virksomheten, etter en alminnelig tilnærming for internkontroll, etablere styrende, gjennomførende og kontrollerende dokumenter. Internkontrollens styrende del forventes å dekke de overordende rammer, som oversikt over behandlinger, identifisering av plikter, ansvar og myndighet, og hvorledes internkontrollen følges opp i virksomheten. Den gjennomførende delen vil inneholde de nødvendige rutiner som skal følges. Gjennom den kontrollerende delen følger ledelsen opp at rutinene og regelverket etterleves i organisasjonen. Dette gjøres normalt gjennom interne revisjoner av praksis, avvikshåndtering og revisjoner av internkontrollen. For informasjonssikkerhet gjelder personopplysningsloven 13 og personopplysningsforskriftens kapittel 2 utfyllende. Dette følger av helseforskningslovens 2 3. ledd. Det bemerkes at tilsvarende bestemmelser om internkontroll og informasjonssikkerhet følger av helseregisterlovens 16 og 17 for behandling av helseopplysninger ved helseforetaket for andre formål enn helseforskning. Det er naturlig at det etableres felles internkontroll for etterlevelse av de ulike regelverkene, spesielt med hensyn til informasjonssikkerhet. Dette berøres imidlertid ikke nærmere i denne rapporten. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Overordnet internkontroll og sikkerhetsledelse helseforskning Helseforskningsloven 6 stiller krav til organiseringen av medisinsk og helsefaglig forskning. Bestemmelsens andre ledd fastslår at det skal føres internkontroll tilpasset virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Utfyllede bestemmelser er gitt i forskrift om organisering av helseforskning 3, 4, 5 og 6. I forskrift om organisering av helseforskning 3 fastsettes ledelsesansvaret for tilrettelegging og organisering arbeidet med helseforskning, herunder internkontroll og informasjonssikkerhet. I 4 stilles det, foruten krav til oversikt over hvilke regelverk som gjelder for helseforskning, krav til at det skal utarbeides og dokumenteres rutiner som setter prosjektleder og medarbeidere i virksomhetens forskningsprosjekter i stand til å overholde 4 av 18

8 disse kravene. Virksomheten skal videre føre oversikt over alle helseforskningsprosjekter som pågår i virksomheten og etablere system for håndtering av avvik Ledelsesforankring I følge helseforskningslovens 6, jf. forskriftens 4 a) skal forskningsansvarlig sørge for at ansvars- og myndighetsforhold er beskrevet i internkontrollen. Forskriftens 4 andre ledd fastslår dessuten at forskningsansvarlig kan delegere oppgaver til andre, men ikke ansvar. Dette betyr at helseforskning i en virksomhet må ha forankring i ledelsen. Representantene for UNN er klare på at ansvaret for at virksomheten overholder helseforskningslovens bestemmelser (databehandlingsansvarlig / forskningsansvarlig) er UNNs øverste ledelse, representert ved administrerende direktør. Rollen som forskningsansvarlig i det daglige er imidlertid delegert ned til den enkelte klinikksjef. Fag- og forskningssenteret fungerer som en støttefunksjon i tidlig fase av prosjektplanleggingen. De kontrollmekanismer som foreligger før søknad, ligger på klinikksjef. Ingen avvik konstatert Oversikt over helseforskning Helseforskningslovens 6, jf. forskriftens 4 b) fastslår at forskningsansvarlig skal føre en løpende oversikt over alle medisinske og helsefaglige forskningsprosjekter. Forskriftens 4 c) fastslår videre at forskningsansvarlig skal ha oversikt over de rettsregler som regulerer helseforskning, herunder vilkår som stilles for å kunne iverksette helseforskningsprosjekter. Fag- og forskningsavdelingen har utarbeidet en intern oversikt over samtlige pågående prosjekter ved helseforetaket, inkludert prosjekter igangsatt før helseforskningslovens ikrafttreden og for multisenterstudier foretaket deltar i. Oversikten inkluderte ikke faktisk sluttdato eller vilkår stilt av REK. Godkjenninger fra REK og interne tillatelser blir arkivert i virksomhetens arkivsystem. Personvernombudet har en sentral rolle med hensyn til å sørge for at oversikten over pågående prosjekter er oppdatert. Med sin oversikt over helseforskningsprosjekter har UNN et godt utgangspunkt for oppfyllelse av helseforskningslovens krav til oversikt og kontroll over prosjekter som reguleres av denne loven. I tillegg til de variabler som på kontrolltidspunktet ble registrert, ser Datatilsynet behov for at minimum følgende informasjon er systematisk tilgjengelig i oversikten: - planlagt sluttdato 5 av 18

