IKT-sikkerhet og sårbarhet i Risør kommune
|
|
- Torbjørn Sivertsen
- 7 år siden
- Visninger:
Transkript
1 Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland-6jerstad-Grimstad-Lillesand-Riser-Tvedestrand-Vegarshei-knii 12-\ cx - IKT-sikkerhet og sårbarhet i Risør kommune Forvaltningsrevisjonsrapport - november 2012
2 INNHOLDSFORTEGNELSE 1. INNLEDNING 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING 3 2.1FORMÅL 3 2.2PROBLEMSTILLINGER 4 2.3AVGRENSING 4 2.4REVISJONSKRITERIER 4 3. METODEVALG OG GJENNOMFØRING 4 4. PROBLEMSTILLING: KRAV TIL STYRINGSSYSTEM STATUS OG VURDERING SIKKERHETSLEDELSE RISIKOVURDERING SIKKERHETSREVISJON AvvIK ORGANISERING PERSONELL OG TAUSHETSPLIKT FYSISK SIKRING SIKRING AV KONFIDENSIALITET SIKRING AV TILGJENGELIGHET SIKRING AV INTEGRITET SIKKERHETSTILTAK SIKKERHET HOS ANDRE VIRKSOMHETER DOKUMENTASJON OPPSUMMERING OG ANBEFALINGER RÅDMANNENS KOMMENTAR 14 Vedlegg: Ordliste Spørreskjema 1
3 FORORD Forvaltningsrevisjon er etter kommuneloven en lovpålagt oppgave for kontrollutvalget og kommunerevisjonen. Formålet med forvaltningsrevisjon er å føre tilsyn med at forvaltningen foregår i samsvar med gjeldende bestemmelser og vedtak. Forvaltningsrevisjon kan også omfatte vurderinger av kommunens forvaltning, med utgangspunkt i oppgaver, ressursbruk og oppnådde resultater. I dette prosjektet har vi undersøkt i hvilken grad Risør kommune etterlever krav i personopplysningsloven med forskrift. I rapporten drøftes funn i tilknytning til problemstillingene og det gis anbefalinger som kan bidra til at kommunen kan ivareta oppgavene som omfatter behandling av personopplysninger på en bedre måte. Prosjektet har i hovedsak vært gjennomført våren og høsten Arendal Revisjonsdistrikt IKS har benyttet ekstern konsulentbistand fra Pragma AS i et felles forprosjektet for alle kommunene. Prosjektet er gjennomført av oppdragsansvarlig forvaltningsrevisor Steinar Johansen i henhold til vedtak i kontrollutvalget i Risør kommune (årsplaner). Risør, den 19. november 2012 Steinar Joh revisjonss) g(-1 2
4 1. Innledning Kontrollutvalget i Risør kommune har i sin årsplan for 2012 vedtatt at prosjektet "IKT sikkerhet og sårbarhet" skal gjennomføres. Kontrollutvalgets bestilling er som følger: "Bruken av IKT er omfattende i kommunen. Tilgjengelighet, sårbarhet, sikkerhet, sikring m.v. ønskes kartlagt." Prosjektet er et fellesprosjekt for alle kommunene som Arendal revisjonsdistrikt IKS reviderer. Prosjektet er nå gjennomført i 7 av kommunene og 3 kommuner gjenstår. Personopplysningsloven 13 "Informasjonssikkerhet" angir det lovpålagte kravet til informasjonssikkerhet. Paragrafens første og annet ledd lyder: "Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfresstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeideren hos den behandlingsansvarlige og hos databehandleren. Personvernnemnda." Dokumentasjonen skal være tilgjengelig for Datatilsynet og Innholdet er nærmere utdypet i personopplysningsforskriftens kapittel 2. Bestemmelsene i forskriften angir krav til det styringssystemet den enkelte virksomhet må etablere for å oppnå tilfredsstillende informasjonssikkerhet. Sentralt i styringssystemet er at kommunene må fastsette overordnede sikkerhetsmål, fastsette akseptabelt risikonivå og fordele ansvar og oppgaver i sikkerhetsarbeidet. Kommunen må fremskaffe en komplett oversikt over alle personopplysninger behandles innenfor de ulike tjenesteområdene. Kommunene må foreta risikovurdering, dvs vurdere sannsynlighetene for og konsekvensene av sikkerhetsbrudd. Det må opprettes rutiner og et aktivt system for avvikshåndtering. som 2. Prosjektets formål, problemstilling og avgrensing 2.1 Formål Hovedformålet er å undersøke i hvilken grad Risør kommune etterlever bestemmelsene i personopplysningsloven og personopplysningsforskriften i sin behandling av personopplysninger. Rapporten skal bidra til at mangler eller feil avdekkes og kartlegges, slik at det kan settes i gang tiltak for å rette opp i dette. 3
