INFORMASJONSSIKKERHET VED ELEKTRONISK BEHANDLING AV PERSONOPPLYSNINGER
|
|
- August Farstad
- 7 år siden
- Visninger:
Transkript
1 INFORMASJONSSIKKERHET VED ELEKTRONISK BEHANDLING AV PERSONOPPLYSNINGER Forvaltningsrevisjon - november 2014 Lorem ipsum dolor sit amet consectetuer adipiscing elit curabitur quis
2 Tidligere undersøkelser fra fylkesrevisjonen i Nordland Selskapskontroll Nordland Næringsvekst AS (2014) Fylkeskommunens kunstsamling (2013) Rammeavtaler og innkjøpspraksis (2013) Inventar og utstyrskontroll (2013) Offentlige anskaffelser i samferdselssektoren (2013) Sykepengerefusjon (2012) Eiendomsforvaltningen (2012) Likestilling og mangfold (2011) Prosjektstyring i byggeprosjekter (2011) Oppfølging av fagopplæringen (2010) Beredskap i den videregående skole (2010) Rådgivning i skolen (2010) Spesialundervisning (2009) Etiske retningslinjer (2009) Tannhelsetilbudet til eldre/uføre mv. (2008) Offentlige anskaffelser (2008) IKT i fylkeskommunen (2007) Inventar og utstyrskontroll (2007) Regionale utviklingsmidler i næringsog samferdselsavdelingen (2006) Lønn overføring undervisningspersonell fra statlig til kommunalt tariffområde (2005) Momskompensasjonsordningen (2005) Økonomifunksjonen i tannhelsetjenesten (2005) Lønn, praktisering av hovedtariffavtalen (2004) Ressurssentervirksomheten (2004) Telefonisaken (2004) Nordland fylkeskommunes kunstsamling (2004) IKT- funksjonen styring og organisering (2003) Lønn gjennomgående kontroller (2003) Innkjøpsordningen (2002) Boligforvaltningen (2001) Flyreiseavtalen med Braathens (2001) Rammeavtaler og innkjøpspraksis (2008) Tilskuddsmidler i kulturavdelingen (2008) Naturalytelser og utgiftsgodtgjørelser (2007) Vedtaksoppfølging (2007) For ytterligere informasjon om revisjonens undersøkelser vises til våre hjemmesider
3
4 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Sammendrag Fylkesrevisjonen har i denne undersøkelsen sett nærmere på i hvilken grad Nordland fylkeskommune har system og rutiner som ivaretar informasjonssikkerheten ved elektronisk behandling av. Vi har også sett på om gjeldende regelverk på området blir fulgt. I undersøkelsen har vi sett på hvordan Nordland fylkeskommune arbeider med informasjonssikkerhet på overordnet nivå. Vi har ikke sett på hvordan det blir arbeidet med informasjonssikkerhet på avdelingsnivå eller i tilknytning til de ulike fagsystemene. Nordland fylkeskommune svarte i Datatilsynets kommuneundersøkelse at de ikke har etablert et dokumentert internkontrollsystem for behandling av. Fylkesrevisjonens undersøkelse viser at Nordland fylkeskommune per i dag ikke har et tilfredsstillende internkontrollsystem for informasjonssikkerhet. De alvorligste manglene vår undersøkelse har avdekket er: - Ansvarsplassering. o Fylkesrådet har ikke utpekt en person med nødvendig myndighet til å sørge for at informasjonssikkerheten i Nordland fylkeskommune til en hver tid oppfyller kravene i personopplysningsloven og -forskriften. Det er heller ikke klart hvem som skal inneha de øvrige funksjonene som er nødvendige for å ivareta informasjonssikkerheten. - Oversikt over. o Nordland fylkeskommune har ikke en samlet oversikt over hvilke som blir behandlet. Fylkeskommunen har følgelig ikke det nødvendige grunnlaget for å definere virksomhetens sikkerhetsmål, gjennomføre risikovurderinger og utforme en sikkerhetsstrategi. På bakgrunn av de funn som er gjort mener fylkesrevisjonen at Nordland fylkeskommune i liten grad etterlever kravene i personopplysningsloven og -forskriften. Fylkeskommunen har dermed ikke etablert de retningslinjer og rutiner som er nødvendige for å ivareta informasjonssikkerheten. Fylkesrevisjonen i Nordland, november 2014 Side 2 av 17
5 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Innholdsfortegnelse FORORD... 1 SAMMENDRAG INNLEDNING FORMÅL, PROBLEMSTILLINGER OG AVGRENSNING METODER OG GJENNOMFØRING REVISJONS-/VURDERINGSKRITERIER FAKTABESKRIVELSE OG REVISJONENS VURDERING OVERORDNET SYSTEM FOR INFORMASJONSSIKKERHET VED BEHANDLING AV PERSONOPPLYSNINGER Revisjonskriterier Fakta Revisjonens vurdering RUTINER SOM IVARETAR DEN REGISTRERTE PERSONENS RETTIGHETER Revisjonskriterier Fakta Revisjonens vurdering SIKKERHETSTILTAK Revisjonskriterier Fakta Revisjonens vurdering SYSTEM FOR KONTROLL OG AVVIKSHÅNDTERING Revisjonskriterier Fakta Revisjonens vurdering KONKLUSJON, ANBEFALING HØRINGSUTTALELSE LITTERATURLISTE: Vedlegg: 1. Revisjonskriteriene 2. Høringsuttalelse Fylkesrevisjonen i Nordland, november 2014 Side 3 av 17
6 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av 1. Innledning Kontrollutvalget behandlet årsplan for gjennomføring av forvaltningsrevisjon for revisjonsåret 2012 den 11. juni 2012 og ba fylkesrevisjonen i samme sak (27/12) gjennomføre forvaltningsrevisjon på informasjonssikkerhet og behandling av. 2. Formål, problemstillinger og avgrensning Hovedmålsettingen med dette forvaltningsrevisjonsprosjektet har vært å undersøke i hvilken grad Nordland fylkeskommune har system og rutiner som ivaretar informasjonssikkerheten ved elektronisk behandling av og om gjeldende regelverk på området blir fulgt. Ut fra hovedmålsettingen har vi definert følgende problemstillinger: 1. I hvilken grad har Nordland fylkeskommune etablert et overordnet system for informasjonssikkerhet ved behandling av? 1.1 Er det klarlagt hvem som har ansvaret for behandlingen av? 1.2 Har Nordland fylkeskommune tilfredsstillende oversikt over som behandles? 1.3 Har Nordland fylkeskommune et overordnet system som sikrer personopplysningene på en tilfredsstillende måte? 2. I hvilken grad har Nordland fylkeskommune innført rutiner som sikrer at den registrerte personens rettigheter ivaretas? 3. I hvilken grad har Nordland fylkeskommune utarbeidet sikkerhetstiltak? 4. I hvilken grad har Nordland fylkeskommune system for kontroll og avvikshåndtering? 4.1 Har Nordland fylkeskommune et system for avvikshåndtering? 4.2 Har Nordland fylkeskommune et system for sikkerhetsrevisjon? For øvrig gjør vi oppmerksom på at følgende avgrensninger gjelder: I dette prosjektet har vi undersøkt hvordan Nordland fylkeskommune arbeider med informasjonssikkerhet på overordnet nivå. Vi har ikke undersøkt hvordan informasjonssikkerheten ivaretas på avdelingsnivå i de ulike fagsystemene. Definisjoner: Informasjonssikkerhet: I personopplysningsloven 13 pålegges den behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet ved behandling av. Dette omfatter å sørge for at tilstrekkelig sikkerhetsfaglig kompetanse er tilgjengelig hos den behandlingsansvarlige. I tillegg til ansvar for sikkerheten i egen organisasjon, må den behandlingsansvarlige også forsikre seg om at informasjonssikkerheten er tilfredsstillende hos kommunikasjonspartnere og leverandører. Begrepet informasjonssikkerhet omfatter: Sikring av konfidensialitet, dvs. beskyttelse mot at uvedkommende får innsyn i opplysningene. Sikring av integritet, dvs. beskyttelse mot utilsiktet endring av opplysningene. Sikring av tilgjengelighet, dvs. sørge for at tilstrekkelige og relevante opplysninger er tilstede. 1 Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson, jf. personopplysningsloven 2. Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av og hvilke hjelpemidler som skal brukes, jf. personopplysningsloven 2. Databehandler: den som behandler på vegne av den behandlingsansvarlige, jf. personopplysningsloven 2. 1 Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer, SV-100:2000 Datatilsynet. Fylkesrevisjonen i Nordland, november 2014 Side 4 av 17
