INFORMASJONSSIKKERHET VED ELEKTRONISK BEHANDLING AV PERSONOPPLYSNINGER

Størrelse: px
Begynne med side:

Download "INFORMASJONSSIKKERHET VED ELEKTRONISK BEHANDLING AV PERSONOPPLYSNINGER"

Transkript

1 INFORMASJONSSIKKERHET VED ELEKTRONISK BEHANDLING AV PERSONOPPLYSNINGER Forvaltningsrevisjon - november 2014 Lorem ipsum dolor sit amet consectetuer adipiscing elit curabitur quis

2 Tidligere undersøkelser fra fylkesrevisjonen i Nordland Selskapskontroll Nordland Næringsvekst AS (2014) Fylkeskommunens kunstsamling (2013) Rammeavtaler og innkjøpspraksis (2013) Inventar og utstyrskontroll (2013) Offentlige anskaffelser i samferdselssektoren (2013) Sykepengerefusjon (2012) Eiendomsforvaltningen (2012) Likestilling og mangfold (2011) Prosjektstyring i byggeprosjekter (2011) Oppfølging av fagopplæringen (2010) Beredskap i den videregående skole (2010) Rådgivning i skolen (2010) Spesialundervisning (2009) Etiske retningslinjer (2009) Tannhelsetilbudet til eldre/uføre mv. (2008) Offentlige anskaffelser (2008) IKT i fylkeskommunen (2007) Inventar og utstyrskontroll (2007) Regionale utviklingsmidler i næringsog samferdselsavdelingen (2006) Lønn overføring undervisningspersonell fra statlig til kommunalt tariffområde (2005) Momskompensasjonsordningen (2005) Økonomifunksjonen i tannhelsetjenesten (2005) Lønn, praktisering av hovedtariffavtalen (2004) Ressurssentervirksomheten (2004) Telefonisaken (2004) Nordland fylkeskommunes kunstsamling (2004) IKT- funksjonen styring og organisering (2003) Lønn gjennomgående kontroller (2003) Innkjøpsordningen (2002) Boligforvaltningen (2001) Flyreiseavtalen med Braathens (2001) Rammeavtaler og innkjøpspraksis (2008) Tilskuddsmidler i kulturavdelingen (2008) Naturalytelser og utgiftsgodtgjørelser (2007) Vedtaksoppfølging (2007) For ytterligere informasjon om revisjonens undersøkelser vises til våre hjemmesider

3

4 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Sammendrag Fylkesrevisjonen har i denne undersøkelsen sett nærmere på i hvilken grad Nordland fylkeskommune har system og rutiner som ivaretar informasjonssikkerheten ved elektronisk behandling av. Vi har også sett på om gjeldende regelverk på området blir fulgt. I undersøkelsen har vi sett på hvordan Nordland fylkeskommune arbeider med informasjonssikkerhet på overordnet nivå. Vi har ikke sett på hvordan det blir arbeidet med informasjonssikkerhet på avdelingsnivå eller i tilknytning til de ulike fagsystemene. Nordland fylkeskommune svarte i Datatilsynets kommuneundersøkelse at de ikke har etablert et dokumentert internkontrollsystem for behandling av. Fylkesrevisjonens undersøkelse viser at Nordland fylkeskommune per i dag ikke har et tilfredsstillende internkontrollsystem for informasjonssikkerhet. De alvorligste manglene vår undersøkelse har avdekket er: - Ansvarsplassering. o Fylkesrådet har ikke utpekt en person med nødvendig myndighet til å sørge for at informasjonssikkerheten i Nordland fylkeskommune til en hver tid oppfyller kravene i personopplysningsloven og -forskriften. Det er heller ikke klart hvem som skal inneha de øvrige funksjonene som er nødvendige for å ivareta informasjonssikkerheten. - Oversikt over. o Nordland fylkeskommune har ikke en samlet oversikt over hvilke som blir behandlet. Fylkeskommunen har følgelig ikke det nødvendige grunnlaget for å definere virksomhetens sikkerhetsmål, gjennomføre risikovurderinger og utforme en sikkerhetsstrategi. På bakgrunn av de funn som er gjort mener fylkesrevisjonen at Nordland fylkeskommune i liten grad etterlever kravene i personopplysningsloven og -forskriften. Fylkeskommunen har dermed ikke etablert de retningslinjer og rutiner som er nødvendige for å ivareta informasjonssikkerheten. Fylkesrevisjonen i Nordland, november 2014 Side 2 av 17