5 2.2 Problemstillinger Har kommunen bygget opp et informasjonssikkerhetssystem i henhold til de krav som er gitt i personopplysningsloven med forskrift som trådte i kraft ? Detaljerte problemstillinger, knyttet til i hvilken grad kommunen har fulgt opp krav til styringssystem angitt i personopplysningsforskriften kap 2, fremgår av revisjonens kartleggingsskjema. Status knyttet til det enkelte krav i forskriften er omtalt i kap 4 i denne rapporten. 2.3 Avgrensing De undersøkelser som er foretatt gjelder kun for personopplysninger som helt eller delvis behandles ved hjelp av elektroniske hjelpemidler. 2.4 Revisjonskriterier Revisjonskriterier er en samlebetegnelse på de regler og normer som gjelder innenfor det området som undersøkes. Revisjonskriteriene er basis for de analyser og vurderinger som foretas, konklusjonene som trekkes, og de er et viktig grunnlag for å kunne dokumentere avvik eller svakheter. Metodevalg og gjennomføring Revisjonen har sendt ut kartleggingsskjema til rådmannen. (Skjemaet (spørsmålene) følger som vedlegg til rapporten). Rådmannen har svart og returnert skjemaet til revisjonen. Etter dette er det avholdt et møte med administrasjonen hvor besvarelsen ble gjennomgått. Denne rapporten inneholder resultatene fra kartleggingen og revisjonens vurdering av svarene opp mot kravene i personopplysningsforskriften kap 2. Revisjonens anbefalinger følger til slutt i rapporten. Problemstilling: Krav til styringssystem status og vurdering Spørreskjemaet som danner grunnlaget for revisjonens vurdering, er fylt ut av kommunens rådmann sammen med IT-avdelingen. I de neste kapitler følger en beskrivelse av de opplysninger (fakta) som er gitt gjennom spørreskjemaet og samtaler. Svarene er målt opp mot bestemmelsene i forskriften og danner grunnlaget for revisjonens vurdering og konklusjon Sikkerhetsledelse Regelverk - ifr. forskriftens 2-3 "Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene i dette kapittelet følges. Formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål. Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi. 4
6 Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Resultatet fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og strategi." Fakta Risør har i fellesprosjekt med de andre samarbeidende kommunene i Østregionen utarbeidet egen sikkerhetshåndbok med bl.a. sikkerhetsmål og strategi datert opprettet Dette skal være styrende for kommunens arbeid med informasjonssikkerhet. Risør kommune svarer ja på om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet, men svarer at sikkerhetsmål og sikkerhetsstrategien ikke gjennomgås jevnlig, slik det er pålagt etter personopplysningsforskriften 2-3 og slik det er nedfelt i kommunens sikkerhetsstrategi Vurdering og konklusjon Sikkerhetshåndboken er et strukturert og oversiktlig dokument som gir et godt grunnlag for kommunen i arbeidet med å etablere god informasjonssikkerhet. Det bemerkes at sikkerhetshåndboken er utarbeidet for over 9 år siden og har ikke vært revidert siden. Det vil skje naturlige endringer i en virksomhet, som integrering av nytt informasjonssystem, endringer i rutiner og prosedyrer og med de endringene må det følge en gjennomgang av sikkerhetsstrategien slik at den til en hver tid er tilpasset virksomheten sikkerhetsbehov. For å kunne ivareta tilfredsstillende informasjonssikkerhet er Risør kommune nødt til å revidere sikkerhetsmålet og strategien sin jevnlig. Rutinene er dokumenterte og ligger på plass, men er ikke en integrert del av kommunen. Svarene indikerer at sikkerhetshåndbokens rutiner og delegering av ansvar heller ikke er kjent for de ansatte. 4.2 Risikovurdering Revisjonskriterier jfr. forskriftens 2-4 "Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandling av personopplysninger, jf. første ledd og 2-2. Resultatet av risikovurderingen skal dokumenteres." Fakta Her svares det "nei" på samtlige spørsmål. Det føres ingen samlet oversikt over hvilke opplysninger som behandles, eller hvilke opplysninger som er nødvendig å sikre med hensyn til konfidensialitet, integritet og tilgjengelighet. Den behandlingsansvarlige har heller ikke 5
7 fastsatt kriterier for akseptabel risiko eller kartlagt sannsynligheten for eller konsekvensene av et sikkerhetsbrudd ved hjelp av en risikovurdering Vurdering og konklusjon Svarene innebærer at kravene om risikovurdering etter personopplysningsforskriften 2-4 ikke er imøtekommet. Personopplysningslovens 13 med utfyllende bestemmelser i forskriftens kapittel 2, gir forventninger om tilfredsstillende sikring av informasjonssystemet med grunnlag i risikovurdering. For å kunne gjennomføre en risikovurdering må det med utgangspunkt i oversikt over personopplysninger som behandles, angi hvilke opplysninger som er nødvendig å sikre med hensyn til konfidensialitet, integritet og tilgjengelighet. 4.3 Sikkerhetsrevisjon Revisjonskriterier jfr. forskriftens 2-5 "Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf Resultatet fra sikkerhetsrevisjon skal dokumenteres." Fakta Det svares at det foretas det ikke foretas en etterprøving av sikkerhetsarbeidet, men at dersom det avdekkes bruk av informasjonssystemet som ikke er forutsatt, så blir dette behandlet som avvik. Resultatet av sikkerhetsrevisjonen dokumenteres ikke Vurdering og konklusjon Etter krav i personopplysningsforskriften 2-5 skal det jevnlig gjennomføres en sikkerhetsrevisjon. Avdekking av bruk av informasjonssystemet som ikke er forutsatt, skal behandles som avvik. Formålet med en sikkerhetsrevisjon er å sikre at besluttet sikkerhetsmål og strategi etterleves i hele virksomheten. Resultatet av revisjonen skal dokumenteres og danner grunnlaget for eventuelle nødvendige endringer i sikkerhetsmål og strategi. Sikkerhetsrevisjonen inngår også som grunnlag i ledelsens gjennomgang av informasjonssystemet og informasjonssikkerheten. 4.4 Avvik Revisjonskriterier jfr. forskriftens 2-6 "Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles. Resultatet fra avviksbehandling skal dokumenteres." 6