9 - faktisk sluttdato - vilkår stilt i tillatelse fra REK - behandlingsgrunnlag (samtykke/ dispensasjon fra taushetsplikt/ annet) Etter Datatilsynets vurdering er dette opplysninger som er nødvendige for å ha en reell oversikt og kontroll med forskningsprosjektene. Det legges til grunn at foretaket på selvstendig grunnlag vurderer om eventuelle øvrige parametre er nødvendig i oversikten. Utilstrekkelig oversikt og kontroll med helseforskningsprosjekt er avvik fra krav om til internkontroll etter helseforskningslovens 6, jf. forskriftens 4 b) og c) Multisenterstudier og utleveringer Forskrift om organisering av medisinsk og helsefaglig forskning 6 fastsetter en del vilkår for igangsetting av multisenterstudier, herunder at multisenterstudier kun skal ha en prosjektleder, og at denne skal ha en koordinerende rolle og sørge for at helseforskningsloven følges. Det er utarbeidet rutiner for rolle og ansvarsplassering ved multisenterstudier, dvs forskningsprosjekter som finner sted ved flere virksomheter samtidig og etter samme protokoll (dokumentnummer PR23513). Rutinene fastsetter, bl. annet utnevnelsen av en norsk prosjektleder for deler av internasjonale forskningsprosjekter som finner sted i Norge. Databehandleransvaret (forskningsansvaret) ved multisenterstudier vil være delt, hver institusjon har ansvar for den delen av studien som utføres ved egen institusjon. Det skal inngås avtale for multisenterstudier. Den oversendte avtalemalen gjelder imidlertid klinisk legemiddelutprøving (dokumentnummer SJ3177). Det er uklart for Datatilsynet om avtalen kan benyttes ved andre typer multisenterstudier, jf. forskrift om organisering av helseforskning 6. UNN og Det medisinske fakultetet ved Universitetet i Tromsø har i tillegg inngått en samarbeidsavtale for felles forskningsprosjekter. Avtalen er generelt utformet, den åpner imidlertid for utarbeidelse av særskilte avtaler, for enkelte samarbeidsprosjekter, innenfor hovedavtalens rammer. Det skal, i henhold til avtalen, utnevnes én prosjektleder (ansatt) og én forskningsansvarlig institusjon for hvert forskningsprosjekt, etter kriterier som er nærmere fastsatt i avtalen. Forskningsansvarlig institusjon har overordnet ansvar for forskningsprosjektet. Forvaltning av forskningsdata i samsvar med helseforskningsloven er prosjektlederens ansvar. Personvern i prosjektet regnes imidlertid som partenes felles ansvar. Ansvaret ivaretas gjennom forskningsvirksomhetens organisering, styringssystemer og instrukskontroll, gjennom rutiner, prosedyrer og opplæring samt ved fysisk tilrettelegging. 6 av 18

10 Datatilsynet stiller spørsmål ved om de generelle henvisningene til styringssystemer, rutiner og prosedyrer kan anses for å være tilstrekkelig for å avklare rolle og ansvarsforhold ved ivaretakelse av personvernet i felles forskningsprosjekter mellom UNN og UiT. Partene har imidlertid gjensidig rett til tilgang og bruk av forskningsdata som er fremskaffet i forbindelse med samarbeidsprosjekter innen medisinsk og helsefaglig forskning. Datatilsynet legger til grunn at denne bestemmelsen gjelder utelukkende anonyme forskningsdata og at tilgang til identifiserbare helseopplysninger styres i henhold til bestemmelsene i helseforskningsloven, herunder kravene om behandlingsgrunnlag, formålbestemthet og informasjon. Det er ikke konstatert avvik i ivaretakelse av personvernet i samarbeidsprosjekter ved UNN. Datatilsynet ønsker imidlertid en tydeliggjøring av partenes plikter og ansvar ved gjennomføring av multisenterstudier, herunder tilgang til personidentifiserende opplysninger, lagring av identifiserbare helseopplysninger og identitetsopplysninger og avslutning av samarbeidsprosjekter. 5.2 Internkontroll gjennomførende del I forskrift om organisering av helseforskning 4 bokstav d stilles det krav om rutiner som setter prosjektleder og medarbeidere i virksomheten i stand til å overholde regleverkets krav Rutine for oppstart av forskningsprosjekt Forskrift om organisering av helseforskning 4 bokstav d stiller krav om at det skal utarbeides rutiner for helseforskning, herunder rutine for oppstart av forskningsprosjekt som skal sikre at igangsetting er lovlig. UNN bruker systemet Docmap for lagring av rutiner og sikkerhetsdokumentasjon. UNN har en skriftlig rutine for oppstart og forankring av forskningsprosjekter som er tilgjengelig for ansatte i systemet Docmap. Datatilsynet har ikke sett på det faktiske innholdet i rutinen. Ingen avvik konstatert Rutine for oppfølging av den registrertes rettigheter Forskrift om organisering av helseforskning 4 bokstav d stiller krav om at det skal utarbeides rutiner for helseforskning, herunder rutine for oppfølging av de registrertes rettigheter som skal sikre at eventuell rett til informasjon, innsyn, retting, sletting etc blir ivaretatt. 7 av 18

