IKT-sikkerhet og sårbarhet i Risør kommune

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Begynne med side:

Download "IKT-sikkerhet og sårbarhet i Risør kommune"

Transkript

1 Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland-6jerstad-Grimstad-Lillesand-Riser-Tvedestrand-Vegarshei-knii 12-\ cx - IKT-sikkerhet og sårbarhet i Risør kommune Forvaltningsrevisjonsrapport - november 2012

2 INNHOLDSFORTEGNELSE 1. INNLEDNING 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING 3 2.1FORMÅL 3 2.2PROBLEMSTILLINGER 4 2.3AVGRENSING 4 2.4REVISJONSKRITERIER 4 3. METODEVALG OG GJENNOMFØRING 4 4. PROBLEMSTILLING: KRAV TIL STYRINGSSYSTEM STATUS OG VURDERING SIKKERHETSLEDELSE RISIKOVURDERING SIKKERHETSREVISJON AvvIK ORGANISERING PERSONELL OG TAUSHETSPLIKT FYSISK SIKRING SIKRING AV KONFIDENSIALITET SIKRING AV TILGJENGELIGHET SIKRING AV INTEGRITET SIKKERHETSTILTAK SIKKERHET HOS ANDRE VIRKSOMHETER DOKUMENTASJON OPPSUMMERING OG ANBEFALINGER RÅDMANNENS KOMMENTAR 14 Vedlegg: Ordliste Spørreskjema 1

3 FORORD Forvaltningsrevisjon er etter kommuneloven en lovpålagt oppgave for kontrollutvalget og kommunerevisjonen. Formålet med forvaltningsrevisjon er å føre tilsyn med at forvaltningen foregår i samsvar med gjeldende bestemmelser og vedtak. Forvaltningsrevisjon kan også omfatte vurderinger av kommunens forvaltning, med utgangspunkt i oppgaver, ressursbruk og oppnådde resultater. I dette prosjektet har vi undersøkt i hvilken grad Risør kommune etterlever krav i personopplysningsloven med forskrift. I rapporten drøftes funn i tilknytning til problemstillingene og det gis anbefalinger som kan bidra til at kommunen kan ivareta oppgavene som omfatter behandling av personopplysninger på en bedre måte. Prosjektet har i hovedsak vært gjennomført våren og høsten Arendal Revisjonsdistrikt IKS har benyttet ekstern konsulentbistand fra Pragma AS i et felles forprosjektet for alle kommunene. Prosjektet er gjennomført av oppdragsansvarlig forvaltningsrevisor Steinar Johansen i henhold til vedtak i kontrollutvalget i Risør kommune (årsplaner). Risør, den 19. november 2012 Steinar Joh revisjonss) g(-1 2

4 1. Innledning Kontrollutvalget i Risør kommune har i sin årsplan for 2012 vedtatt at prosjektet "IKT sikkerhet og sårbarhet" skal gjennomføres. Kontrollutvalgets bestilling er som følger: "Bruken av IKT er omfattende i kommunen. Tilgjengelighet, sårbarhet, sikkerhet, sikring m.v. ønskes kartlagt." Prosjektet er et fellesprosjekt for alle kommunene som Arendal revisjonsdistrikt IKS reviderer. Prosjektet er nå gjennomført i 7 av kommunene og 3 kommuner gjenstår. Personopplysningsloven 13 "Informasjonssikkerhet" angir det lovpålagte kravet til informasjonssikkerhet. Paragrafens første og annet ledd lyder: "Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfresstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeideren hos den behandlingsansvarlige og hos databehandleren. Personvernnemnda." Dokumentasjonen skal være tilgjengelig for Datatilsynet og Innholdet er nærmere utdypet i personopplysningsforskriftens kapittel 2. Bestemmelsene i forskriften angir krav til det styringssystemet den enkelte virksomhet må etablere for å oppnå tilfredsstillende informasjonssikkerhet. Sentralt i styringssystemet er at kommunene må fastsette overordnede sikkerhetsmål, fastsette akseptabelt risikonivå og fordele ansvar og oppgaver i sikkerhetsarbeidet. Kommunen må fremskaffe en komplett oversikt over alle personopplysninger behandles innenfor de ulike tjenesteområdene. Kommunene må foreta risikovurdering, dvs vurdere sannsynlighetene for og konsekvensene av sikkerhetsbrudd. Det må opprettes rutiner og et aktivt system for avvikshåndtering. som 2. Prosjektets formål, problemstilling og avgrensing 2.1 Formål Hovedformålet er å undersøke i hvilken grad Risør kommune etterlever bestemmelsene i personopplysningsloven og personopplysningsforskriften i sin behandling av personopplysninger. Rapporten skal bidra til at mangler eller feil avdekkes og kartlegges, slik at det kan settes i gang tiltak for å rette opp i dette. 3