5 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Innholdsfortegnelse FORORD... 1 SAMMENDRAG INNLEDNING FORMÅL, PROBLEMSTILLINGER OG AVGRENSNING METODER OG GJENNOMFØRING REVISJONS-/VURDERINGSKRITERIER FAKTABESKRIVELSE OG REVISJONENS VURDERING OVERORDNET SYSTEM FOR INFORMASJONSSIKKERHET VED BEHANDLING AV PERSONOPPLYSNINGER Revisjonskriterier Fakta Revisjonens vurdering RUTINER SOM IVARETAR DEN REGISTRERTE PERSONENS RETTIGHETER Revisjonskriterier Fakta Revisjonens vurdering SIKKERHETSTILTAK Revisjonskriterier Fakta Revisjonens vurdering SYSTEM FOR KONTROLL OG AVVIKSHÅNDTERING Revisjonskriterier Fakta Revisjonens vurdering KONKLUSJON, ANBEFALING HØRINGSUTTALELSE LITTERATURLISTE: Vedlegg: 1. Revisjonskriteriene 2. Høringsuttalelse Fylkesrevisjonen i Nordland, november 2014 Side 3 av 17

6 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av 1. Innledning Kontrollutvalget behandlet årsplan for gjennomføring av forvaltningsrevisjon for revisjonsåret 2012 den 11. juni 2012 og ba fylkesrevisjonen i samme sak (27/12) gjennomføre forvaltningsrevisjon på informasjonssikkerhet og behandling av. 2. Formål, problemstillinger og avgrensning Hovedmålsettingen med dette forvaltningsrevisjonsprosjektet har vært å undersøke i hvilken grad Nordland fylkeskommune har system og rutiner som ivaretar informasjonssikkerheten ved elektronisk behandling av og om gjeldende regelverk på området blir fulgt. Ut fra hovedmålsettingen har vi definert følgende problemstillinger: 1. I hvilken grad har Nordland fylkeskommune etablert et overordnet system for informasjonssikkerhet ved behandling av? 1.1 Er det klarlagt hvem som har ansvaret for behandlingen av? 1.2 Har Nordland fylkeskommune tilfredsstillende oversikt over som behandles? 1.3 Har Nordland fylkeskommune et overordnet system som sikrer personopplysningene på en tilfredsstillende måte? 2. I hvilken grad har Nordland fylkeskommune innført rutiner som sikrer at den registrerte personens rettigheter ivaretas? 3. I hvilken grad har Nordland fylkeskommune utarbeidet sikkerhetstiltak? 4. I hvilken grad har Nordland fylkeskommune system for kontroll og avvikshåndtering? 4.1 Har Nordland fylkeskommune et system for avvikshåndtering? 4.2 Har Nordland fylkeskommune et system for sikkerhetsrevisjon? For øvrig gjør vi oppmerksom på at følgende avgrensninger gjelder: I dette prosjektet har vi undersøkt hvordan Nordland fylkeskommune arbeider med informasjonssikkerhet på overordnet nivå. Vi har ikke undersøkt hvordan informasjonssikkerheten ivaretas på avdelingsnivå i de ulike fagsystemene. Definisjoner: Informasjonssikkerhet: I personopplysningsloven 13 pålegges den behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet ved behandling av. Dette omfatter å sørge for at tilstrekkelig sikkerhetsfaglig kompetanse er tilgjengelig hos den behandlingsansvarlige. I tillegg til ansvar for sikkerheten i egen organisasjon, må den behandlingsansvarlige også forsikre seg om at informasjonssikkerheten er tilfredsstillende hos kommunikasjonspartnere og leverandører. Begrepet informasjonssikkerhet omfatter: Sikring av konfidensialitet, dvs. beskyttelse mot at uvedkommende får innsyn i opplysningene. Sikring av integritet, dvs. beskyttelse mot utilsiktet endring av opplysningene. Sikring av tilgjengelighet, dvs. sørge for at tilstrekkelige og relevante opplysninger er tilstede. 1 Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson, jf. personopplysningsloven 2. Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av og hvilke hjelpemidler som skal brukes, jf. personopplysningsloven 2. Databehandler: den som behandler på vegne av den behandlingsansvarlige, jf. personopplysningsloven 2. 1 Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer, SV-100:2000 Datatilsynet. Fylkesrevisjonen i Nordland, november 2014 Side 4 av 17