11 UNN har en skriftlig rutine som tar for seg forskningsdeltakernes rettigheter, samt en egen rutine som omhandler informert samtykke. Rutinene er tilgjengelig for ansatte i Docmap. Datatilsynet har ikke sett på det faktiske innholdet i rutinen. Ingen avvik konstatert Informasjonsplikt Personopplysningslovens 20, som gjelder utfyllende etter helseforskningsloven, fastsetter at en forskningsansvarlig (her forskningsansvarlig) som samler inn opplysninger fra andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i personopplysningslovens 19 første ledd så snart opplysningene er innhentet. Hovedregelen er at det skal varsles så snart opplysningene er samlet inn. Unntak følger av bestemmelsens annet ledd bokstav a til c, og personopplysningsloven 23. Varslingen skal i utgangspunktet være individuell, dvs. at den skal rette seg mot hver enkelt registrert. Dersom dette ikke er mulig, kan det være aktuelt å varsle kollektivt, for eksempel gjennom annonsering. 1 Kravet til internkontroll etter helseforskningslovens 6, jf. helseforskningsforskriftens 4, medfører at det må etableres rutiner for ivaretakelse av relevante plikter, herunder informasjonsplikten. UNN har ingen skriftlig rutine som sier noe om forpliktelsen til å vurdere hvorvidt det foreligger en selvstendig informasjonsplikt overfor registrerte i forskningsprosjekter. Manglende rutine for å vurdere hvorvidt det foreligger en selvstendig informasjonsplikt overfor registrerte i forskningsprosjekter anses som et avvik fra helseforskningslovens 6, jf. helseforskningsforskriftens Rutine for avslutning av prosjekter Helseforskningsloven 6, jf. forskrift om organisering av helseforskning 4 bokstav d), jf. personopplysningsloven 28 stiller krav om at det skal utarbeides rutiner for helseforskning, herunder rutine for avslutning av forskningsprosjekt og evt. sletting av personidentifiserende opplysninger. 1 Se Ot.prp.nr92 ( ) side av 18

12 UNN har en rutine for avslutning av forskningsprosjekter, men denne omtaler ikke spesifikt rutine for sletting eller anonymisering av forskningsdata. Det ble opplyst under kontrollen at standard prosedyre er at koblingsnøkkel som kobler helseopplysninger med identitet slettes ved prosjektslutt. Etterlevelse av dette kravet er ansett for å være prosjektlederens ansvar. Den forskningsansvarlige institusjon etterspør ikke/ mottar ikke bekreftelse på at anonymisering etter prosjektslutt er gjennomført. Rutiner for anonymisering av forskningsdata og vurderinger med hensyn til de avidentifiserte/ identifiserbare data er ikke dokumentert, og dermed også lite tilgjengelig. Datatilsynet mener at rutine for sletting og anonymisering er en sentral del av en avslutningsrutine, og at en rutine for avslutning vil være mangelfull uten at dette er med. Mangel på rutine for sletting / anonymisering av prosjektdata ved avslutning av prosjekter er å anse som et avvik fra helseforskningslovens 6, jf. forskriftens 4 d), jf. helseforskningsloven Langtidsoppbevaring av prosjektdata Den forskningsansvarlige skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, jf. personopplysningsloven 28, 1. ledd. Langtidsoppbevaring av prosjektdata kan kun skje om slik lagring er vurdert som nødvendig. Ellers skal opplysninger slettes. UNN opplyser om at de pr i dag ikke har praksis for å langtidsoppbevare prosjektdata. Standard prosedyre er at koblingsnøkkel slettes ved prosjektslutt. UNN har planer om å lage en utfyllende rutine på langtidsoppbevaring av prosjektdata. Datatilsynet vil påpeke at slike rutiner trolig kan ivaretas ved oppdatering av rutiner for avslutning av prosjekter. Når langtidsoppbevaring av prosjektdata ikke har vært aktuelt kan ikke Datatilsynet se at fravær av en rutine på dette er avvik. Ingen avvik konstatert 5.3 Internkontroll kontrollerende del Rutine for kontroll av forskningsprosjekter 9 av 18

13 Helseforskningsloven 6 stiller krav til organiseringen av medisinsk og helsefaglig forskning. Bestemmelsens andre ledd fastslår at det skal føres internkontroll tilpasset virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Forskningsansvarlig plikter å sørge for at det foretas en systematisk overvåking og gjennomgang av internkontroll, for å sikre at den fungerer som forutsatt og bidrar til kontinuerlig forbedring av virksomheten, jf. forskriftens 4 bokstav g. UNN har en rutine for oppstart og forankring av forskningsprosjekter som skal sørge for at alle forskere innad i virksomheten forholder seg til regelverket som regulerer helseforskning. Det finnes imidlertid ingen skriftlig rutine som sier noe om hvem som skal føre kontroll med den helseforskningen som foregår innen virksomheten. I praksis er det forutsatt at hver enkelt klinikksjef har en viss kontroll med den forskning som foregår i regi av egen klinikk. Datatilsynet mener det er avgjørende for en reell kontroll med at helseforskningen foregår i tråd med loven at det går tydelig frem av internkontrollen hvem som har ansvar for å gjøre denne kontrollen og hvordan den skal gjøres. Manglende rutine for kontroll med forskningsprosjekter anses som et avvik fra krav om internkontroll etter helseforskningslovens 6, jf. forskriften 3 og 4 da forskningsansvarlig ikke ivaretar sitt ansvar med å fastsette rutiner for prosjektleder m.fl Oppfylling av vilkår stilt av REK Helseforskningslovens 6, jf. forskriften 4 fastslår at forskningsansvarlig skal ha oversikt over hvilke rettsregler som gjelder for helseforskning, herunder på hvilke vilkår det enkelte forskningsprosjekt er igangsatt. Virksomhetens oversikt over forskningsprosjekter gir etter Datatilsynets vurdering ikke muligheter for å avdekke avvik dersom vilkår stilt av REK ikke er oppfylt, ref. kontrollrapportens avsnitt Dette gjelder særlig følgende forhold: - Tilbakemelding fra REK på innsendte søknader og vilkår som er stilt - Endelige samtykkeskjema (dersom REK har stilt vilkår om endring) - Informasjonsskriv - Utlevering av identifiserbare opplysninger eller biologisk materiale til utlanget - Avslutning av prosjekter UNN mangler også system og rutiner for kontroll av prosjekters oppfyllelse av vilkår satt av REK. I dag skjer dette kun etter initiativ fra prosjektleder. 10 av 18