5 2.2 Problemstillinger Har kommunen bygget opp et informasjonssikkerhetssystem i henhold til de krav som er gitt i personopplysningsloven med forskrift som trådte i kraft ? Detaljerte problemstillinger, knyttet til i hvilken grad kommunen har fulgt opp krav til styringssystem angitt i personopplysningsforskriften kap 2, fremgår av revisjonens kartleggingsskjema. Status knyttet til det enkelte krav i forskriften er omtalt i kap 4 i denne rapporten. 2.3 Avgrensing De undersøkelser som er foretatt gjelder kun for personopplysninger som helt eller delvis behandles ved hjelp av elektroniske hjelpemidler. 2.4 Revisjonskriterier Revisjonskriterier er en samlebetegnelse på de regler og normer som gjelder innenfor det området som undersøkes. Revisjonskriteriene er basis for de analyser og vurderinger som foretas, konklusjonene som trekkes, og de er et viktig grunnlag for å kunne dokumentere avvik eller svakheter. Metodevalg og gjennomføring Revisjonen har sendt ut kartleggingsskjema til rådmannen. (Skjemaet (spørsmålene) følger som vedlegg til rapporten). Rådmannen har svart og returnert skjemaet til revisjonen. Etter dette er det avholdt et møte med administrasjonen hvor besvarelsen ble gjennomgått. Denne rapporten inneholder resultatene fra kartleggingen og revisjonens vurdering av svarene opp mot kravene i personopplysningsforskriften kap 2. Revisjonens anbefalinger følger til slutt i rapporten. Problemstilling: Krav til styringssystem status og vurdering Spørreskjemaet som danner grunnlaget for revisjonens vurdering, er fylt ut av kommunens rådmann sammen med IT-avdelingen. I de neste kapitler følger en beskrivelse av de opplysninger (fakta) som er gitt gjennom spørreskjemaet og samtaler. Svarene er målt opp mot bestemmelsene i forskriften og danner grunnlaget for revisjonens vurdering og konklusjon Sikkerhetsledelse Regelverk - ifr. forskriftens 2-3 "Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene i dette kapittelet følges. Formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål. Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi. 4

6 Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Resultatet fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og strategi." Fakta Risør har i fellesprosjekt med de andre samarbeidende kommunene i Østregionen utarbeidet egen sikkerhetshåndbok med bl.a. sikkerhetsmål og strategi datert opprettet Dette skal være styrende for kommunens arbeid med informasjonssikkerhet. Risør kommune svarer ja på om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet, men svarer at sikkerhetsmål og sikkerhetsstrategien ikke gjennomgås jevnlig, slik det er pålagt etter personopplysningsforskriften 2-3 og slik det er nedfelt i kommunens sikkerhetsstrategi Vurdering og konklusjon Sikkerhetshåndboken er et strukturert og oversiktlig dokument som gir et godt grunnlag for kommunen i arbeidet med å etablere god informasjonssikkerhet. Det bemerkes at sikkerhetshåndboken er utarbeidet for over 9 år siden og har ikke vært revidert siden. Det vil skje naturlige endringer i en virksomhet, som integrering av nytt informasjonssystem, endringer i rutiner og prosedyrer og med de endringene må det følge en gjennomgang av sikkerhetsstrategien slik at den til en hver tid er tilpasset virksomheten sikkerhetsbehov. For å kunne ivareta tilfredsstillende informasjonssikkerhet er Risør kommune nødt til å revidere sikkerhetsmålet og strategien sin jevnlig. Rutinene er dokumenterte og ligger på plass, men er ikke en integrert del av kommunen. Svarene indikerer at sikkerhetshåndbokens rutiner og delegering av ansvar heller ikke er kjent for de ansatte. 4.2 Risikovurdering Revisjonskriterier jfr. forskriftens 2-4 "Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandling av personopplysninger, jf. første ledd og 2-2. Resultatet av risikovurderingen skal dokumenteres." Fakta Her svares det "nei" på samtlige spørsmål. Det føres ingen samlet oversikt over hvilke opplysninger som behandles, eller hvilke opplysninger som er nødvendig å sikre med hensyn til konfidensialitet, integritet og tilgjengelighet. Den behandlingsansvarlige har heller ikke 5