7 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Behandling av : enhver bruk av som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, jf personopplysningsloven Metoder og gjennomføring Dette forvaltningsprosjekt er gjennomført i samsvar med standard for forvaltningsrevisjon fastsatt av Norges Kommunerevisorforbund (RSK001). Denne undersøkelsen er i hovedsak basert på dokumentanalyse. Det er Nordland fylkeskommunes HR-sjef som har vært vår kontaktperson for dette prosjektet. I starten av prosjektet var det vanskelig å få svar fra HR på våre henvendelser og gjentatte purringer. Vår første forespørsel ble sendt til HR den 29. august 2013 og det var først den 7. februar 2014 at vi fikk et fullstendig svar på vår forespørsel. Videre måtte fylkesrevisjonen legge prosjektet i bero i perioden april-september 2014 på grunn av gjennomføring av selskapskontroll. Fylkesrevisjonen har gjennomført dokumentanalyse av det vi har mottatt som svar fra HR. Fylkesrevisjonen har også vært i kontakt med IT-tjenesten og kvalitetsleder for Nordland fylkeskommune 2 for å innhente informasjon. Fylkesrevisjonen har gjennomført to møter med HR. Det er skrevet referat fra ett av disse møtene og referatet er verifisert. Dataene til denne rapporten er samlet inn i perioden juni 2013 til oktober HR, IT-tjenesten og kvalitetsleder for Nordland fylkeskommune har kommentert revisjonens foreløpige faktabeskrivelser og vurderinger. I dette prosjektet har vi benyttet dokumentet «Kommunens Internkontroll. Verktøy for rådmenn» som er utarbeidet av Datatilsynet i Vi har i den forbindelse vært i kontakt med Datatilsynet for å få svar på spørsmål vi hadde rundt enkelte av kravene som er stilt i dokumentet. Samlet sett mener vi at datagrunnlaget er godt egnet til å besvare prosjektets problemstillinger. 4. Revisjons-/vurderingskriterier Revisjonens vurderinger bygger på en sammenligning av fylkeskommunens praksis med revisjons- /vurderingskriterier som sier noe om hvordan praksisen bør være. Revisjons- eller vurderingskriterier kan utledes fra politiske vedtak, lover og forskrifter, anerkjent praksis osv. For å kunne vurdere fakta og besvare problemstillingene i punkt 2 har vi lagt til grunn følgende kilder: Lov om behandling av (personopplysningsloven). Forskrift om behandling av (personopplysningsforskriften). Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer. Datatilsynet Kommunens internkontroll. Verktøy for rådmenn. Datatilsynet En veiledning om internkontroll og informasjonssikkerhet. Datatilsynet Basert på revisjonens gjennomgang av de ovennevnte kildene har vi utledet et sett av revisjonskriterier for den enkelte problemstilling. Revisjonskriteriene er operasjonaliserte og nærmere beskrevet i vedlegg nr. 1. Kriteriene blir også nærmere beskrevet i kapittel 5 i forbindelse med hver enkelt problemstilling. 2 Nordland fylkeskommune har et system for kvalitetsstyring (SfKS). En kvalitetsleder har myndighetsfunksjon med hovedvekt på opprettelse, vedlikehold, drift og utvikling av kvalitetssystem, innenfor en etat/driftsenhet. Fylkesrevisjonen i Nordland, november 2014 Side 5 av 17
8 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av 5. Faktabeskrivelse og revisjonens vurdering I Nordland fylkeskommunen arbeider det om lag 3500 personer med ansvar for viktige velferdstjenester for de som bor i fylket. I sitt arbeid behandler mange av de ansatte som fylkeskommunen vil måtte lagre. Det store volumet av må være gjenstand for forsvarlig håndtering. Datatilsynet satte i verk en systematisk kartlegging av norske kommuners/fylkeskommuners etterlevelse av personopplysningsloven i 2010 der de tok utgangspunktet i systemplikten kommunene har etter personopplysningslovens 14 (internkontroll). I undersøkelsen satte Datatilsynet opp en rekke kontrollspørsmål som er tuftet på elementer tilsynet mener må være tilstede i et tilfredsstillende internkontrollsystem. Undersøkelsen viste at bare 7 % hadde etablert tilfredsstillende internkontroll 3. Nordland fylkeskommune deltok i undersøkelsen og svarte at fylkeskommunen ikke har etablert et dokumentert internkontrollsystem for behandling av 4. På bakgrunn av undersøkelsen utarbeidet Datatilsynet i 2012 et verktøy for å hjelpe rådmenn til å kartlegge situasjonen i egen kommune kalt: «Kommunenes Internkontroll. Verktøy for rådmenn. Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven». Verktøyet er lagt opp som en sjekkliste på 49 spørsmål. En gjennomgang av sjekklisten viser om kommunene etterlever personopplysningsloven på en god måte og gir en oversikt over status for internkontroll. For å undersøke Nordland fylkeskommunes internkontroll og etterlevelse av personopplysningsloven har vi i stor grad benyttet oss av Datatilsynets verktøy for rådmenn. Hvilke spørsmål vi har benyttet oss av går fram av revisjonskriteriene for den enkelte problemstilling. I personopplysningsloven er det en egen paragraf (14) som omhandler internkontroll: «Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningslovens kvalitet. Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.» Et system for internkontroll blir tradisjonelt delt inn i tre deler 5 : Styrende (primært ledelsesorienterte dokumenter og beslutninger) Gjennomførende (rutiner rettet mot ansatte) Kontrollerende (periodisk gjennomgang og avvikssystem) I denne undersøkelsen har vi sett på om Nordland fylkeskommune har et internkontrollsystem for informasjonssikkerhet som inneholder disse delene/elementene Overordnet system for informasjonssikkerhet ved behandling av Under dette punktet har vi sett på tre forhold. Det første er om det er klarlagt hvem som har ansvaret for behandlingen av. Det andre forholdet vi har sett på er om Nordland fylkeskommune har tilfredsstillende oversikt over som behandles. Til sist har vi undersøkt om Nordland fylkeskommune har et overordnet system som sikrer personopplysningene på en tilfredsstillende måte. 3 Kommuneundersøkelsen Datatilsynet 2011:3. 4 Kommuneundersøkelsen Datatilsynet 2011, vedlegg IV. 5 Kommuneundersøkelsen Datatilsynet 2011:6. Fylkesrevisjonen i Nordland, november 2014 Side 6 av 17