14 Manglende system for kontroll av oppfyllelse av vilkår fra REK er å anse som et avvik fra helseforskningslovens 6, jf. forskriften Informasjonssikkerhet For informasjonssikkerhet gjelder personopplysningsloven 13 og personopplysningsforskriftens kapittel 2 utfyllende. Dette følger av helseforskningslovens 2 3. ledd. I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel Sikkerhetsledelse, mål og strategi I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Den forskningsansvarlige skal etablere en sikkerhetsorganisasjon i virksomheten, jf. personopplysningsforskriften 2-7. UNNs sikkerhetsmål, -policy og strategi er nedfelt i dokumentet Styringssystem for informasjonsystem. Virksomhetens sikkerhetsmål for informasjonssikkerhet er integrert med sikkerhetsmål på andre områder (for eksempel tyveri). Målene er klare og konkrete og bør være mulige å operasjonalisere. Sikkerhetsstrategien definerer roller og ansvar knyttet til informasjonssikkerhet. Dokumentet fastslår at det skal gjennomføres en ledelsesgjennomgang årlig. Dokumentet definerer en egen sikkerhetsledelse som består av administrerende direktør, stabsledere, sikkerhetssjef og ansattrepresentant. Styringssystemet for informasjonssystem framstår som først og fremst orientert mot behandlingsrettede behandlinger av personopplysninger. Forskningsdata, som ofte har andre karakteristika enn behandlingsrettede data, er ikke eksplisitt nevnt i dokumentet. Det kunne det med fordel vært. Ingen avvik konstatert 11 av 18

15 5.4.2 Risikovurdering Det skal det føres en oversikt over hvilke personopplysninger som behandles, jf. personopplysningsforskriften 2-4, ref. personopplysningsloven 13, 2. ledd. Den forskningsansvarlige skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger, jf. personopplysningsforskriften 2-4. På bakgrunn av dette skal den forskningsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. UNNs krav til gjennomføring av risikovurderinger er oppstilt i dokumentet Styringssystem for informasjonssikkerhet. Her framgår det blant annet hvilke endringer som skal utløse gjennomføringen av risikovurderinger. En veiledning i gjennomføring av ROS-analyser fins i UNNs dokumentsamling. UNN oversendte i forkant av kontrollen en samling dokumenter som beskriver gjennomført risikovurdering av elektronisk lagring av forskningsdata i UNN fra september Denne risikovurderingen er på virksomhetsnivå og gjelder behandlingen av alle helseopplysninger i virksomheten Gjennomgangen framstår som grundig, konkret og forståelig. UNN har derimot ikke utformet en plan for lukking av avvik. Datatilsynet har ikke fått oversendt risikovurderunger av konkrete forskningsprosjekt. Ingen avvik konstatert. Datatilsynet vil imidlertid likevel påpeke virksomhetens plikt til å lukke risiko som er avdekket i tidligere risikovurderinger. Dette bør skje ved utforming av plan for gjennomføring av tiltak. Datatilsynet ønsker også å bemerke at praksis for forvaltning av forskningsdata bør vurderes eksplisitt, da bruken og lagringen av slike data av naturlige grunner avviker fra øvrige helseopplysninger Sikkerhetsrevisjon Virksomheten plikter å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig, jf. personopplysningsforskriften 2-5. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. personopplysningsforskriften av 18