7 fastsatt kriterier for akseptabel risiko eller kartlagt sannsynligheten for eller konsekvensene av et sikkerhetsbrudd ved hjelp av en risikovurdering Vurdering og konklusjon Svarene innebærer at kravene om risikovurdering etter personopplysningsforskriften 2-4 ikke er imøtekommet. Personopplysningslovens 13 med utfyllende bestemmelser i forskriftens kapittel 2, gir forventninger om tilfredsstillende sikring av informasjonssystemet med grunnlag i risikovurdering. For å kunne gjennomføre en risikovurdering må det med utgangspunkt i oversikt over personopplysninger som behandles, angi hvilke opplysninger som er nødvendig å sikre med hensyn til konfidensialitet, integritet og tilgjengelighet. 4.3 Sikkerhetsrevisjon Revisjonskriterier jfr. forskriftens 2-5 "Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf Resultatet fra sikkerhetsrevisjon skal dokumenteres." Fakta Det svares at det foretas det ikke foretas en etterprøving av sikkerhetsarbeidet, men at dersom det avdekkes bruk av informasjonssystemet som ikke er forutsatt, så blir dette behandlet som avvik. Resultatet av sikkerhetsrevisjonen dokumenteres ikke Vurdering og konklusjon Etter krav i personopplysningsforskriften 2-5 skal det jevnlig gjennomføres en sikkerhetsrevisjon. Avdekking av bruk av informasjonssystemet som ikke er forutsatt, skal behandles som avvik. Formålet med en sikkerhetsrevisjon er å sikre at besluttet sikkerhetsmål og strategi etterleves i hele virksomheten. Resultatet av revisjonen skal dokumenteres og danner grunnlaget for eventuelle nødvendige endringer i sikkerhetsmål og strategi. Sikkerhetsrevisjonen inngår også som grunnlag i ledelsens gjennomgang av informasjonssystemet og informasjonssikkerheten. 4.4 Avvik Revisjonskriterier jfr. forskriftens 2-6 "Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles. Resultatet fra avviksbehandling skal dokumenteres." 6

8 4.4.2 Fakta Kommunen svarer at det ikke er registrert sikkerhetsbrudd og bruk av systemet i strid med fastlagte rutiner. Kommunens sikkerhetshåndbok har rutiner for avviksbehandling og dokumentasjon Vurdering og konklusjon Svarene indikerer at kommunen har etablert avviksrutiner slik sikkerhetshåndboken angir. Her er det også viktig at det kommer frem at et avvik også kan være organisatoriske og prosessuelle avvik som strider mot fastlagte rutiner (Jf. Personopplysningsforskriften 2-6). 4.5 Organisering Revisjonskriterier jfr. forskriftens 2-7 "Det skal etableres klare ansvars- og myndighetsforhold Ansvars- og myndighetsforhold behandlingsansvarliges daglige leder. for bruk av informasjonssystemet. skal dokumenteres og ikke endres uten autorisasjon fra den Informasjonssystemet skal konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås. Konfigurasjonen skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder. Bruk av informasjonssystemet som har betydning for informasjonssikkerheten, skal utføres i henhold til fastlagte rutiner." Fakta Kommunen svarer at det er både etablert klare ansvars og myndighetsforhold for bruk av informasjonssystemet, men at dette ikke er dokumentert, men ikke oppdatert. Det svares nei på spørsmål om det foreligger autorisasjon fra behandlingsansvarliges leder ved endring av ansvars- og myndighetsforhold og ved endring av konfigurasjon. Det svares at informasjonssystemet er konfigurert slik at tilfredsstillende informasjonssikkerhet oppnås Vurdering og konklusjon Autorisasjoner til datasystemene i kommunen har en klar innvirkning på beskyttelse av personopplysningenes konfidensialitet, integritet og tilgjengelighet. Når en ansatt endrer stillingsbeskrivelse og skal jobbe med andre ting, skal tidligere autorisasjoner stenges. For å ivareta riktig autorisasjonsrettigheter for de ansatte, er det viktig at enhetsledere regelmessig får en oppdatert liste over hvilke rettigheter de enkelte ansatte har og kan sammenligne dette med hvilke arbeidsoppgaver som utføres. På denne måten kan det kontrolleres at ingen har flere rettigheter enn det vedkommende trenger for å utføre sine arbeidsoppgaver, og like viktig, at de ansatte har tilstrekkelige rettigheter. For å kunne måle om informasjonssystemet er konfigurert slik at tilfredsstillende informasjonssikkerhet oppnås, må blant annet sikkerhetsmål og sikkerhetsstrategi gjennomgås jevnlig (Jf. Personopplysningsforskriften 2-3). 7