9 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Revisjonskriterier For at det skal være klarlagt hvem som har ansvar for behandlingen av bør Nordland fylkeskommune: ha en dokumentert oversikt over alle som er ansvarlig for behandling av. For å ha en tilfredsstillende oversikt over personopplysningene som behandles bør Nordland fylkeskommune ha: en skriftlig oversikt over hvilke som behandles. avklart det rettslige grunnlaget for hver behandling. oversikt over det rettslige grunnlaget for hver behandling. dokumentert hvilket formål de ulike opplysningene er samlet inn for. en oversikt over hvilke krav i personopplysningsloven og tilhørende forskrift som gjelder for den (hver enkelt behandling). For å ha et overordnet system som sikrer personopplysningene på en tilfredsstillende måte skal Nordland fylkeskommune: ha fastsatt sikkerhetsmål. beskrive sine valg og prioriteringer i sikkerhetsarbeidet i en sikkerhetsstrategi. gjennomgå sikkerhetsmål og sikkerhetsstrategi jevnlig for å klarlegge at disse ivaretar fylkeskommunens behov. kunne gi uttrykk for hva som er akseptabel risiko (dvs. hva som er Nordland fylkeskommunes akseptkriterier) basert på egne sikkerhetsmål og sikkerhetsstrategi. gjennomføre risikovurderinger som dokumenterer at risikoen for sikkerhetsbrudd ligger innenfor Nordland fylkeskommunes fastsatte akseptkriterier (som beskrevet i sikkerhetsmålene og sikkerhetsstrategien). ha etablert og dokumentert en sikkerhetsorganisasjon hvor roller og ansvar for informasjonssikkerhet er klart definert. ha en samlet oversikt over informasjonssystemets utforming Fakta Ansvar for behandling av En viktig forutsetning for å ivareta etterlevelse av personopplysningsloven er at ansvaret for internkontrollen er tydelig for de ansatte. Fylkeskommunen må først og fremst være kjent med hvilke krav i regelverket som gjelder dem. Deretter må fylkeskommunen kartlegge hvilke behandlinger av som behandles 6. Behandlingsansvarlig er den som bestemmer formålet med behandlingen av og hvilke hjelpemidler som skal brukes, jf. personopplysningsloven 2 nr. 4. Den behandlingsansvarlige har blant annet ansvaret for at personopplysningsloven og personopplysningsforskriften følges og for at det blir etablert internkontroll som etterleves. Normalt er den behandlingsansvarlige representert ved virksomhetens daglige leder eller administrerende direktør. I Nordland fylkeskommune vil det derfor være fylkesrådsleder som er behandlingsansvarlig. Den behandlingsansvarlige kan delegere operativt ansvar for daglige arbeidsoppgaver i forbindelse med intern kontroll, men kan ikke delegere ansvaret i forhold til lov 7. Fylkesrevisjonen har bedt om å få informasjon om hvordan arbeidet med informasjonssikkerhet ved elektronisk behandling av er organisert i Nordland fylkeskommune, herunder hvordan ansvars- og myndighetsforhold er klarlagt. I brev av 29. august 2013 har vi også spurt HR om Nordland fylkeskommune har en dokumentert oversikt over hvem som er ansvarlig for behandlingen av. Oversikten skal vise hvem som er delegert det daglige ansvaret. 6 Kommunens Internkontroll. Verktøy for rådmenn. Datatilsynet 2012:5. 7 Veileder om internkontroll og informasjonssikkerhet. Datatilsynet 2009:11-12, samt personopplysningsloven 14. Fylkesrevisjonen i Nordland, november 2014 Side 7 av 17
10 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av HR har i brev av 7. februar 2014 svart at Nordland antakelig har et nærmere 3-sifret antall datasystemer med tilsvarende antall systemansvarlige. Det foreligger ikke en samlet oversikt over systemene og hvem som er systemansvarlige for disse. HR gir en oversikt over noen elektroniske system/datasystemer som inneholder i Nordland fylkeskommune. Blant disse er: Visma, Websak, Opus og Klara Klok Systemet. HR-sjefen skriver i e-post av 29. oktober 2014 at det gjennom prosjektet om Informasjonssikkerhet er kommet fram at Nordland fylkeskommune ikke har gjort en ansvarsplassering av informasjonssikkerhetsspørsmål. HR-sjefen mener det her er nødvendig med plassering av det faglige ansvaret og at det systemisk antakelig ligger et eller annet sted i grenselandet mellom HR, IT og kvalitetsledelse. HR ser det er et behov for å få ansvaret avklart i organisasjonen og at det ikke vil bli utarbeidet overordnede rutiner slik revisjonen etterspør før dette blir gjort. Ansvar og organisering av arbeidet med informasjonssikkerhet i Nordland fylkeskommune er omtalt i fylkeskommunens sikkerhetsstrategi, økonomihåndbok del 1 fra 2007 og IT-strategi for perioden I sikkerhetsstrategien, som ble vedtatt av fylkesrådet den 20. mai 2008, står blant annet: «Informasjonssikkerhet inngår som en integrert del av de oppgaver og ansvar som påhviler lederne av alle fylkeskommunale virksomheter. Lederens overordnede ansvar for informasjonssikkerhet kan ikke delegeres. Lederen skal etablere klare ansvars- og myndighetsforhold. Også ledere på alle underliggende nivåer skal påse at tilfredsstillende informasjonssikkerhet oppnås innen den enkeltes ansvars- og myndighetsområde. Den tekniske tilretteleggingen vedrørende informasjonssikkerhet knyttet til informasjonssystemer tilligger IT-ansvarlig med mindre ledelsen har utpekt noen annen sikkerhetsansvarlig. Rutiner for internkontroll, så som risikovurderinger, sikkerhetsrevisjon og avviksbehandling skal være etablert. Ansvar og arbeidsoppgaver vedrørende informasjonssikkerhet skal innarbeides i stillingsbeskrivelsene. Sikkerhetsansvarlig rapporterer direkte til virksomhetsleder i sikkerhetssaker.» I økonomihåndboken går det fram at IT er et lederansvar og omfatter all bruk av IT som hører under det aktuelle ledelsesnivå, blant annet planlegging og drift, samt håndheving av relevante lover og regler. I IT-strategien går det fram at Nordland fylkeskommunes visjon på det IT-strategiske området er: kvalitet, brukervennlighet og effektivitet gjennom aktiv bruk av ny informasjonsteknologi. Videre går det fram at fylkeskommunen skal realisere visjonen gjennom økt bruk av digitale tjenester og koordinert planlegging. Viktige føringer i dette arbeidet er oppgitt å være blant annet: ledelsesforankring og tydelige ansvarsforhold, samt fokus på informasjonssikkerhet og personvern. Det er et eget punkt om IT-organisasjon og ledelse i IT-strategien. Her går det fram at organiseringen av IT-tjenesten er basert på ansvarsdeling mellom systemeier og IT-tjenesten. Et fagsystem eies av tilhørende fagavdeling (systemeier). Systemeier er kontraktspart mot leverandøren og har ansvar for vedlikehold, utvikling og opplæring. Ved behov bistår IT-tjenesten systemeier i kontakt mot leverandøren. Systemeier har også ansvar for at systemet brukes som et effektivt verktøy i organisasjonen. IT-tjenesten har ansvar for sikker og stabil drift og er systemeier på fellessystemer. Oversikt over som behandles Fylkeskommunen skal ha en oversikt over hvilke den behandler, jf. personopplysningsloven 2-4. Oversikten over behandlinger må blant annet inneholde det juridiske grunnlaget for og formålet med behandlingen. Datatilsynet anbefaler at det enten lages en liste over alle behandlinger eller at listene over de ulike behandlingene sammenstilles, slik at det foreligger en samlet oversikt 8. 8 Kommunens Internkontroll. Verktøy for rådmenn. Datatilsynet 2012:5. Fylkesrevisjonen i Nordland, november 2014 Side 8 av 17