7 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Behandling av : enhver bruk av som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, jf personopplysningsloven Metoder og gjennomføring Dette forvaltningsprosjekt er gjennomført i samsvar med standard for forvaltningsrevisjon fastsatt av Norges Kommunerevisorforbund (RSK001). Denne undersøkelsen er i hovedsak basert på dokumentanalyse. Det er Nordland fylkeskommunes HR-sjef som har vært vår kontaktperson for dette prosjektet. I starten av prosjektet var det vanskelig å få svar fra HR på våre henvendelser og gjentatte purringer. Vår første forespørsel ble sendt til HR den 29. august 2013 og det var først den 7. februar 2014 at vi fikk et fullstendig svar på vår forespørsel. Videre måtte fylkesrevisjonen legge prosjektet i bero i perioden april-september 2014 på grunn av gjennomføring av selskapskontroll. Fylkesrevisjonen har gjennomført dokumentanalyse av det vi har mottatt som svar fra HR. Fylkesrevisjonen har også vært i kontakt med IT-tjenesten og kvalitetsleder for Nordland fylkeskommune 2 for å innhente informasjon. Fylkesrevisjonen har gjennomført to møter med HR. Det er skrevet referat fra ett av disse møtene og referatet er verifisert. Dataene til denne rapporten er samlet inn i perioden juni 2013 til oktober HR, IT-tjenesten og kvalitetsleder for Nordland fylkeskommune har kommentert revisjonens foreløpige faktabeskrivelser og vurderinger. I dette prosjektet har vi benyttet dokumentet «Kommunens Internkontroll. Verktøy for rådmenn» som er utarbeidet av Datatilsynet i Vi har i den forbindelse vært i kontakt med Datatilsynet for å få svar på spørsmål vi hadde rundt enkelte av kravene som er stilt i dokumentet. Samlet sett mener vi at datagrunnlaget er godt egnet til å besvare prosjektets problemstillinger. 4. Revisjons-/vurderingskriterier Revisjonens vurderinger bygger på en sammenligning av fylkeskommunens praksis med revisjons- /vurderingskriterier som sier noe om hvordan praksisen bør være. Revisjons- eller vurderingskriterier kan utledes fra politiske vedtak, lover og forskrifter, anerkjent praksis osv. For å kunne vurdere fakta og besvare problemstillingene i punkt 2 har vi lagt til grunn følgende kilder: Lov om behandling av (personopplysningsloven). Forskrift om behandling av (personopplysningsforskriften). Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer. Datatilsynet Kommunens internkontroll. Verktøy for rådmenn. Datatilsynet En veiledning om internkontroll og informasjonssikkerhet. Datatilsynet Basert på revisjonens gjennomgang av de ovennevnte kildene har vi utledet et sett av revisjonskriterier for den enkelte problemstilling. Revisjonskriteriene er operasjonaliserte og nærmere beskrevet i vedlegg nr. 1. Kriteriene blir også nærmere beskrevet i kapittel 5 i forbindelse med hver enkelt problemstilling. 2 Nordland fylkeskommune har et system for kvalitetsstyring (SfKS). En kvalitetsleder har myndighetsfunksjon med hovedvekt på opprettelse, vedlikehold, drift og utvikling av kvalitetssystem, innenfor en etat/driftsenhet. Fylkesrevisjonen i Nordland, november 2014 Side 5 av 17