9 4.6 Personell og taushetsplikt Revisjonskriterier ffr. forskriftens 2-8, 2-9 "Medarbeidere hos den behandlingsansvarlige skal bare bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk. Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt. Autorisert bruk av informasjonssystemet skal registreres. Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. Taushetsplikten skal også omfatte annen informasjon med betydning for informasjonssikkerheten." Fakta Det svares at de ansatte har tilstrekkelig med kunnskap til å bruke informasjonssystemene i kommunen og at de kun blir brukt for å utføre pålagte oppgaver og at de har taushetsplikt for personopplysninger der konfidensialitet er nødvendig. På spørsmålene vedrørende privat bruk av informasjonssystemer svares det at det ikke er forbud mot dette Vurdering og konklusjon Svarene tyder på at det ligger rutiner til grunn for bruken av datasystemene og at taushetsplikten ivaretas. Generell taushetserklæring er utarbeidet og underskrives av alle nyansatte i kommunen. 4.7 Fysisk sikring Revisjonskriterier ffr. forskriftens 2-10 "Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å behandle personopplysninger etter forskriften her. Sikkerhetstiltakene skal også hindre uautorisert adgang til annet utstyr av betydning for informasjonssikkerheten. Utstyr skal installeres slik at ikke påvirkning fra driftsmiljøet får betydning for behandlingen av personopplysninger." Fakta Det er kun ett spørsmål under denne delen av spørreundersøkelsen. Det svares at den behandlingsansvarlige har sørget for nødvendige tiltak for å hindre uautorisert adgang til utstyr for behandling av personopplysninger med betydning for informasjonssikkerheten. Som dokumentasjon på dette viser kommunen til konfigurasjonstiltak og utarbeidede rutiner som omfatter både datamessig og fysisk sikring Vurdering og konklusjon Fysisk sikring gjelder ikke bare teknisk forhold så som tilgangsrettigheter, brannmur og lignende, men inkluderer også utforming av arbeidsplassen og fellesområder. Det er hver enkelt enhet sitt ansvar å påse at blant annet samtaler der sensitive opplysninger diskuteres forekommer i lydavskjermet rom, at ikke uvedkommende befinner seg i lokale der sensitive 8