11 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Oversikten er nødvendig for at virksomheten skal kunne ivareta sine plikter. Den danner også grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved risikovurderinger 9. I vårt brev av 29. august 2013 til HR har vi spurt om Nordland fylkeskommune har: Oversikt over hvilke som behandles Avklart det rettslige grunnlaget for hver behandling Oversikt over det rettslige grunnlaget for alle behandlinger Dokumentert hvilket formål de ulike opplysningene er samlet inn for Oversikt over hvilke krav i personopplysningsloven og tilhørende forskrift som gjelder for den enkelte behandling HR svarer i sitt brev av 7. februar 2014 at Nordland fylkeskommune ikke har noe av det ovennevnte. Overordnet system for å sikre personopplysningene Fylkeskommunen skal sikre personopplysningene på en tilfredsstillende måte. For å kunne gjøre dette er det flere krav i personopplysningsforskriften fylkeskommunen må oppfylle. Fylkeskommunen må: ha fastsatt sikkerhetsmål der formålet med behandling av og overordnede føringer for bruk av informasjonsteknologi skal beskrives ha en sikkerhetsstrategi der fylkeskommunens valg og prioriteringer i sikkerhetsarbeidet er beskrevet jevnlig gjennomgå sikkerhetsmål og sikkerhetsstrategi for å klarlegge at disse ivaretar fylkeskommunens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat fastlegge kriterier for akseptabel risiko forbundet med behandlingen av gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd der resultatet av risikovurderingen sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandling av ha etablert og dokumentert en sikkerhetsorganisasjon hvor roller og ansvar for informasjonssikkerhet er klart definert ha en samlet oversikt over informasjonssystemets utforming (konfigurasjon) Vi har vært i kontakt med både HR og IT-tjenesten for å innhente informasjon om Nordland fylkeskommune oppfyller kravene i punktene nevnt over. Det framgår av den informasjon vi har mottatt fra de to avdelingene at Nordland fylkeskommune: ikke jevnlig gjennomgår fylkeskommunens sikkerhetsmål og sikkerhetsstrategi. Ikke har fastlagt kriterier for hva som er akseptabel risiko forbundet med behandlingen av. Dette er ikke tatt med i sikkerhetsstrategien fra 2008 og er heller ikke beskrevet andre steder. Ikke gjennomfører risikovurderinger som dokumenterer at risikoen for sikkerhetsbrudd ligger innenfor fylkeskommunens fastsatte kriterier. Ikke har en skriftlig, samlet oversikt over informasjonssystemets utforming (konfigurasjon). Fylkeskommunens sikkerhetsstrategi fra 2008 inneholder sikkerhetsmål og til en viss grad beskrivelse av valg og prioriteringer i sikkerhetsarbeidet. Fylkesrevisjonen kan imidlertid ikke se at det er beskrevet eller etablert en sikkerhetsorganisasjon der roller og ansvar for informasjonssikkerhet er klart definert. IT-tjenesten opplyser i e-post av 30. januar 2014 at de også etterlyser en overordnet plan for blant annet informasjonssikkerhet, risiko og sikkerhetsanalyser Revisjonens vurdering Fylkesrevisjonens gjennomgang viser at Nordland fylkeskommune ikke har etablert et overordnet system for informasjonssikkerhet ved behandling av. Dette betyr også at fylkeskommunen ikke følger regelverket på de fleste av punktene vi har sett på her. 9 Veileder om internkontroll og informasjonssikkerhet. Datatilsynet 2009:12. Fylkesrevisjonen i Nordland, november 2014 Side 9 av 17
12 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Fylkesrevisjonen forstår det slik at arbeidet med informasjonssikkerhet er delegert ned i linjen til fylkeskommunens virksomhetsledere, men at fylkeskommunen ikke har en dokumentert oversikt over hvem som er ansvarlig for behandling av. Vår gjennomgang viser også at det uklart hvem som har ansvar for å ivareta informasjonssikkerheten i Nordland fylkeskommune. Det går også fram av vår gjennomgang at fylkeskommunen ikke har en oversikt over hvilke personopplysningene som behandles i virksomheten. Fylkeskommunen har heller ikke etablert et overordnet system som sikrer personopplysningene på en tilfredsstillende måte Rutiner som ivaretar den registrerte personens rettigheter Her har vi sett på i hvilken grad Nordland fylkeskommune har innført rutiner som sikrer at den registrerte personens rettigheter ivaretas Revisjonskriterier Nordland fylkeskommune skal ha dokumenterte rutiner: som sikrer at innbyggere og andre registrerte får informasjon om sine rettigheter til innsyn i, retting av feil informasjon og supplering av personlig informasjon ved behandling av der behandlingsgrunnlaget er fastsatt i lov eller forskrift. som sikrer at det innhentes samtykke eller inngås avtale når det vil utgjøre behandlingsgrunnlaget. for sletting av. Rutinene skal være avstemt mot relevante bestemmelser i personopplysningsloven og arkivloven. for å kontrollere om behandlingen av er konsesjonspliktig før behandlingen tar til. for å kontrollere om en behandling av er meldepliktig før den gjennomføres Fakta Det er flere rutiner fylkeskommunen må ha utarbeidet for å oppfylle sine plikter og sikre de registrerte personenes rettigheter, herunder de vi har satt som revisjonskriterier over. Dette er hovedsakelig hjemlet i personopplysningsforskriften 3-1. I vårt brev av 18. juni 2013 til Datatilsynet har vi spurt om det er krav om at virksomheten skal ha utarbeidet felles rutiner for hele virksomheten på dette området, eller om det skal/kan utarbeides egne rutiner for de ulike datasystemene. I e-post av 20. juni 2013 svarer Datatilsynet at det bør være felles rutiner for hele virksomheten og at egne rutiner for hvert enkelt system ville vært særdeles krevende å vedlikeholde og følge opp. I vårt brev med vedlegg av 29. august 2013 spurte vi HR om Nordland fylkeskommune har utarbeidet rutiner: som sikrer at innbyggere og andre registrerte får informasjon om sine rettigheter til innsyn i, retting av feil informasjon og supplering av personlig informasjon ved behandling av der behandlingsgrunnlaget er fastsatt i lov eller forskrift. som sikrer at det innhentes samtykke eller inngås avtale når det vil utgjøre behandlingsgrunnlaget. for sletting av. Rutinene skal være avstemt mot relevante bestemmelser i personopplysningsloven og arkivloven. for å kontrollere om behandlingen av er konsesjonspliktig før behandlingen tar til. for å kontrollere om en behandling av er meldepliktig før den gjennomføres. I sitt brev av 7. februar 2014 svarer HR at Nordland fylkeskommune ikke har utarbeidet slike rutiner. Fylkesrevisjonen i Nordland, november 2014 Side 10 av 17
13 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Revisjonens vurdering Nordland fylkeskommune har ikke etablert felles rutiner som sikrer at de registrerte personenes rettigheter blir ivaretatt. Fylkeskommunen etterlever ikke regelverket på dette området. Vi har ikke sett på om de ulike avdelingene i fylkesadministrasjonen, de videregående skolene eller tannhelsetjenesten har utarbeidet egne rutiner på dette området, og vi uttaler oss derfor ikke om dette i denne rapporten Sikkerhetstiltak Her har vi sett på i hvilken grad Nordland fylkeskommune har utarbeidet sikkerhetstiltak. Vi har kun sett på hva som foreligger på overordnet nivå og ikke sett på enkelt systemer Revisjonskriterier Nordland fylkeskommune skal ha: etablert tiltak for å sikre konfidensialitet for personopplysningene som behandles i egne systemer. etablert tiltak for å sikre at ansatte har tilgang til alle relevante som er nødvendig for vedkommendes arbeid (tilgjengelighet). sikret seg at endring av i systemene kun kan gjøres av autorisert personell (integritet). etablert tiltak mot ødeleggende programvare, som for eksempel trojanere eller andre virus (integritet). sikkerhetstiltak som hindrer uautorisert bruk av informasjonssystemet. et system som gjør at forsøk på uautorisert bruk av informasjonssystemet blir registrert slik at den kan følges opp videre Fakta Den behandlingsansvarlige skal gjennomføre tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet, jf. 13 første ledd i personopplysningsloven, jf. personopplysningsforskriften 2-11, 2-12 og Valg av hvilke opplysninger som det skal sikres konfidensialitet, tilgjengelighet og integritet for og hvilke sikkerhetstiltak som må etableres, følger av resultatet av risikovurderingen 10. Sikring av konfidensialitet handler om å sikre data eller opplysninger fra uvedkommende. Bestemmelsen i personopplysningsforskriften, 2-11, pålegger den behandlingsansvarlige å hindre uautorisert innsyn i. Sikring av tilgjengelighet handler om at skal være tilgjengelig for rette person til rett tid. Bestemmelsen i personopplysningsforskriften, 2-12, pålegger den behandlingsansvarlige å sikre nødvendig innsyn i opplysninger slik at behandlingen av kan gjennomføres som besluttet. Sikring av integritet handler om at ikke skal kunne endres av andre enn personell som er autorisert til å gjøre dette 11. Bestemmelsen i personopplysningsforskriften, 2-13, pålegger den behandlingsansvarlige å hindre utilsiktet endring av. Risikovurdering er omhandlet i personopplysningsforskriften 2-4: Det skal føres oversikt over hva slags som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av. 10 SV-100:2000. Datatilsynet 2000: Kommunens Internkontroll. Verktøy for rådmenn. Datatilsynet 2012:10. Fylkesrevisjonen i Nordland, november 2014 Side 11 av 17