8 4.4.2 Fakta Kommunen svarer at det ikke er registrert sikkerhetsbrudd og bruk av systemet i strid med fastlagte rutiner. Kommunens sikkerhetshåndbok har rutiner for avviksbehandling og dokumentasjon Vurdering og konklusjon Svarene indikerer at kommunen har etablert avviksrutiner slik sikkerhetshåndboken angir. Her er det også viktig at det kommer frem at et avvik også kan være organisatoriske og prosessuelle avvik som strider mot fastlagte rutiner (Jf. Personopplysningsforskriften 2-6). 4.5 Organisering Revisjonskriterier jfr. forskriftens 2-7 "Det skal etableres klare ansvars- og myndighetsforhold Ansvars- og myndighetsforhold behandlingsansvarliges daglige leder. for bruk av informasjonssystemet. skal dokumenteres og ikke endres uten autorisasjon fra den Informasjonssystemet skal konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås. Konfigurasjonen skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder. Bruk av informasjonssystemet som har betydning for informasjonssikkerheten, skal utføres i henhold til fastlagte rutiner." Fakta Kommunen svarer at det er både etablert klare ansvars og myndighetsforhold for bruk av informasjonssystemet, men at dette ikke er dokumentert, men ikke oppdatert. Det svares nei på spørsmål om det foreligger autorisasjon fra behandlingsansvarliges leder ved endring av ansvars- og myndighetsforhold og ved endring av konfigurasjon. Det svares at informasjonssystemet er konfigurert slik at tilfredsstillende informasjonssikkerhet oppnås Vurdering og konklusjon Autorisasjoner til datasystemene i kommunen har en klar innvirkning på beskyttelse av personopplysningenes konfidensialitet, integritet og tilgjengelighet. Når en ansatt endrer stillingsbeskrivelse og skal jobbe med andre ting, skal tidligere autorisasjoner stenges. For å ivareta riktig autorisasjonsrettigheter for de ansatte, er det viktig at enhetsledere regelmessig får en oppdatert liste over hvilke rettigheter de enkelte ansatte har og kan sammenligne dette med hvilke arbeidsoppgaver som utføres. På denne måten kan det kontrolleres at ingen har flere rettigheter enn det vedkommende trenger for å utføre sine arbeidsoppgaver, og like viktig, at de ansatte har tilstrekkelige rettigheter. For å kunne måle om informasjonssystemet er konfigurert slik at tilfredsstillende informasjonssikkerhet oppnås, må blant annet sikkerhetsmål og sikkerhetsstrategi gjennomgås jevnlig (Jf. Personopplysningsforskriften 2-3). 7
9 4.6 Personell og taushetsplikt Revisjonskriterier ffr. forskriftens 2-8, 2-9 "Medarbeidere hos den behandlingsansvarlige skal bare bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk. Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt. Autorisert bruk av informasjonssystemet skal registreres. Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. Taushetsplikten skal også omfatte annen informasjon med betydning for informasjonssikkerheten." Fakta Det svares at de ansatte har tilstrekkelig med kunnskap til å bruke informasjonssystemene i kommunen og at de kun blir brukt for å utføre pålagte oppgaver og at de har taushetsplikt for personopplysninger der konfidensialitet er nødvendig. På spørsmålene vedrørende privat bruk av informasjonssystemer svares det at det ikke er forbud mot dette Vurdering og konklusjon Svarene tyder på at det ligger rutiner til grunn for bruken av datasystemene og at taushetsplikten ivaretas. Generell taushetserklæring er utarbeidet og underskrives av alle nyansatte i kommunen. 4.7 Fysisk sikring Revisjonskriterier ffr. forskriftens 2-10 "Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å behandle personopplysninger etter forskriften her. Sikkerhetstiltakene skal også hindre uautorisert adgang til annet utstyr av betydning for informasjonssikkerheten. Utstyr skal installeres slik at ikke påvirkning fra driftsmiljøet får betydning for behandlingen av personopplysninger." Fakta Det er kun ett spørsmål under denne delen av spørreundersøkelsen. Det svares at den behandlingsansvarlige har sørget for nødvendige tiltak for å hindre uautorisert adgang til utstyr for behandling av personopplysninger med betydning for informasjonssikkerheten. Som dokumentasjon på dette viser kommunen til konfigurasjonstiltak og utarbeidede rutiner som omfatter både datamessig og fysisk sikring Vurdering og konklusjon Fysisk sikring gjelder ikke bare teknisk forhold så som tilgangsrettigheter, brannmur og lignende, men inkluderer også utforming av arbeidsplassen og fellesområder. Det er hver enkelt enhet sitt ansvar å påse at blant annet samtaler der sensitive opplysninger diskuteres forekommer i lydavskjermet rom, at ikke uvedkommende befinner seg i lokale der sensitive 8