10 opplysninger kan være tilgjengelig og at dør til kontor låses hvis en forlater et rom der sensitive opplysninger ligger synlig. Dette er omtalt i sikkerhetshåndboken, men det synes som om de ansatte ikke har god kunnskap om dette. 4.8 Sikring av konfidensialitet Revisjonskriterier ffr. forskriftens 2-11 "Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet nødvendig. Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for informasjonssikkerheten. Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig. For lagringsmedium som inneholder personopplysninger hvor konfidensialitet er utenfor den er nødvendig, skal behovet for sikring av konfidensialitet fremgå ved hjelp av merking eller på annen måte. Dersom lagringsmediet ikke lenger benyttes for behandling av slike opplysninger, skal opplysningene slettes fra lagringsmediet." Fakta Kommunen svarer at det er truffet tiltak for å hindre uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. Det opplyses at følgende sikringstiltak er iverksatt: låst serverrom med nøkkelsikkerhetssystem, dobbelt innlogging. Server med personopplysninger merkes ikke. Ved avhending av lagringsmedia blir disse fysisk ødelagt gjennom sertifisert firma Vurdering og konklusjon For å sikre at personopplysninger ikke kommer uvedkommende i hende eller blir tilgjengelig for uautoriserte, må det foreligge både en teknisk sikkerhet, men også dokumenterte og implementerte prosesser som skal ivareta personopplysningenes konfidensialitet. Kvalitetshåndboken inneholder rutinebeskrivelser for hvordan sikkerheten kan ivaretas. Kommunen bør gjennomgå dette for å sjekke ut at rutinene er i tråd med forskriftens krav. 4.9 Sikring av tilgjengelighet Revisjonskriterier jfr. forskriftens 2-12 "Det skal treffes tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Sikkerhetstiltakene skal også sikre tilgang til annen informasjon med betydning for informasjonssikkerheten. Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er utilgjengelig for normal bruk. Personopplysninger og annen informasjon som er nødvendig for gjenoppretting av normal bruk, skal kopieres." Fakta Det svares at det er truffet tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Kommunen har rutine for dublisering/back-up av data. Lagringsmediet blir oppbevart i brannsikkert skap i kommunehuset. Det er etablert nødstrøm for serverrom. 9

11 4.9.3 Vurdering og konklusjon Kommunen kommenterer til det første spørsmålet om sikring av tilgang til personopplysninger at dette reguleres ved rutiner for manuell innsyn i dokumenter. Her kommer autorisasjonsrettigheter inn som en viktig del. De ansatte skal ikke ha tilgang til for mye informasjon, men må også ha tilgang til nok informasjon som er nødvendig for å utføre pålagte arbeidsoppgaver. Rutiner ifm sikring av tilgjengelighet vurderes å ha et forbedringspotensiale Sikring av integritet Revisjonskriterier jfr. forskriftens 2-13 "Det skal treffes tiltak mot uautorisert endring av personopplysninger der integritet er nødvendig. Sikkerhetstiltakene skal også hindre uautorisert endring av annen informasjon med betydning for informasjonssikkerheten. Det skal treffes tiltak mot ødeleggende programvare." Fakta På lik linje med spørsmål om sikring av tilgjengelighet, svares det også her "ja" på alle spørsmålene. Kommunen kommenterer at endringer av personopplysninger blir gjort innenfor rammen av de etablerte rutinene vedr adgangskontroll og kontrollfunksjoner i dataprogrammene. Det treffes tiltak for ødeleggende programvare gjennom viruskontroll, informasjon, opplæring, sikkerhetsrutiner, spamfiltrering og brannmur på flere nivåer Vurdering og konklusjon Bestemmelsen pålegger den behandlingsansvarlige å hindre utilsiktet endring av personopplysninger og uautorisert endring av annen informasjon der dette er nødvendig for informasjonssikkerheten. Ved valg av hvilke opplysninger som det skal sikres integritet for, og hvilke sikkerhetstiltak som må etableres, følger som et resultat av risikovurderingen. Kommunen svarer at det ikke er gjennomført risikovurdering Sikkerhetstiltak Revisjonskriterier jfr. forskriftens 2-14 "Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Forsøk på uautorisert bruk av informasjonssystemet skal registreres. Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre. Sikkerhetstiltak skal dokumenteres." Fakta Kommunen svarer her at de har etablert brannmur overvåkning og serverlogg. Uautorisert bruk av informasjonssystemet blir registrert. Det foreligger ingen skriftlig dokumentasjon på dette. 10