14 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Bestemmelsen pålegger den behandlingsansvarlige å holde oversikt over de som behandles med elektroniske hjelpemidler, sammen med angivelse av hvilke opplysninger det er nødvendig å sikre konfidensialitet, tilgjengelighet eller integritet for. Oversikten benyttes som del av grunnlaget for risikovurderingen 12. I sikkerhetsstrategien til Nordland fylkeskommune fra 2008 står det at all informasjon skal sikres i forhold til krav i lover og forskrift og at sikkerhetstiltakene skal ivareta konfidensialitet, tilgjengelighet, integritet og autentisitet. Videre står det at sikkerhetstiltakene i fylkeskommunen kontinuerlig skal etterprøves og forbedres. I sikkerhetsstrategien er det beskrevet ulike sikkerhetstiltak som er formulert som tiltak som skal være iverksatt/gjennomført. Tiltakene omhandler blant annet: Soneinndeling; sensitive skal føres i dedikerte informasjonssystemer eller i sikker sone. Kun autoriserte brukere skal ha tilgang til sensitive. Leverandører: fylkeskommunens bruk av leverandører skal reguleres av kontrakter eller avtaler, hvor også bestemmelser om sikkerhet og taushetsplikt skal inngå. Brukersikkerhet: All bruk av informasjonssystemet skal utføres i samsvar med på forhånd fastlagte rutiner og instrukser. Brukersikkerhet: Medarbeidere med tjenstlig adgang til informasjonssystemet skal ha tilstrekkelig kunnskaper om bruk av informasjonssystemet og nødvendig kompetanse om informasjonssikkerhet. Medarbeidere gis kun tilgang til sensitive opplysninger i den grad dette er nødvendig for å utføre lovpålagte oppgaver. Alle medarbeidere skal avgi taushetserklæring i henhold til forvaltningsloven. Fysisk sikkerhet: Alle dokumenter og alt utstyr skal sikres mot hendelser som kan true stabil og sikker drift av virksomheten. Utsatte områder, for eksempel arkiv og datarom skal sikres særskilt og skal bare være tilgjengelig for medarbeidere med tjenstlige behov. Fysisk sikkerhet: Utstyr benyttet for behandling av sensitiv informasjon skal være sikret mot uautorisert adgang. Tilsvarende gjelder for utstyr som inngår i sikkerhetsbarrierer mellom de forskjellige soner, og mellom fylkeskommunens informasjons systemer og eksterne datanett. Systemteknisk sikkerhet: Fylkeskommunens informasjonssystemer skal være inndelt i logiske soner som gjenspeiler skillet mellom behandling av sensitive og «ikke-sensitive». Brukere i sikrede soner gis begrenset tilgang til tjenester i de øvrige deler av fylkeskommunens informasjonssystemer, og sperres for tilgang til i eksterne nett. Dokumentsikkerhet: Ved merking skal det klart fremgå hvorvidt dokumenter inneholder sensitive. Slike dokumenter skal skjermes særskilt slik at de ikke kommer uvedkommende i hende. I fylkesrevisjonens brev av 29. august 2013 spurte vi HR om Nordland fylkeskommune har en oversikt over som behandles med elektroniske hjelpemidler der det også går fram hvilke av opplysningene det er nødvendig å sikre konfidensialitet, tilgjengelighet og/eller integritet for. HR svarer i brev av 7. februar 2014 at Nordland fylkeskommune ikke har en slik oversikt. Vi har også spurt HR om Nordland fylkeskommune har: etablert tiltak for å sikre konfidensialitet for personopplysningene som behandles i egne system, etablert tiltak for å sikre at ansatte har tilgang til alle relevante som er nødvendige for vedkommende i sitt arbeid etablert tiltak mot uautorisert endring av der integritet er nødvendig etablert tiltak mot ødeleggende programvare sikkerhetstiltak som hindrer uautorisert bruk av informasjonssystemet 12 SV-100:2000. Datatilsynet 2000:7. Fylkesrevisjonen i Nordland, november 2014 Side 12 av 17
15 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av et system som gjør at forsøk på uautorisert bruk av informasjonssystemet blir registrert HR svarer i brev av 7. februar 2014 at Nordland fylkeskommune ikke har noe av det vi etterspør her på overordnet nivå. IT-tjenesten oppgir at det er etablert tiltak mot ødeleggende programvare. Dette er F-Secure Antivirus versjon 9.31 der oppgradering til versjon er startet. Videre oppgir de at det er etablert sikkerhetstiltak som hindrer uautorisert bruk av informasjonssystemet. Det er opprettet brannmur (Palo Alto), samt passord på bruker-, system- og server-nivå. Dette gjelder for fylkeskommunens fagsystemer og kommunikasjon, i tillegg til fylkesadministrasjonens IT-fellesområder. IT-tjenesten oppgir at Nordland fylkeskommune (organisasjonen) ikke har et system som gjør at forsøk på uautorisert bruk av informasjonssystemet blir registrert, men at enkelte systemer har logger med informasjon om pålogging Revisjonens vurdering Fylkeskommunen har til en viss grad utarbeidet sikkerhetstiltak. Dette går fram av fylkeskommunens sikkerhetsstrategi og IT-tjenestens opplysninger. Det er imidlertid flere mangler ved fylkeskommunens arbeid med utarbeidelse av sikkerhetstiltak, herunder manglende risikovurdering og oversikt over de som behandles med elektroniske hjelpemidler, sammen med angivelse av hvilke opplysninger det er nødvendig å sikre konfidensialitet, tilgjengelighet eller integritet for. På bakgrunn av disse manglene, samt de allerede påpekte manglene i punkt 5.1., anser fylkesrevisjonen det som lite hensiktsmessig å gjøre nærmere undersøkelser på dette området. Fylkesrevisjonen har derfor ikke kontrollert om de beskrevne sikkerhetstiltakene er gjennomført og vi har heller ikke sett på hva som er gjort av tiltak innenfor de enkelte fagsystem System for kontroll og avvikshåndtering Her har vi sett på om Nordland fylkeskommune har system for avvikshåndtering og system for sikkerhetsrevisjon Revisjonskriterier System for avvikshåndtering: Nordland fylkeskommune skal ha et system for hvordan avvik som oppstår i det daglige skal håndteres. Det betyr blant annet at de ansatte har mulighet til å rapportere avvik. System for sikkerhetsrevisjon: Nordland fylkeskommune skal gjennomføre regelmessige sikkerhetsrevisjoner. Sikkerhetsrevisjonene skal omfatte vurderinger av: o Organisering o Sikkerhetstiltak o Bruk av kommunikasjonspartner o Sikkerhet hos leverandør Nordland fylkeskommune skal ha rutiner for regelmessig gjennomgang av informasjonssystemets fysiske sikkerhet. Nordland fylkeskommune skal ha rutiner for regelmessig gjennomgang av den logiske sikringen av informasjon i informasjonssystemet. Nordland fylkeskommune sine sikkerhetstiltak skal hindre uautorisert tilgang til annet utstyr av betydning for informasjonssikkerheten, for eksempel serverrom eller sentrale infrastrukturkomponenter. Fylkesrevisjonen i Nordland, november 2014 Side 13 av 17