8 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av 5. Faktabeskrivelse og revisjonens vurdering I Nordland fylkeskommunen arbeider det om lag 3500 personer med ansvar for viktige velferdstjenester for de som bor i fylket. I sitt arbeid behandler mange av de ansatte som fylkeskommunen vil måtte lagre. Det store volumet av må være gjenstand for forsvarlig håndtering. Datatilsynet satte i verk en systematisk kartlegging av norske kommuners/fylkeskommuners etterlevelse av personopplysningsloven i 2010 der de tok utgangspunktet i systemplikten kommunene har etter personopplysningslovens 14 (internkontroll). I undersøkelsen satte Datatilsynet opp en rekke kontrollspørsmål som er tuftet på elementer tilsynet mener må være tilstede i et tilfredsstillende internkontrollsystem. Undersøkelsen viste at bare 7 % hadde etablert tilfredsstillende internkontroll 3. Nordland fylkeskommune deltok i undersøkelsen og svarte at fylkeskommunen ikke har etablert et dokumentert internkontrollsystem for behandling av 4. På bakgrunn av undersøkelsen utarbeidet Datatilsynet i 2012 et verktøy for å hjelpe rådmenn til å kartlegge situasjonen i egen kommune kalt: «Kommunenes Internkontroll. Verktøy for rådmenn. Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven». Verktøyet er lagt opp som en sjekkliste på 49 spørsmål. En gjennomgang av sjekklisten viser om kommunene etterlever personopplysningsloven på en god måte og gir en oversikt over status for internkontroll. For å undersøke Nordland fylkeskommunes internkontroll og etterlevelse av personopplysningsloven har vi i stor grad benyttet oss av Datatilsynets verktøy for rådmenn. Hvilke spørsmål vi har benyttet oss av går fram av revisjonskriteriene for den enkelte problemstilling. I personopplysningsloven er det en egen paragraf (14) som omhandler internkontroll: «Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningslovens kvalitet. Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.» Et system for internkontroll blir tradisjonelt delt inn i tre deler 5 : Styrende (primært ledelsesorienterte dokumenter og beslutninger) Gjennomførende (rutiner rettet mot ansatte) Kontrollerende (periodisk gjennomgang og avvikssystem) I denne undersøkelsen har vi sett på om Nordland fylkeskommune har et internkontrollsystem for informasjonssikkerhet som inneholder disse delene/elementene Overordnet system for informasjonssikkerhet ved behandling av Under dette punktet har vi sett på tre forhold. Det første er om det er klarlagt hvem som har ansvaret for behandlingen av. Det andre forholdet vi har sett på er om Nordland fylkeskommune har tilfredsstillende oversikt over som behandles. Til sist har vi undersøkt om Nordland fylkeskommune har et overordnet system som sikrer personopplysningene på en tilfredsstillende måte. 3 Kommuneundersøkelsen Datatilsynet 2011:3. 4 Kommuneundersøkelsen Datatilsynet 2011, vedlegg IV. 5 Kommuneundersøkelsen Datatilsynet 2011:6. Fylkesrevisjonen i Nordland, november 2014 Side 6 av 17

9 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Revisjonskriterier For at det skal være klarlagt hvem som har ansvar for behandlingen av bør Nordland fylkeskommune: ha en dokumentert oversikt over alle som er ansvarlig for behandling av. For å ha en tilfredsstillende oversikt over personopplysningene som behandles bør Nordland fylkeskommune ha: en skriftlig oversikt over hvilke som behandles. avklart det rettslige grunnlaget for hver behandling. oversikt over det rettslige grunnlaget for hver behandling. dokumentert hvilket formål de ulike opplysningene er samlet inn for. en oversikt over hvilke krav i personopplysningsloven og tilhørende forskrift som gjelder for den (hver enkelt behandling). For å ha et overordnet system som sikrer personopplysningene på en tilfredsstillende måte skal Nordland fylkeskommune: ha fastsatt sikkerhetsmål. beskrive sine valg og prioriteringer i sikkerhetsarbeidet i en sikkerhetsstrategi. gjennomgå sikkerhetsmål og sikkerhetsstrategi jevnlig for å klarlegge at disse ivaretar fylkeskommunens behov. kunne gi uttrykk for hva som er akseptabel risiko (dvs. hva som er Nordland fylkeskommunes akseptkriterier) basert på egne sikkerhetsmål og sikkerhetsstrategi. gjennomføre risikovurderinger som dokumenterer at risikoen for sikkerhetsbrudd ligger innenfor Nordland fylkeskommunes fastsatte akseptkriterier (som beskrevet i sikkerhetsmålene og sikkerhetsstrategien). ha etablert og dokumentert en sikkerhetsorganisasjon hvor roller og ansvar for informasjonssikkerhet er klart definert. ha en samlet oversikt over informasjonssystemets utforming Fakta Ansvar for behandling av En viktig forutsetning for å ivareta etterlevelse av personopplysningsloven er at ansvaret for internkontrollen er tydelig for de ansatte. Fylkeskommunen må først og fremst være kjent med hvilke krav i regelverket som gjelder dem. Deretter må fylkeskommunen kartlegge hvilke behandlinger av som behandles 6. Behandlingsansvarlig er den som bestemmer formålet med behandlingen av og hvilke hjelpemidler som skal brukes, jf. personopplysningsloven 2 nr. 4. Den behandlingsansvarlige har blant annet ansvaret for at personopplysningsloven og personopplysningsforskriften følges og for at det blir etablert internkontroll som etterleves. Normalt er den behandlingsansvarlige representert ved virksomhetens daglige leder eller administrerende direktør. I Nordland fylkeskommune vil det derfor være fylkesrådsleder som er behandlingsansvarlig. Den behandlingsansvarlige kan delegere operativt ansvar for daglige arbeidsoppgaver i forbindelse med intern kontroll, men kan ikke delegere ansvaret i forhold til lov 7. Fylkesrevisjonen har bedt om å få informasjon om hvordan arbeidet med informasjonssikkerhet ved elektronisk behandling av er organisert i Nordland fylkeskommune, herunder hvordan ansvars- og myndighetsforhold er klarlagt. I brev av 29. august 2013 har vi også spurt HR om Nordland fylkeskommune har en dokumentert oversikt over hvem som er ansvarlig for behandlingen av. Oversikten skal vise hvem som er delegert det daglige ansvaret. 6 Kommunens Internkontroll. Verktøy for rådmenn. Datatilsynet 2012:5. 7 Veileder om internkontroll og informasjonssikkerhet. Datatilsynet 2009:11-12, samt personopplysningsloven 14. Fylkesrevisjonen i Nordland, november 2014 Side 7 av 17