12 Vurdering og konklusjon Bestemmelsen her legger opp til at kommunen skal etablere sikkerhetstiltak for å forhindre sikkerhetsbrudd og avdekke hendelser som kan forårsake sikkerhetsbrudd. Sikkerhetstiltak er iverksatt Sikkerhet hos andre virksomheter Revisjonskriterier jfr. forskriftens 2-15 "Den behandlingsansvarlige skal bare overføre personopplysninger elektronisk til den som tilfredsstiller kravene i forskriften her. Den behandlingsansvarlige kan overføre personopplysninger til enhver dersom overføringen skjer i samsvar med reglene i personopplysningsloven 29 og 30, eller når det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register. Leverandører som gjennomfører sikkerhetstiltak, eller gjør annen bruk av informasjonssystemet på den behandlingsansvarliges vegne, skal tilfredsstille kravene i dette kapittelet. Den behandlingsansvarlige skal etablere klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører. Ansvars- og myndighetsforhold skal beskrives i særskilt avtale. Den behandlingsansvarlige skal ha kunnskap om sikkerhetsstrategien hos kommunikasjonspartnere og leverandører, og jevnligforsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet." Fakta Kommunen svarer ja på at behandlingsansvarlige kun overfører personopplysninger til de som tilfredsstiller kravene i personopplysningsloven. Det er ikke inngått særskilt avtale med leverandører om sikkerhet slik forskriften krever Vurdering og konklusjon Dette ansees å være noe mangelfullt. Risør kommune er "eier av" personopplysningene og er derfor ene ansvarlig for at alle parter som behandler opplysningene, også på vegne av kommunen, tilfredsstiller kravene i henhold til personopplysningsloven med tilhørende forskrift. (if. Personopplysningsloven 2, del 5). Den behandlingsansvarlige skal være kjent med sikkerhetsarbeidet hos leverandører ved at det innhentes informasjon om sikkerhetsstrategien i virksomheten. Derigjennom skal den kommunens behandlingsansvarlige forsikre seg om at informasjonssikkerheten hos leverandøren er tilfredsstillende. Kommunen har gjort forsøk på innhenting informasjon om dette. Kommunen har ingen rutine for jevnlig kontroll av at sikkerhetsstrategien er tilfredsstillende Dokumentasjon Revisjonskriterier jfr. forskriftens 2-16 "Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres. Dokumentasjon skal lagres i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave. 11

13 Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registreringer av alle andre hendelser med betydning for informasjonssikkerheten." Fakta Kommunen svarer at rutinene i stor grad er dokumentert i sikkerhetshåndboken. På spørsmål om dokumentasjonen blir lagret i minimum 5 år svares det ja. Ang kommunens registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk så er det ikke etablert noen rutine for registrering av dette Vurdering og konklusjon Bestemmelsen setter et krav til dokumentasjon. Det innebærer at det i tillegg til beskrivelse av tekniske tiltak, skal være rutiner for arbeid med informasjonssystemet og registrering av hendelser. Kommunen har enkelte elementer på plass, men har noe vei å gå for å bringe systemet i samsvar med bestemmelsen. 5. Oppsummering og anbefalinger Generelt Revisjonen har i rapporten dokumentert resultatet av prosjektet i kap. 4. Her fremkommer vurdering og konklusjon under hvert underkapitel. Revisjonens gjennomgang av informasjonssikkerhetsarbeidet i Risør kommune har avdekket flere mangler i forhold til de krav som er nedfelt i personopplysningsforskriften. Faktasammendra Revisjonens gjennomgang viser at Risør kommune har utarbeidet et overordnet dokument for sikkerhetsmål og strategi. Kommunen har ikke utarbeidet en oversikt over de personopplysninger som behandles i kommunen. En slik oversikt er en forutsetning for å få fastsatt kriterier for akseptable risiko og få vurdert sannsynligheten for eller konsekvensene av sikkerhetsbrudd. Kommunen svarer at de ikke gjennomfører risikovurdering og sikkerhetsrevisjon. Arbeid med informasjonssikkerhet, der sikkerhetsrevisjon med gjennomgang av mål, organisering, rutiner og dokumentasjon av sikringstiltak, skal bidra til at kommunen til enhver tid har forsvarlig informasjonssikkerhet, er ikke etablert som en del av kommunens planprosess. Anbefalinger Risikovurderinq Kommunen bør: Utarbeide oversikt over hvilke personopplysninger som behandles i kommunen. Sette opp kriterier for akseptabelt risikonivå i forhold til konsekvens og sannsynlighet for et sikkerhetsbrudd. Gjennomføre risikovurdering. Dokumentere resultatene fra risikovurderingen. Gjennomføre nødvendige tiltak for at behandlingen av personopplysninger skal være innenfor akseptabelt risikonivå. 12