16 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Fakta Avvikshåndtering Et tilfredsstillende informasjonssikkerhetssystem forutsetter både jevnlige stikkontroller og at det meldes fra når avvik blir oppdaget. Nordland fylkeskommune skal ha et system for avvikshåndtering, herunder skjema både ansatte og ledere kan benytte for å melde fra dersom de oppdager handlinger som avviker fra fastsatt system. I tillegg til skjemaet må Nordland fylkeskommune ha et system for hvem og hvordan slike meldinger mottas og følges opp (Kommunens Internkontroll. Verktøy for rådmenn, Datatilsynet 2012). Nordland fylkeskommune har ikke et eget system for håndtering av avvik i fylkeskommunens informasjonssystem. Fylkeskommunen har imidlertid et meldings-/avvikssystem der alle hendelser som ikke forløper som planlagt eller forutsatt kan meldes. Systemet er tilgjengelig på web som en "Intern kontrollportal". Alle ansatte, elever, foresatte, eksterne samarbeidsparter har anledning til å bruke meldings-/avvikssystemet. Valg av driftsenhet er obligatorisk for å kunne sende meldingen. I den enkelte organisasjon bestemmer leder hvem som skal være saksbehandler i meldings- /avvikssystemet. Saksbehandler er oftest ledere med personalansvar og med klart definert ansvar og myndighet. Meldinger i meldings-/avvikssystemet er delt inn i følgende hovedtyper: uønskede hendelser, forbedringsforslag og internkontrollsystemet. Saksbehandler starter saksbehandling ved å lese gjennom innkommet melding. Gjennom utfylling av meldingsskjema skal saksbehandler gjøre en rekke valg, for å fastsette sakens status. Saken skal kategoriseres og behandles i henhold til eventuelle myndighetskrav, prosedyrer, rutiner eller andre interne dokumenter eller praksis. I meldings-/avvikssystemet er det en oversikt over myndighetsområder og myndighetskrav. Myndighetsområder er en inndeling i avgrensede områder som bestemte myndighetskrav gjelder for, mens myndighetskrav omfatter lover, forskrifter, sentrale rundskriv mm som angår myndighetenes lovbestemte krav til virksomhetenes drift. Informasjonssikkerhet, personopplysningsloven med forskrift er ikke med i oversikten over myndighetsområder eller myndighetskrav. Etter at fylkesrevisjonen tok dette opp med kvalitetsleder er dette nå tatt med i oversikten. Fylkesrevisjonen har fått oppgitt av kvalitetsleder at det totalt var registrert og meldinger/avvik i henholdsvis 2012 og Det foreligger ikke statistikk på hvor mange av meldingene som gjelder fylkeskommunens informasjonssystem. Kvalitetsleder opplyser at verken ITtjenesten eller kommunikasjonstjenesten har tatt i bruk meldings-/avvikssystemet. Et av de registrerte avvikene/meldingene fra oktober 2013 går på at IT-tjenesten ikke har tatt i bruk det elektroniske avvikssystemet. Dette avviket er pr. 6. oktober ikke behandlet og står fremdeles oppført som nytt. Det er lederen for IT-tjenesten som står oppført som saksbehandler her. Sikkerhetsrevisjon Nordland fylkeskommune plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører, jf. 2-5 i personopplysningsforskriften. Nordland fylkeskommune har et generelt system for revisjon som er tatt i bruk i utdanningssektoren. Kvalitetsleder for Nordland fylkeskommune opplyser at systemet er bygd opp i henhold til NS EN ISO 19011:2011 "Retningslinjer for revisjon av styringssystemer". Dette er et system som er tenkt brukt på og av den enkelte driftsenhet. På bakgrunn av de svar fylkesrevisjonen har mottatt fra HR og IT-tjenesten forstår vi det slik at Nordland fylkeskommune ikke gjennomfører regelmessige sikkerhetsrevisjoner. Fylkesrevisjonen har bedt om å få tilsendt dokumentasjon fra de 3 siste sikkerhetsrevisjonene, men har ikke mottatt slik dokumentasjon. 13 Kvalitetsleder har oppgitt at ca. 50 av disse meldingene er tester. 14 Kvalitetsleder har oppgitt at ca. 50 av disse meldingene er tester og 50 er spam. Fylkesrevisjonen i Nordland, november 2014 Side 14 av 17
17 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av IT-tjenesten opplyser at fylkeskommunen ikke har rutiner for regelmessig gjennomgang av informasjonssystemets fysiske sikkerhet. I 2009 ble det imidlertid gjennomført en forenklet sikkerhetsanalyse for det fysiske sikkerhetsnivået til IT-avdelingen, begrenset til fylkeshuset. ITtjenesten opplyser videre at de årlig har besøk av Watchcom som foretar sikkerhetstest av deres logiske datasystem. Disse innbefatter fagsystem og datalinjer (kommunikasjon) for hele fylkeskommunen. IT-tjenesten opplyser at de har sikret sine data i et eget server-rom hvor kun autorisert personale har adgang. Rommet er sikret med branndør og åpningsmekanismer ved hjelp av ID-kort. Selve rommet er et såkalt "bomberom". De opplyser videre at dataene er sikret ved hjelp av UPS system som gjør at hvis strømmen går holdes serverne oppe ca. en time. IT-tjenesten skal i prinsippet rekke å ta ned systemene kontrollert og forhindre tap av data. Dagens situasjon er at IT-tjenesten ikke har tid til å ta ned alt i en nødsituasjon på grunn av for lite kapasitet på UPS i forhold til utstyr. IT-tjenesten oppgir også at de har passordbeskyttelse på bruker- og systemnivå. Backup tas ut på tape og oppbevares i brannsikkert skap på annen plass i bygget. Fylkesrevisjonen har bedt om å få tilsendt dokumentasjon på de sikkerhetstiltak fylkeskommunen har iverksatt på dette området (sikkerhetsrevisjon) dersom dette foreligger. Revisjonen har ikke mottatt noen slik dokumentasjon Revisjonens vurdering Nordland fylkeskommune har ikke et tilfredsstillende system for kontroll og avvikshåndtering. Nordland fylkeskommune har et system for avvikshåndtering ved fylkeskommunens web baserte melde-/avvikssystem. Systemet gjør det mulig for ansatte å rapportere avvik, men er imidlertid ikke tatt i bruk av alle fylkeskommunens enheter i dag, herunder IT-tjenesten. Fylkesrevisjonen mener derfor at fylkeskommunen per i dag ikke har et forsvarlig system for håndtering av avvik i det daglige. Fylkesrevisjonen anbefaler at fylkeskommunen ser på om og eventuelt hvordan man kan ta i bruk det eksisterende melde-/avvikssystemet for å håndtere avvik i henhold til personopplysningsforskriften 2-6. Nordland fylkeskommune har heller ikke et godt nok system for sikkerhetsrevisjon. Fylkeskommunen gjennomfører ikke sikkerhetsrevisjoner og har heller ikke rutiner for regelmessig gjennomgang av informasjonssystemets fysiske sikkerhet. 6. Konklusjon, anbefaling Formålet med dette prosjektet har vært å undersøke i hvilken grad Nordland fylkeskommune har system og rutiner som sikrer god informasjonssikkerhet ved elektronisk behandling av. For å kunne gi et svar på dette har vi sett på fire problemstillinger. I hvilken grad har Nordland fylkeskommune etablert et overordnet system for informasjonssikkerhet ved behandling av? Her har vi sett på tre forhold. Det første vi så på var om det er klarlagt hvem som har ansvaret for behandlingen av. Fylkesrevisjonen forstår det slik at arbeidet med informasjonssikkerhet er delegert ned i linjen til fylkeskommunens virksomhetsledere. Det er imidlertid ikke dokumentert en oversikt over hvilke personer i fylkeskommunen som har ansvar for behandling av, og det er uklart hvem som har ansvaret for å ivareta informasjonssikkerheten. Det andre vi så på her var om Nordland fylkeskommune har tilfredsstillende oversikt over personopplysningene den behandler. Fylkeskommunen skal han en oversikt over hvilke den behandler, jf. personopplysningsloven 2-4. Oversikten må blant annet inneholde det juridiske grunnlaget for og formålet med behandlingen. Datatilsynet anbefaler at det enten lages en liste over alle behandlinger, eller at listene over de ulike behandlingene sammenstilles, Fylkesrevisjonen i Nordland, november 2014 Side 15 av 17