10 opplysninger kan være tilgjengelig og at dør til kontor låses hvis en forlater et rom der sensitive opplysninger ligger synlig. Dette er omtalt i sikkerhetshåndboken, men det synes som om de ansatte ikke har god kunnskap om dette. 4.8 Sikring av konfidensialitet Revisjonskriterier ffr. forskriftens 2-11 "Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet nødvendig. Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for informasjonssikkerheten. Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig. For lagringsmedium som inneholder personopplysninger hvor konfidensialitet er utenfor den er nødvendig, skal behovet for sikring av konfidensialitet fremgå ved hjelp av merking eller på annen måte. Dersom lagringsmediet ikke lenger benyttes for behandling av slike opplysninger, skal opplysningene slettes fra lagringsmediet." Fakta Kommunen svarer at det er truffet tiltak for å hindre uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. Det opplyses at følgende sikringstiltak er iverksatt: låst serverrom med nøkkelsikkerhetssystem, dobbelt innlogging. Server med personopplysninger merkes ikke. Ved avhending av lagringsmedia blir disse fysisk ødelagt gjennom sertifisert firma Vurdering og konklusjon For å sikre at personopplysninger ikke kommer uvedkommende i hende eller blir tilgjengelig for uautoriserte, må det foreligge både en teknisk sikkerhet, men også dokumenterte og implementerte prosesser som skal ivareta personopplysningenes konfidensialitet. Kvalitetshåndboken inneholder rutinebeskrivelser for hvordan sikkerheten kan ivaretas. Kommunen bør gjennomgå dette for å sjekke ut at rutinene er i tråd med forskriftens krav. 4.9 Sikring av tilgjengelighet Revisjonskriterier jfr. forskriftens 2-12 "Det skal treffes tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Sikkerhetstiltakene skal også sikre tilgang til annen informasjon med betydning for informasjonssikkerheten. Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er utilgjengelig for normal bruk. Personopplysninger og annen informasjon som er nødvendig for gjenoppretting av normal bruk, skal kopieres." Fakta Det svares at det er truffet tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Kommunen har rutine for dublisering/back-up av data. Lagringsmediet blir oppbevart i brannsikkert skap i kommunehuset. Det er etablert nødstrøm for serverrom. 9
11 4.9.3 Vurdering og konklusjon Kommunen kommenterer til det første spørsmålet om sikring av tilgang til personopplysninger at dette reguleres ved rutiner for manuell innsyn i dokumenter. Her kommer autorisasjonsrettigheter inn som en viktig del. De ansatte skal ikke ha tilgang til for mye informasjon, men må også ha tilgang til nok informasjon som er nødvendig for å utføre pålagte arbeidsoppgaver. Rutiner ifm sikring av tilgjengelighet vurderes å ha et forbedringspotensiale Sikring av integritet Revisjonskriterier jfr. forskriftens 2-13 "Det skal treffes tiltak mot uautorisert endring av personopplysninger der integritet er nødvendig. Sikkerhetstiltakene skal også hindre uautorisert endring av annen informasjon med betydning for informasjonssikkerheten. Det skal treffes tiltak mot ødeleggende programvare." Fakta På lik linje med spørsmål om sikring av tilgjengelighet, svares det også her "ja" på alle spørsmålene. Kommunen kommenterer at endringer av personopplysninger blir gjort innenfor rammen av de etablerte rutinene vedr adgangskontroll og kontrollfunksjoner i dataprogrammene. Det treffes tiltak for ødeleggende programvare gjennom viruskontroll, informasjon, opplæring, sikkerhetsrutiner, spamfiltrering og brannmur på flere nivåer Vurdering og konklusjon Bestemmelsen pålegger den behandlingsansvarlige å hindre utilsiktet endring av personopplysninger og uautorisert endring av annen informasjon der dette er nødvendig for informasjonssikkerheten. Ved valg av hvilke opplysninger som det skal sikres integritet for, og hvilke sikkerhetstiltak som må etableres, følger som et resultat av risikovurderingen. Kommunen svarer at det ikke er gjennomført risikovurdering Sikkerhetstiltak Revisjonskriterier jfr. forskriftens 2-14 "Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Forsøk på uautorisert bruk av informasjonssystemet skal registreres. Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre. Sikkerhetstiltak skal dokumenteres." Fakta Kommunen svarer her at de har etablert brannmur overvåkning og serverlogg. Uautorisert bruk av informasjonssystemet blir registrert. Det foreligger ingen skriftlig dokumentasjon på dette. 10