14 Risikorevisjon Kommunen bør legge arbeidet med risikorevisjon inn som en del av den årlige plan- og budsjettprosessen. Sikkerhetshåndboken med beskrivelse av mål, prosesser, organisering, sikringstiltak må revideres. Beskrivelse av sikringstiltak og rutiner må gjennomgås og oppdateres dersom det er behov for det. Risikorevisjon skal sikre at kommunen til enhver tid har en tilfredsstillende informasjonssikkerhet. Arbeidet med informasjonssikkerhet og sikkerhetsrevisjon bør involvere alle i administrasjonen, ledelsen og brukere av system der personopplysninger behandles. Dette er viktig for at kommunen til enhver tid skal ha en forsvarlig sikkerhet ved behandling av personopplysninger. Sikkerhet hos andre leverandører Kommunen bør gjøre seg kjent med sikkerhetsarbeidet informasjon om sikkerhetsstrategien i virksomhetene. hos sine leverandører og innhente Tidsplan Kommunen bør legge en tidsplan for det videre arbeidet med å bygge opp et fullstendig system for informasjonssikkerhet. Det er viktig at ansvarsforhold er helt klare i dette arbeidet. Revisjonen har notert seg at kommunene i DDØ-samarbeidet har satt i gang et felleskommunalt prosjekt som skal utarbeide kvalitetssystem for informasjonssikkerhet. 13

15 6. Rådmannens kommentar. Rådmannen i Risør har avgitt følgende kommentar til rapporten i brev av : Det vises til forvaltningsrapport datert november 2012 vedr. IKT-sikkerhet og sårbarhet i Risør kommune. Rådmannen har ikke merknader til innholdet og konklusjonene i rapporten. Kommunen har tidligere utarbeidet et overordnet dokument for sikkerhetsmål og strategi i 2003 i samarbeid med de fire andre kommunene i øst-regionen. Ved opprettelse av modellen med vertskommune for IKT-oppgaver, har nok arbeidet i den enkelte kommune på IKT-sikkerhet og sårbarhet blitt noe pulverisert. Rapporten avdekker forhold som det må gjøres forbedringer på både mht system med sikkerhetsmål og strategi felles for alle de fem kommunene i øst-regionen, men også mht gjennomføring og oppfølgingen i hver enkel kommune. Det som framkommer i rapporten er i stor grad sammenfallende i de fem kommunene i østregionen. Derfor har det med bakgrunn i bl.a. det arbeidet som er gjort i forbindelse med denne forvaltningsrapporten, blitt arbeidet med en prosjektplan for utarbeidelse av kvalitetssystem for informasjonssikkerhet. Denne prosjektplanen har vært behandlet i plan- og strategigruppen for DDØ, og godkjent av rådmennene i DDØ den Prosjektplanen vedlegges til orientering. Det forventes at den interkommunale arbeidsgruppa skal ha sluttført sitt arbeid med felles kvalitetssystem for de fem kommunene innen Det vil da gjenstå arbeid med å implementere de tiltakene som fremkommer i kvalitetssystemet, samt å få satt denne aktiviteten inn i kommunens årshjul. Det forventes at det arbeidet som skal gjøres i hver kommune er på plass innen Risør kommune har også hatt tilsyn fra Datatilsynet. Med referanse til ovennevnte prosjekt har kommunen frist fra tilsynet på retting av avvik til 1. juni Kildeliste / Referanser Personopplysningsloven (P01) 13 "Informasjonssikkerhet" Personopplysningsforskriftens kapittel 2 Veiledning i informasjonssikkerhet for kommuner og fylkeskommuner, Datatilsynet jan 2005 Risikovurdering av informasjonssystem, Datatilsynet februar 2002 Sikkerhetsbestemmelsene i personopplysningsforskriften, Datatilsynet desember 2000 Seminar om personopplysningsloven, dokumentasjon fra seminar med Pragma AS mars