18 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av slik at det foreligger en samlet oversikt. Det går fram av undersøkelsen at Nordland fylkeskommune ikke har en slik oversikt. Til sist så vi på om Nordland fylkeskommune har et overordnet system som sikrer personopplysningene på en tilfredsstillende måte. Gjennomgangen viste at det er flere av kravene i personopplysningsforskriften fylkeskommunen ikke oppfyller, jf. punkt foran. IT-tjenesten etterlyser selv en overordnet plan for blant annet informasjonssikkerhet, risiko og sikkerhetsanalyser. På bakgrunn av våre funn mener fylkesrevisjonen at Nordland fylkeskommune ikke har etablert et overordnet system for informasjonssikkerhet ved behandling av. I hvilken grad har Nordland fylkeskommune innført rutiner som sikrer at den registrerte personens rettigheter ivaretas? Det er flere rutiner fylkeskommunen må ha utarbeidet for å oppfylle sine plikter og sikre de registrerte personenes rettigheter, herunder de vi har satt som revisjonskriterier under punkt Vår gjennomgang viser at fylkeskommunen ikke har felles rutiner som sikrer at de registrerte personenes rettigheter blir ivaretatt. I hvilken grad har Nordland fylkeskommune utarbeidet sikkerhetstiltak? Det går fram av fylkeskommunens sikkerhetsstrategi og IT-tjenestens opplysninger at fylkeskommunen til en viss grad har utarbeidet sikkerhetstiltak. Det er imidlertid flere mangler ved fylkeskommunens arbeid med utarbeidelse av sikkerhetstiltak, herunder manglende risikovurdering og oversikt over de som behandles med elektroniske hjelpemidler, sammen med angivelse av hvilke opplysninger det er nødvendig å sikre konfidensialitet, tilgjengelighet eller integritet for. I hvilken grad har Nordland fylkeskommune system for kontroll og avvikshåndtering? Fylkesrevisjonen mener at fylkeskommunen per i dag ikke har et forsvarlig system for håndtering av avvik i det daglige. Vi anbefaler derfor at fylkeskommunen ser på om og eventuelt hvordan man kan ta i bruk det eksisterende melde-/avvikssystemet for å håndtere avvik i henhold til personopplysningsforskriften. Nordland fylkeskommune har heller ikke et forsvarlig system for sikkerhetsrevisjon. Fylkeskommunen gjennomfører ikke sikkerhetsrevisjoner og har heller ikke rutiner for regelmessig gjennomgang av informasjonssystemets fysiske sikkerhet. Fylkesrevisjonen mener at Nordland fylkeskommune ikke har et tilfredsstillende system for kontroll og avvikshåndtering. Oppsummering På bakgrunn av de funn som er gjort mener fylkesrevisjonen at Nordland fylkeskommune i liten grad etterlever kravene i personopplysningsloven og -forskriften. Fylkeskommunen har følgelig ikke etablert de retningslinjer og rutiner som er nødvendige for å ivareta informasjonssikkerheten. 7. Høringsuttalelse Fylkesrådslederen ble forelagt fylkesrevisjonens utkast til rapport i brev av 31. oktober Fylkesrådslederen har i brev av 14. november 2014 gitt sin uttalelse til forvaltningsrevisjonsrapporten, jfr. vedlegg nr. 2. Det fremgår av fylkesrådslederens uttalelse at fylkesrådet ikke har noen vesentlige innvendinger til de funn eller til de konklusjoner som trekkes i rapporten. Fylkesrevisjonen i Nordland, november 2014 Side 16 av 17
19 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Litteraturliste: En veiledning om internkontroll og informasjonssikkerhet. Datatilsynet FOR nr Forskrift om behandling av (personopplysningsforskriften). Forvaltningsrevisjon av elektronisk behandling av sensitive. Rogaland fylkeskommune. Rogaland Revisjon IKS 2013 Forvaltningsrevisjon. Informasjonstryggleik, offentleggjering og arkivering i Hordaland fylkeskommune. Deloitte Forvaltningsrevisjonsprosjekt. Informasjonssikkerhet og behandling av i Bergen kommune. Kommunerevisjonen Forvaltningsrevisjonsrapport. IKT-sikkerhet og sårbarhet i Gjerstad kommune. Arendal Revisjonsdistrikt IKS FR-sak 210/11 - IT-strategi i Nordland fylkeskommune Kommunens Internkontroll. Verktøy for rådmenn. Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven. Datatilsynet Kommuneundersøkelsen Interkontroll og informasjonssikkerhet. Datatilsynet LOV nr 31. Lov om behandling av (personopplysningsloven). Ot.prp. nr. 92 ( ) Om lov om behandling av (personopplysningsloven). SV-100:2000. Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer. Datatilsynet Trondheim kommunes behandling av sensitive. Trondheim kommunerevisjon Fylkesrevisjonen i Nordland, november 2014 Side 17 av 17
Kommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerEndelig kontrollrapport
Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler
Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerKontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg
Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerEndelig kontrollrapport
Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand
DetaljerIKT-sikkerhet og sårbarhet i Risør kommune
Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland-6jerstad-Grimstad-Lillesand-Riser-Tvedestrand-Vegarshei-knii 12-\ cx - IKT-sikkerhet og sårbarhet i Risør kommune Forvaltningsrevisjonsrapport - november
DetaljerEndelig kontrollrapport
Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig
DetaljerForvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerKontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal
Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger
Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerKontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten
Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik
Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand
DetaljerKontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund
Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre
Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte
DetaljerEndelig Kontrollrapport
Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby
Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet
DetaljerForvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune
Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune
DetaljerKontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord
Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning
DetaljerForvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune
Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...
DetaljerKontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger
Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen
DetaljerSikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer
Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II
DetaljerOppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 17/4005-1 Saksbehandler: Kari Lousie Hovland Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken
DetaljerVedtak om pålegg - Endelig kontrollrapport for Bindal kommune
Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport
DetaljerEndelig kontrollrapport
Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerSpesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum
Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens
DetaljerEndelig kontrollrapport
Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerKontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer
Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerKonkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale
Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerEndelig kontrollrapport
Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerEndelig kontrollrapport
Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerStyringssystem i et rettslig perspektiv
Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet
DetaljerDatabehandleravtale Pilot Digitalt Bortsettingsarkiv
Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt
DetaljerHvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015
Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerKontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø
Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerEndelig kontrollrapport
Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning
DetaljerKF Brukerkonferanse 2013
KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerRevisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer
Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Mottaker: Kunnskapsdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold til lov om Riksrevisjonen
DetaljerInformasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt
Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerVedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og
DetaljerKan du legge personopplysninger i skyen?
Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,
DetaljerEndelig kontrollrapport
Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut
DetaljerVIRKE. 12. mars 2015
VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter
DetaljerInformasjonssikkerhet i Nord-Trøndelag fylkeskommune
Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
DetaljerEndelig kontrollrapport
Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet
DetaljerInnledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerDatabehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg
I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerVedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet
Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund
DetaljerVedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet
Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy
Detaljerekommune 2017 Prosessplan for god praksis om personvern
ekommune 2017 Prosessplan for god praksis om personvern Utfordringen Ble tidligere i år klar over at ny EUforordning ville medføre nye krav fra mai 2018 => erkjennelse: Overhalla kommune har et grunnleggende
DetaljerVirksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
DetaljerEndelig kontrollrapport
Saksnummer: 12/00176 Dato for kontroll: 27.03.2012 Rapportdato: 05.09.2012 Endelig kontrollrapport Kontrollobjekt: Kåfjord kommune Sted: Kåfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerVedtak om pålegg - Endelig kontrollrapport for Vega kommune
Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune
DetaljerDatabehandleravtale. Denne avtalen er inngått mellom
Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407
DetaljerEndelig kontrollrapport
Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike
DetaljerDATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")
DATABEHANDLERAVTALE mellom [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") og Mattilsynet (heretter kalt "Databehandler") Vedrørende Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig
DetaljerDatatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.
Fjell kommune Postboks 184 5342 STRAUME Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01137-9/RTH 27. februar 2012 Avslutning av sak - kontroll hos Fjell kommune- Internkontroll og informasjonssikkerhet
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014
Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll
DetaljerEndelig kontrollrapport
Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1
DetaljerDatabehandleravtale. Kommunenes Sentralforbund - Databehandler
U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter
DetaljerVedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016
Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
DetaljerEndelig kontrollrapport
Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig
DetaljerDatabehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021
Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig
DetaljerPersonvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?
Personalledernettverket Trøndelag Ørland 22.-23.8. 2018 Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla? En enkel prosessplan (nov 2017) Enkelhet, helhetlig og synergier:
DetaljerEndelig kontrollrapport
Saksnummer: 12/00319 Dato for kontroll: 02.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Sosialistisk Venstreparti Sted: Akersgata 35, Oslo Utarbeidet av: Knut-Bredee Kaspersen
DetaljerOVERSIKT SIKKERHETSARBEIDET I UDI
OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
DetaljerForeløpig kontrollrapport
Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand
DetaljerVedtak om pålegg - Endelig kontrollrapport for Sømna kommune
Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises
DetaljerSaksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 13/09/2017 SAK NR 23-2017 Behandling av personopplysninger - oppfølging av styresak 05-2017 Forslag til vedtak: 1. Styret tar redegjørelsen
DetaljerVår referanse (bes oppgitt ved svar)
Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift
DetaljerEndelig kontrollrapport
Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:
DetaljerVedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale
Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering
DetaljerSporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler
Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,
DetaljerGDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018
GDPR General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 en grunnleggende kjedelig men absolutt nødvendig innføring for lag og foreninger i Asker
DetaljerEndelig kontrollrapport
Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014
Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til
DetaljerEndelig kontrollrapport
Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning
DetaljerKontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss
Saksnummer: 13/00933 Dato for kontroll: 15.10.2013 Foreløpig rapport: 19.12.2013 Endelig rapport: 07.07.2014 Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av:
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerDatabehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale
tale Digitalt I henhold til personopplysningslovens depot 13, jf. 15 personopplysningsforskriftens kapittel 2. mellom Risa; ) cm1iwcwl 09 IKA Trøndelag IKS 1 Avtalens hensikt Avtalens hensikt er å regulere
Detaljer