16 På grunn av tidspress ble sikkerhetsrevisjoner ikke diskutert med UNN. Ingen avvik konstatert Avvikshåndtering/sikkerhetsbrudd Virksomheten skal ha rutiner for avvikshåndtering, jf. personopplysningsforskriften 2-6. Resultatet fra avviksbehandling skal dokumenteres. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. UNN har en funksjon for melding av avvik på eget intranett. Dette benyttes av ansatte hos UNN og studenter når de er tilknyttet prosjekter der UNN er forskningsansvarlig. De fleste meldinger om avvik vil bli sendt klinikksjef for oppfølging og lukking. Forskningsavdelingen mottar også alle avvik og følger opp lukkingen. Laboratoriemiljøet på UNN har en litt annen rutine for avvikshåndtering. Ingen avvik konstatert Sikkerhetstiltak Den forskningsansvarlige skal gjennomføre tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet, jf. personopplysningsloven 13, ref. personopplysningsforskriften 2-11, 2-12 og Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger personopplysningsforskriften ledd og 2-14 annet ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Forskningsdata lagres på egen virtuell server der hvert prosjekt har sitt eget område. Dette området har individuell tilgangsstyring. Pålogging skjer med brukernavn og passord. Koblingsnøkkelen for avidentifiserte helseopplysninger lagres på eget område for prosjektet på egen virtuell server. Tilgangen til dette nøkkelområdet omfatter normalt kun prosjektleder. Under innregistrering av data vil også de som registrerer inn data ha tilgang. Det kan åpnes for hjemmekontor. Ved hjelp av en Citrix-løsning kan forskere og ansatte få tilgang til forskningsdata, journal eller andre opplysninger hjemmefra. Autentisering skjer ved hjelp av vanlig brukernavn og passord. Tilgjengeliggjøring av helseopplysninger via hjemmekontorløsning kan sies å representere et potensielt sikkerhetsbrudd. 13 av 18

17 Virksomheter skal selv fastlegge kriterier for akseptabel risiko for behandling av personopplysninger, jf. personopplysningsforskriften 2-4, 1. ledd. Dette innebærer at det i første omgang er den databehandlingsansvarlige som fastlegger hva som er nødvendige og tilstrekkelige sikkerhetstiltak. Imidlertid kan Datatilsynet gi pålegg om sikring av personopplysninger, herunder fastlegge kriterier for akseptabel risiko, jf. personopplysningsforskriften 2-2. At Datatilsynet har anledning til å overprøve virksomheters vurdering av nødvendige sikkerhetstiltak er dermed klar. Datatilsynets vurderinger er at svak autentisering ikke gir tilfredsstillende sikkerhet med hensyn til konfidensialitet. Valgt løsning er et avvik ved at det ikke er etablert tilfredsstillende sikkerhetstiltak, jf. personopplysningsloven 13, 1. ledd, ref. personopplysningsforskriften 2-1, 2-2, 2-11 og Denne vurderingen gjelder også behandlingsrettede helseopplysninger, selv om dette er utenfor denne kontrollens omfang Opplæring Medarbeidere skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner, jf personopplysningsforskriften 2-8. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. UNN tilbyr flere kurs til sine ansatte, blant annet e-læringskurs innen helseforskningsloven. UNN er i ferd med å etablere en rutine der ansatte må dokumentere at de har tatt dette e- læringskurset før de får tilgang til UNNs IKT-system. Dette regimet har nå blitt testet og skal rulles ut. Under gjennomgangen med de konkrete prosjektene som ble gjennomført under kontrollen, framkom det at kjennskapen til UNNs rutiner og dokumenter er noe varierende. Datatilsynet vil likevel ikke påpeke avvik på dette området. Ingen avvik konstatert Databehandlere For forholdet til databehandlere gjelder personopplysningsloven 15. Dette følger av helseforskningslovens 2 3. ledd. Personopplysningslovens 15 stiller krav om at der hvor en databehandler behandler opplysninger på vegen av den behandlingsansvarlige (her forskningsansvarlige), skal dette gjennomføres i samsvar med en avtale mellom partene. Databehandleren kan ikke behandle opplysningene på annen måte enn hva som er avtalt. Og den forskningsansvarlige kan ikke overlate opplysningene uten at det er inngått en slik avtale. 14 av 18

18 UNN benytter ingen databehandlere på helseforskningsområdet. Ingen avvik konstatert. 6 Gjennomgang av konkrete forskningsprosjekt Datatilsynet gjennomgikk tre konkrete prosjekter for å verifisere hvorvidt virksomhetens rutiner for ivaretakelse av pliktene etter helseforskningsloven og personopplysningsloven med forskrift er kjent og blir fulgt. 6.1 Prosjektet Cardiac function and upper body blood flow in normal growth restricted fetuses and neonates: An observational study Navn: Ganesh Acharya REK-ref.: 105/2008 Varighet: Avsluttes Generelt om prosjektet Prosjektet studerer parametre for hjertefunksjon hos fostre fra andre halvdel av graviditet. Prosjektet gjør 3-5 undersøkelser i svangerskapet. Det måles både hjertefunksjon hos mor og barn. Gravide kvinner får informasjon om prosjektet ved ultralydscreening i uke 18. Ønsket populasjon i prosjektet er 120 kvinner. Datatilsynet har fått et tips om personopplysninger på avveie knyttet til dette prosjektet. Innholdet i dette tipset ble drøftet under kontrollen Funn Informasjon og samtykke Informasjon og samtykkeskjema gis gravide kvinner ved ultralydkontroll i uke 18. Personopplysninger Prosjektet lagrer informasjon om hjertefunksjonen til foster og mor. Prosjektomfanget er 120 respondenter. Personopplysninger er lagret avidentifisert. Prosjektet har en håndskrevet koblingsnøkkel på papir som er innlåst i skap. Prosjektet behandler avidentifiserte ultralydbilder på eget prosjektområde. Lagring Ultralydbilder lagres i første omgang på ultralydmaskinen, men kan overføres på prosjektets område på forskningsserveren på seinere tidspunkt. Bildene som er lagret på ultralydmaskinen kan fremvises fra forskningslabben. Øvrige målinger av hjertefunksjon lagres på serveren. Analyseresultater (målinger) etter gjennomgang av ultralydbilder lages på forskningsserveren. Tilgang 15 av 18