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Oppfølging av forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 17/4005-1 Saksbehandler: Kari Lousie Hovland Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy

Detaljer

Styringssystem i et rettslig perspektiv

Styringssystem i et rettslig perspektiv Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00176 Dato for kontroll: 27.03.2012 Rapportdato: 05.09.2012 Endelig kontrollrapport Kontrollobjekt: Kåfjord kommune Sted: Kåfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale Pilot Digitalt Bortsettingsarkiv Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. Kommunenes Sentralforbund - Databehandler U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00320 Dato for kontroll: 05.06.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Høyre Utarbeidet av: Knut-Bredee Kaspersen Sted: Oslo 1 Innledning Datatilsynet gjennomførte

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013. Brønnøy kommune Rådmannen Rådhuset 8905 BRØNNØYSUND Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00452-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport - Brønnøy kommune

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt

Detaljer

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010 Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010 Møtedato: 14.-15.12.10 Møtested: Mo i Rana I oppdragsdokumentet 2010 heter det i pkt 8.1.2 Risikostyring og intern kontroll, at styret skal

Detaljer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER) Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

FORVALTNINGSREVISJON AV ELEKTRONISK BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER

FORVALTNINGSREVISJON AV ELEKTRONISK BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER FORVALTNINGSREVISJON AV ELEKTRONISK BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER ROGALAND FYLKESKOMMUNE JANUAR 2013 INNHOLD Denne rapportens målgrupper er kontrollutvalget, andre folkevalgte, formelt ansvarlige

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00319 Dato for kontroll: 02.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Sosialistisk Venstreparti Sted: Akersgata 35, Oslo Utarbeidet av: Knut-Bredee Kaspersen

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010. Fjell kommune Postboks 184 5342 STRAUME Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01137-9/RTH 27. februar 2012 Avslutning av sak - kontroll hos Fjell kommune- Internkontroll og informasjonssikkerhet

Detaljer

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale tale Digitalt I henhold til personopplysningslovens depot 13, jf. 15 personopplysningsforskriftens kapittel 2. mellom Risa; ) cm1iwcwl 09 IKA Trøndelag IKS 1 Avtalens hensikt Avtalens hensikt er å regulere

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og

Detaljer

Prosjektplan/engagement letter. Mai 2014

Prosjektplan/engagement letter. Mai 2014 a Forvaltningsrevisjon Bergen kommune Informasjonssikkerhet og behandling av personopplysninger gjennomgang og oppfølging av forvaltningsrevisjonsrapport Prosjektplan/engagement letter Mai 2014 Innhold

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Krav til informasjonssikkerhet i nytt personvernregelverk

Krav til informasjonssikkerhet i nytt personvernregelverk Krav til informasjonssikkerhet i nytt personvernregelverk 8. desember 2017 Informasjonsikkerhet er et ledelsesansvar Sikkerhetsledelse Klare ansvarsforhold Oversikt over det totale risikobildet og beslutte

Detaljer

INFORMASJONSSIKKERHET VED ELEKTRONISK BEHANDLING AV PERSONOPPLYSNINGER

INFORMASJONSSIKKERHET VED ELEKTRONISK BEHANDLING AV PERSONOPPLYSNINGER INFORMASJONSSIKKERHET VED ELEKTRONISK BEHANDLING AV PERSONOPPLYSNINGER Forvaltningsrevisjon - november 2014 Lorem ipsum dolor sit amet consectetuer adipiscing elit curabitur quis Tidligere undersøkelser

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom Oslo kommune Velferdsetaten Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom Velferdsetaten Org.nr: behandlingsansvarlig og Org.nr.:

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

Databehandleravtale etter personopplysningsloven m.m

Databehandleravtale etter personopplysningsloven m.m Databehandleravtale etter personopplysningsloven m.m Databehandleravtale I henhold til personopplysningsloven 13, jf. 15 og personopplysningsforskriftens kapittel 2. Avtalen omhandler også håndtering av

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10

Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10 SANDNES KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : S. Haugen Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10 RAPPORT ETTER FORVALTNINGSREVISJON - ELEKTRONISK

Detaljer