12 Vurdering og konklusjon Bestemmelsen her legger opp til at kommunen skal etablere sikkerhetstiltak for å forhindre sikkerhetsbrudd og avdekke hendelser som kan forårsake sikkerhetsbrudd. Sikkerhetstiltak er iverksatt Sikkerhet hos andre virksomheter Revisjonskriterier jfr. forskriftens 2-15 "Den behandlingsansvarlige skal bare overføre personopplysninger elektronisk til den som tilfredsstiller kravene i forskriften her. Den behandlingsansvarlige kan overføre personopplysninger til enhver dersom overføringen skjer i samsvar med reglene i personopplysningsloven 29 og 30, eller når det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register. Leverandører som gjennomfører sikkerhetstiltak, eller gjør annen bruk av informasjonssystemet på den behandlingsansvarliges vegne, skal tilfredsstille kravene i dette kapittelet. Den behandlingsansvarlige skal etablere klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører. Ansvars- og myndighetsforhold skal beskrives i særskilt avtale. Den behandlingsansvarlige skal ha kunnskap om sikkerhetsstrategien hos kommunikasjonspartnere og leverandører, og jevnligforsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet." Fakta Kommunen svarer ja på at behandlingsansvarlige kun overfører personopplysninger til de som tilfredsstiller kravene i personopplysningsloven. Det er ikke inngått særskilt avtale med leverandører om sikkerhet slik forskriften krever Vurdering og konklusjon Dette ansees å være noe mangelfullt. Risør kommune er "eier av" personopplysningene og er derfor ene ansvarlig for at alle parter som behandler opplysningene, også på vegne av kommunen, tilfredsstiller kravene i henhold til personopplysningsloven med tilhørende forskrift. (if. Personopplysningsloven 2, del 5). Den behandlingsansvarlige skal være kjent med sikkerhetsarbeidet hos leverandører ved at det innhentes informasjon om sikkerhetsstrategien i virksomheten. Derigjennom skal den kommunens behandlingsansvarlige forsikre seg om at informasjonssikkerheten hos leverandøren er tilfredsstillende. Kommunen har gjort forsøk på innhenting informasjon om dette. Kommunen har ingen rutine for jevnlig kontroll av at sikkerhetsstrategien er tilfredsstillende Dokumentasjon Revisjonskriterier jfr. forskriftens 2-16 "Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres. Dokumentasjon skal lagres i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave. 11
13 Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registreringer av alle andre hendelser med betydning for informasjonssikkerheten." Fakta Kommunen svarer at rutinene i stor grad er dokumentert i sikkerhetshåndboken. På spørsmål om dokumentasjonen blir lagret i minimum 5 år svares det ja. Ang kommunens registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk så er det ikke etablert noen rutine for registrering av dette Vurdering og konklusjon Bestemmelsen setter et krav til dokumentasjon. Det innebærer at det i tillegg til beskrivelse av tekniske tiltak, skal være rutiner for arbeid med informasjonssystemet og registrering av hendelser. Kommunen har enkelte elementer på plass, men har noe vei å gå for å bringe systemet i samsvar med bestemmelsen. 5. Oppsummering og anbefalinger Generelt Revisjonen har i rapporten dokumentert resultatet av prosjektet i kap. 4. Her fremkommer vurdering og konklusjon under hvert underkapitel. Revisjonens gjennomgang av informasjonssikkerhetsarbeidet i Risør kommune har avdekket flere mangler i forhold til de krav som er nedfelt i personopplysningsforskriften. Faktasammendra Revisjonens gjennomgang viser at Risør kommune har utarbeidet et overordnet dokument for sikkerhetsmål og strategi. Kommunen har ikke utarbeidet en oversikt over de personopplysninger som behandles i kommunen. En slik oversikt er en forutsetning for å få fastsatt kriterier for akseptable risiko og få vurdert sannsynligheten for eller konsekvensene av sikkerhetsbrudd. Kommunen svarer at de ikke gjennomfører risikovurdering og sikkerhetsrevisjon. Arbeid med informasjonssikkerhet, der sikkerhetsrevisjon med gjennomgang av mål, organisering, rutiner og dokumentasjon av sikringstiltak, skal bidra til at kommunen til enhver tid har forsvarlig informasjonssikkerhet, er ikke etablert som en del av kommunens planprosess. Anbefalinger Risikovurderinq Kommunen bør: Utarbeide oversikt over hvilke personopplysninger som behandles i kommunen. Sette opp kriterier for akseptabelt risikonivå i forhold til konsekvens og sannsynlighet for et sikkerhetsbrudd. Gjennomføre risikovurdering. Dokumentere resultatene fra risikovurderingen. Gjennomføre nødvendige tiltak for at behandlingen av personopplysninger skal være innenfor akseptabelt risikonivå. 12