19 Prosjektmedarbeidere skal i utgangspunktet ha tilgang til data og bilder på eget prosjektområde på UNNs IT-løsning. Prosjektmedarbeidere får tildelt egen brukernavn og passord til prosjektområdet. I det ovenfor nevnte tips ble det hevdet at den utenlandske hospitanten ble gitt prosjektlederens brukernavn og passord, og fikk anledning til å hente ut personopplysninger fra ultralydmaskin. Under kontrollen kom det fram at den utenlandske hospitanten ved to anledninger fikk tilgang til en ultralydmaskin med avidentifiserte bilder med løpenummer. Her logget prosjektlederen på og overlot maskinen til den utenlandske forskeren. Egen brukernavn og passord ble ikke tildelt fordi det ble vurdert at gjesteforskerens befatning med bildene, til prosjektets formål, var av høyst midlertidig karakter. Datatilsynet og UNN er enige i at denne hendelsen må regnes som avvik fra virksomhetens rutiner for tilgangsstyring. Sikkerhetssjef i UNN tok i etterkant av hendelsen kontakt med prosjektleder og ga en orientering om hvordan rutiner og regler er for bruk av brukernavn og passord. UNN har i etterkant av meldte avvik iverksatt et nytt opplæringstiltak for medarbeidere ved UNN for å bedre kjennskapen til virksomhetens sikkerhetsinstruks. Datatilsynet konstaterer at dette tiltaket adresserer bakgrunnen for avviket. Avviket var heller ikke veldig inngripende, da det kun var ultralydbilder med løpenummer som var gjenstand for avviket, og fordi opplysningene ikke ble distribuert eller tatt med ut fra virksomheten. Datatilsynet konkluderer med at avviket er lukket. Avslutning og sletting Det må gjøres minst tre kontroller av alle deltakende respondenter. Ved tilbaketrekking av samtykke eller om respondent ikke møter til kontroll slettes alle tidligere undersøkelser om vedkommende. Ved prosjektets slutt i 2015 skal alle bilder være anomymisert. Prosjektleder føler et ansvar for å slette koblingsnøkkelen, men kjenner ingen rutiner for sletting/ makulering. Prosjektleder kjenner til at REK skal informeres ved prosjektavslutning. Nødvendige tillatelser Prosjektet er godkjent av REK (REK-referanse 105/2008). Kjennskap til helseforskningsrutiner Det framstår som om prosjektleder i liten grad kjenner UNNs rutiner for prosjektavslutning og sletting. Det at prosjektet likevel har en viss forståelse av rutiner for tilbaketrekking av samtykke og sletting ser ut til å være pga innholdet i tillatelsen fra REK og generell forskningskompetanse. 6.2 Prosjektet Kognitiv dysfunksjon og psykisk helse hos barn i skolealder Navn: Marianne Halvorsen REK-ref.: 2012/2009 Varighet: av 18

20 6.2.1 Generelt om prosjektet Prosjektet kartlegger psykisk helse blant barn fra seks til atten år. REK vurderer prosjektet som et kvalitetssikringsprosjekt, og dermed ikke omfattet av helseforskningsloven. Prosjektet innebærer heller ikke opprettelse av helseregister. Prosjektet faller dermed utenfor det kontrollen er ment å behandle, men Datatilsynet behandlet likevel prosjektet og prosjektets oppfyllelse av enkelte sider av helseregisterloven Funn Informasjon og samtykke Alle barn i målgruppa som er til utredning for psykiske forhold får informasjonsskriv og samtykkeskjema i posten etter utredningen. Det er foreldrene som fyller ut samtykkeskjema hvis barnet er under 11 år. Barn over 11 år signerer sammen med de(n) foresatte. Samtykkeskjema lagres i en egen hylle i et låst arkivrom. Personopplysninger Prosjektet ønsker ca 100 respondenter. Lagring Data lagres på et prosjektområdet som UNN har opprettet. En vitenskapelig assistent taster inn svar på spørreskjema. Opplysningene avidentifiseres ved tasting. Koblingsnøkkelen lagres på det sikre området. Prosjektleder, vitenskapelig assistent, to sekretærer og leder for avdelingen har tilgang til koblingsnøkkelen. Avslutning og sletting Prosjektleder kjenner ikke til rutiner for tilbaketrekking av samtykke. I det konkrete prosjektet har prosjektleder intensjon til å makulere samtykkeskjema og slette registrerte data på den konkrete respondenten. I praksis har ingen respondent trukket tilbake samtykket. Nødvendige tillatelser Prosjektet er vurdert av REK som ikke fremleggelsespliktig fordi det er kvalitetssikring. Prosjektet er meldt til personvernombud ved UNN på fastsatt skjema. Kjennskap til helseforskningsrutiner Prosjektleder sier hun kjenner til forskningsrutinene fra Forskningsavdelingen. Forskningsavdelingen oppleves som en støtte. 6.3 Prosjektet Seksualitet og klamydia blant elever i videregående skole i Finnmark Navn: Kirsten Gravningen REK-ref.: 23/2009 Varighet: Ukjent Generelt om prosjektet Prosjektet undersøker seksualitet og utbredelsen av klamydia blant elever på videregående skole i Finnmark. Undersøkelsen ble gjennomført i av 18

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Universitetet i Nordland - Helseforskning

Vedtak om pålegg - Endelig kontrollrapport for Universitetet i Nordland - Helseforskning Universitetet i Nordland Postboks 1490 8049 BODØ Deres referanse Vår referanse (bes oppgitt ved svar) Dato 2013/260//PRO 13/00091-8/MEP 7. juni 2013 Vedtak om pålegg - Endelig kontrollrapport for Universitetet

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak Vestre Viken HF c/o Sykehuset Buskerud 3004 Drammen Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01080-5/MEP 19. april 2013 Avslutning av sak - Foreløpig kontrollapport for Vestre Viken

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/30431 12/01044-8/MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport

Detaljer

Kontroll av reseptformidleren 11122013 endelig kontrollrapport

Kontroll av reseptformidleren 11122013 endelig kontrollrapport Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Det vises til Datatilsynets varsel om vedtak av 13. juli 2012, og deres tilsvar av 5. september 2012.

Det vises til Datatilsynets varsel om vedtak av 13. juli 2012, og deres tilsvar av 5. september 2012. Helse Stavanger HF Stavanger universitetssykehus Postboks 8100 4068 STAVANGER Deres referanse 2011/3547-27904/2012 Vår referanse (bes oppgitt ved svar) Dato 11/00882-9/EOL 23. oktober 2012 Avslutning av

Detaljer

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport Oppegård Kommune Postboks 510 1411 KOLBOTN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/137-11 13/01092-10/MEP 21. mai 2014 Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/01084 Dato for kontroll: 13.-26 november 2012 11.desember 2012 Rapportdato: 19.03.2013 Endelig kontrollrapport Kontrolltema: Helseforskning, register for biologisk forskningsreservasjon

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Saksnummer: 13/00933 Dato for kontroll: 15.10.2013 Foreløpig rapport: 19.12.2013 Endelig rapport: 07.07.2014 Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av:

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet Statens Havarikommisjon for Transport Postboks 213 2001 LILLESTRØM Deres referanse Vår referanse (bes oppgitt ved svar) 12/611-6 12/01022-8/HHU 28. februar 2013 Dato Vedtak om pålegg Endelig kontrollrapport

Detaljer

Klage på vedtak om pålegg - informasjonsplikt i medhold av helseforskningsloven

Klage på vedtak om pålegg - informasjonsplikt i medhold av helseforskningsloven Datatilsynet Postboks 8177 Dep 0034 OSLO Deres ref.: 12/01084-21/EOL Vår ref.: 2012/4266-6 Saksbehandler/dir.tlf.: Trude Johannessen, 77 62 76 69 Dato: 09.04.2013 Klage på vedtak om pålegg - informasjonsplikt

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Helseforskningsloven - lovgivers intensjoner

Helseforskningsloven - lovgivers intensjoner Helseforskningsloven - lovgivers intensjoner Sverre Engelschiøn Oslo, 30. mars 2011 Intensjonen Fremme god og etisk forsvarlig medisinsk og helsefaglig forskning Ivareta hensynet til forskningsdeltakere

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00118 Dato for kontroll: 6.3.2014 Foreløpig rapport: 29.4.2014 Endelig rapport: 8.8.2014 Endelig kontrollrapport Kontrollobjekt: Bjerkås barnehage Sted: Vollen, Asker Utarbeidet av: Martha

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00122 Dato for kontroll: 7.3.2014 Foreløpig rapport: 16.5.2014 Endelig rapport: 12.8.2014 Endelig kontrollrapport Kontrollobjekt: Espira Gruppen AS Sted: Blåveisbakken barnehage Utarbeidet

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

Merknader til de enkelte bestemmelsene i forskrift om organisering av medisinsk og helsefaglig forskning

Merknader til de enkelte bestemmelsene i forskrift om organisering av medisinsk og helsefaglig forskning Merknader til de enkelte bestemmelsene i forskrift om organisering av medisinsk og helsefaglig forskning Til 1: Formål Bestemmelsen slår fast forskriftens formål. Formålet er å fremme forsvarlig organisering

Detaljer

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre. Treningssenter AS Postboks OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00001-34/KBK 10. september 2013 Konsesjon til å behandle personopplysninger - Treningssenter - Dopingkontroll