14 Risikorevisjon Kommunen bør legge arbeidet med risikorevisjon inn som en del av den årlige plan- og budsjettprosessen. Sikkerhetshåndboken med beskrivelse av mål, prosesser, organisering, sikringstiltak må revideres. Beskrivelse av sikringstiltak og rutiner må gjennomgås og oppdateres dersom det er behov for det. Risikorevisjon skal sikre at kommunen til enhver tid har en tilfredsstillende informasjonssikkerhet. Arbeidet med informasjonssikkerhet og sikkerhetsrevisjon bør involvere alle i administrasjonen, ledelsen og brukere av system der personopplysninger behandles. Dette er viktig for at kommunen til enhver tid skal ha en forsvarlig sikkerhet ved behandling av personopplysninger. Sikkerhet hos andre leverandører Kommunen bør gjøre seg kjent med sikkerhetsarbeidet informasjon om sikkerhetsstrategien i virksomhetene. hos sine leverandører og innhente Tidsplan Kommunen bør legge en tidsplan for det videre arbeidet med å bygge opp et fullstendig system for informasjonssikkerhet. Det er viktig at ansvarsforhold er helt klare i dette arbeidet. Revisjonen har notert seg at kommunene i DDØ-samarbeidet har satt i gang et felleskommunalt prosjekt som skal utarbeide kvalitetssystem for informasjonssikkerhet. 13
15 6. Rådmannens kommentar. Rådmannen i Risør har avgitt følgende kommentar til rapporten i brev av : Det vises til forvaltningsrapport datert november 2012 vedr. IKT-sikkerhet og sårbarhet i Risør kommune. Rådmannen har ikke merknader til innholdet og konklusjonene i rapporten. Kommunen har tidligere utarbeidet et overordnet dokument for sikkerhetsmål og strategi i 2003 i samarbeid med de fire andre kommunene i øst-regionen. Ved opprettelse av modellen med vertskommune for IKT-oppgaver, har nok arbeidet i den enkelte kommune på IKT-sikkerhet og sårbarhet blitt noe pulverisert. Rapporten avdekker forhold som det må gjøres forbedringer på både mht system med sikkerhetsmål og strategi felles for alle de fem kommunene i øst-regionen, men også mht gjennomføring og oppfølgingen i hver enkel kommune. Det som framkommer i rapporten er i stor grad sammenfallende i de fem kommunene i østregionen. Derfor har det med bakgrunn i bl.a. det arbeidet som er gjort i forbindelse med denne forvaltningsrapporten, blitt arbeidet med en prosjektplan for utarbeidelse av kvalitetssystem for informasjonssikkerhet. Denne prosjektplanen har vært behandlet i plan- og strategigruppen for DDØ, og godkjent av rådmennene i DDØ den Prosjektplanen vedlegges til orientering. Det forventes at den interkommunale arbeidsgruppa skal ha sluttført sitt arbeid med felles kvalitetssystem for de fem kommunene innen Det vil da gjenstå arbeid med å implementere de tiltakene som fremkommer i kvalitetssystemet, samt å få satt denne aktiviteten inn i kommunens årshjul. Det forventes at det arbeidet som skal gjøres i hver kommune er på plass innen Risør kommune har også hatt tilsyn fra Datatilsynet. Med referanse til ovennevnte prosjekt har kommunen frist fra tilsynet på retting av avvik til 1. juni Kildeliste / Referanser Personopplysningsloven (P01) 13 "Informasjonssikkerhet" Personopplysningsforskriftens kapittel 2 Veiledning i informasjonssikkerhet for kommuner og fylkeskommuner, Datatilsynet jan 2005 Risikovurdering av informasjonssystem, Datatilsynet februar 2002 Sikkerhetsbestemmelsene i personopplysningsforskriften, Datatilsynet desember 2000 Seminar om personopplysningsloven, dokumentasjon fra seminar med Pragma AS mars
Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune
Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerForvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune
Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune
DetaljerSikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer
Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II
DetaljerKontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler
Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerForvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for
DetaljerEndelig kontrollrapport
Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerKontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal
Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre
Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte
DetaljerEndelig kontrollrapport
Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand
DetaljerKontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg
Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerEndelig kontrollrapport
Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig
DetaljerKontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger
Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerOppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 17/4005-1 Saksbehandler: Kari Lousie Hovland Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken
DetaljerKontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten
Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerEndelig kontrollrapport
Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi
DetaljerKontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby
Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet
DetaljerKontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik
Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand
DetaljerEndelig Kontrollrapport
Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger
Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen
DetaljerKontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord
Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund
Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning
DetaljerHvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015
Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerVedtak om pålegg - Endelig kontrollrapport for Bindal kommune
Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerKontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer
Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerStyringssystem i et rettslig perspektiv
Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet
DetaljerVedtak om pålegg - Endelig kontrollrapport for Vega kommune
Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune
DetaljerVedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet
Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy
DetaljerSpesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum
Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens
DetaljerEndelig kontrollrapport
Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
DetaljerVedtak om pålegg - Endelig kontrollrapport for Sømna kommune
Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises
DetaljerDatabehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg
I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse
DetaljerVedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet
Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund
DetaljerEndelig kontrollrapport
Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerDatabehandleravtale Pilot Digitalt Bortsettingsarkiv
Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt
DetaljerEndelig kontrollrapport
Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig
DetaljerKontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø
Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen
DetaljerEndelig kontrollrapport
Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerEndelig kontrollrapport
Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerRisikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket
DetaljerEndelig kontrollrapport
Saksnummer: 12/00176 Dato for kontroll: 27.03.2012 Rapportdato: 05.09.2012 Endelig kontrollrapport Kontrollobjekt: Kåfjord kommune Sted: Kåfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerKonkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale
Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerDatabehandleravtale. Kommunenes Sentralforbund - Databehandler
U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter
DetaljerRevisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer
Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Mottaker: Kunnskapsdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold til lov om Riksrevisjonen
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014
Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll
DetaljerDATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")
DATABEHANDLERAVTALE mellom [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") og Mattilsynet (heretter kalt "Databehandler") Vedrørende Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig
DetaljerInformasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt
Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.