Detaljer

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012 Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00119 Dato for kontroll: 24.02.2014 Foreløpig rapport: 11.04.2014 Endelig rapport: 07.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Norlandiabarnehagene, Myrertoppen barnehage Sted:

Detaljer

Én helseforskninglov. Ny helseforskningslov 010710. Medisinsk og helsefaglig forskning

Én helseforskninglov. Ny helseforskningslov 010710. Medisinsk og helsefaglig forskning UNH1 Medisinsk og helsefaglig forskning Ny helseforskningslov 010710 Sameline Grimsgaard Leder Klinisk forskningssenter Anne Husebekk Fag- og forskningssjef, UNN Professor, UiT virksomhet som utføres med

Detaljer

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Saksnummer: 16/00326 Dato for kontroll: 10.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00139 Dato for kontroll: 18.03.2014 Foreløpig rapport: 22.04.2014 Endelig rapport: 14.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Kongsberg kommune, Skrim ungdomsskole Sted: Kongsberg

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 30.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Oslo kommune, Foss videregående skole Sted:

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Smart Club AS v/ Advokatene Kjetil Bull og Bjørn Tore Flaatten Postboks 1173 Sentrum 0107 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00831-9/HVE 21. desember 2011 Vedtak om pålegg

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01089 Dato for kontroll: 08.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00376 Dato for kontroll: 15.05.2012 Rapportdato: 21.11.2012 Endelig kontrollrapport Kontrollobjekt: Statens arbeidsmiljøinstitutt Sted: Oslo Utarbeidet av: Cecilie L.B. Rønnevik Marius Engh

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres. Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 200902492-/STL 11/00288-2 /MOF 5. april 2011 Kommentarer til forprosjektrapport om nasjonal

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/3404 12/01097-2/DIJ 16. januar 2013 Dato Datatilsynets høringssvar- Regulering av epikriseutsending

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 10/01153-3 Dato for kontroll: 05.10.2010 Rapportdato: 18.01.2012 Endelig kontrollrapport Kontrollobjekt: Stiftelsen SUSS-telefonen Sted: Gøteborggata 23, Oslo Utarbeidet av: Henok Tesfazghi

Detaljer

Kontroll hos SUSS - Senter for ungdomshelse samliv og seksualitet - Vedtak og endelig rapport

Kontroll hos SUSS - Senter for ungdomshelse samliv og seksualitet - Vedtak og endelig rapport Advokatfirma Ræder DA v/adv. Vebjørn Søndersrød Postboks 2994 Solli 0230 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01153-11/HTE 18. januar 2012 Kontroll hos SUSS - Senter for ungdomshelse

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger BEST Helse Nordstrand Postboks 104 Bekkelagshøgda 1109 Oslo Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/01093-10/CGN 8. april 2014 BEST Helse Nordstrand pålegg om avslutning av urettmessig

Detaljer

Ledelse og personvern. Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus

Ledelse og personvern. Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus Ledelse og personvern Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus Stab fag og pasientsikkerhet Seksjon for personvern og informasjonssikkerhet

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat etterforskningsvirksomhet

Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat etterforskningsvirksomhet AS Scan Detect Postboks 54 1330 FORNEBU Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00327-14/MEP 12. november 2013 Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01088 Dato for kontroll: 07.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Alta sykestue Sted: Alta helsesenter Utarbeidet av: Camilla Nervik Grete Alhaug Marius

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00138 Dato for kontroll: 14.03.2014 Foreløpig rapport: 11.04.14 Endelig rapport: 15.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Hamar kommune, Ajer ungdomsskole Sted: Hamar Utarbeidet

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009. Avslutning av sak - kontroll hos kommune - Internkontroll og informasjonssikkerhet Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00941 Dato for kontroll: 03.12.2013 Foreløpig rapport: 11.03.2014 Endelig rapport: 04.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Bergen kommune, Møhlenpris skole Sted:

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) NorgesGruppen ASA Postboks 2775 Solli 0203 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00832-9/MAB 1. februar 2012 Vedtak om pålegg - Endelig kontrollrapport for Trumf AS Det vises

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 17.12.2013 Foreløpig rapport: 11.03.2014 Endelig rapport: 07.08.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Drammen kommune, Aronsløkka skole Sted:

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

UNIVERSITETET 7 % I OSLO

UNIVERSITETET 7 % I OSLO 7 % Helse- og omsorgsdepartementet Helserettsavdelingen Postboks 8011 Dep. 0030 OSLO Oslo, 4. mai 2009 Postboks 1072 Blindern 0316 Oslo Besøksadresse: Administrasjonsbygningen, 9. et. Deres ref: 200900781-/LTH

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Helseforskningsloven konsekvenser for ansvarsdeling mellom UNN og UiT

Helseforskningsloven konsekvenser for ansvarsdeling mellom UNN og UiT Helseforskningsloven konsekvenser for ansvarsdeling mellom UNN og UiT Anne Husebekk Fag- og forskningssjef, UNN Professor, UiT 2003 2005 2007 2009 Formål; Lovens formål er å fremme god og etisk forsvarlig

Detaljer