DetaljerDatabehandleravtale digitale arkiv og uttrekk for deponering
/X,4 finnmark IXS - J.Ki2tfinmarkun IXS - I3C finnmcirku IXS Deanu gielda - Tana kommune Rådhusveien 24 9845 TANA Vår ref Deres ref Saksbehandler Dato 2017/247-2 Gunnhild Engstad 07.12.2017 direkte tlf.:92671905
DetaljerEndelig kontrollrapport
Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut
DetaljerKF Brukerkonferanse 2013
KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom
DetaljerEndelig kontrollrapport
Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerDatabehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021
Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig
DetaljerDatabehandleravtale. Denne avtalen er inngått mellom
Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407
DetaljerEndelig kontrollrapport
Saksnummer: 12/00320 Dato for kontroll: 05.06.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Høyre Utarbeidet av: Knut-Bredee Kaspersen Sted: Oslo 1 Innledning Datatilsynet gjennomførte
DetaljerVedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale
Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering
DetaljerArbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6
Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel
DetaljerVIRKE. 12. mars 2015
VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter
DetaljerEndelig kontrollrapport
Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike
DetaljerInformasjonssikkerhet i Nord-Trøndelag fylkeskommune
Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter
DetaljerSporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler
Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,
DetaljerVedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)
Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerForeløpig kontrollrapport
Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerKontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo
Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen
DetaljerStyresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010
Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010 Møtedato: 14.-15.12.10 Møtested: Mo i Rana I oppdragsdokumentet 2010 heter det i pkt 8.1.2 Risikostyring og intern kontroll, at styret skal
DetaljerHandbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret
Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt
DetaljerDet vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.
Brønnøy kommune Rådmannen Rådhuset 8905 BRØNNØYSUND Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00452-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport - Brønnøy kommune
DetaljerDatatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.
Fjell kommune Postboks 184 5342 STRAUME Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01137-9/RTH 27. februar 2012 Avslutning av sak - kontroll hos Fjell kommune- Internkontroll og informasjonssikkerhet
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig
DetaljerSkytjenester. Forside og Databehandleravtale. Telenor Norge
Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976
DetaljerCloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.
Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en
DetaljerInformasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden
Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter
DetaljerDatabehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale
tale Digitalt I henhold til personopplysningslovens depot 13, jf. 15 personopplysningsforskriftens kapittel 2. mellom Risa; ) cm1iwcwl 09 IKA Trøndelag IKS 1 Avtalens hensikt Avtalens hensikt er å regulere
DetaljerEndelig kontrollrapport
Saksnummer: 12/00319 Dato for kontroll: 02.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Sosialistisk Venstreparti Sted: Akersgata 35, Oslo Utarbeidet av: Knut-Bredee Kaspersen
DetaljerFORVALTNINGSREVISJON AV ELEKTRONISK BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER
FORVALTNINGSREVISJON AV ELEKTRONISK BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER ROGALAND FYLKESKOMMUNE JANUAR 2013 INNHOLD Denne rapportens målgrupper er kontrollutvalget, andre folkevalgte, formelt ansvarlige
DetaljerKan du legge personopplysninger i skyen?
Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerAvtale om leveranse av IKT-tjenester. Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerAVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER
AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift
DetaljerProsjektplan/engagement letter. Mai 2014
a Forvaltningsrevisjon Bergen kommune Informasjonssikkerhet og behandling av personopplysninger gjennomgang og oppfølging av forvaltningsrevisjonsrapport Prosjektplan/engagement letter Mai 2014 Innhold
Detaljer