10 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av HR har i brev av 7. februar 2014 svart at Nordland antakelig har et nærmere 3-sifret antall datasystemer med tilsvarende antall systemansvarlige. Det foreligger ikke en samlet oversikt over systemene og hvem som er systemansvarlige for disse. HR gir en oversikt over noen elektroniske system/datasystemer som inneholder i Nordland fylkeskommune. Blant disse er: Visma, Websak, Opus og Klara Klok Systemet. HR-sjefen skriver i e-post av 29. oktober 2014 at det gjennom prosjektet om Informasjonssikkerhet er kommet fram at Nordland fylkeskommune ikke har gjort en ansvarsplassering av informasjonssikkerhetsspørsmål. HR-sjefen mener det her er nødvendig med plassering av det faglige ansvaret og at det systemisk antakelig ligger et eller annet sted i grenselandet mellom HR, IT og kvalitetsledelse. HR ser det er et behov for å få ansvaret avklart i organisasjonen og at det ikke vil bli utarbeidet overordnede rutiner slik revisjonen etterspør før dette blir gjort. Ansvar og organisering av arbeidet med informasjonssikkerhet i Nordland fylkeskommune er omtalt i fylkeskommunens sikkerhetsstrategi, økonomihåndbok del 1 fra 2007 og IT-strategi for perioden I sikkerhetsstrategien, som ble vedtatt av fylkesrådet den 20. mai 2008, står blant annet: «Informasjonssikkerhet inngår som en integrert del av de oppgaver og ansvar som påhviler lederne av alle fylkeskommunale virksomheter. Lederens overordnede ansvar for informasjonssikkerhet kan ikke delegeres. Lederen skal etablere klare ansvars- og myndighetsforhold. Også ledere på alle underliggende nivåer skal påse at tilfredsstillende informasjonssikkerhet oppnås innen den enkeltes ansvars- og myndighetsområde. Den tekniske tilretteleggingen vedrørende informasjonssikkerhet knyttet til informasjonssystemer tilligger IT-ansvarlig med mindre ledelsen har utpekt noen annen sikkerhetsansvarlig. Rutiner for internkontroll, så som risikovurderinger, sikkerhetsrevisjon og avviksbehandling skal være etablert. Ansvar og arbeidsoppgaver vedrørende informasjonssikkerhet skal innarbeides i stillingsbeskrivelsene. Sikkerhetsansvarlig rapporterer direkte til virksomhetsleder i sikkerhetssaker.» I økonomihåndboken går det fram at IT er et lederansvar og omfatter all bruk av IT som hører under det aktuelle ledelsesnivå, blant annet planlegging og drift, samt håndheving av relevante lover og regler. I IT-strategien går det fram at Nordland fylkeskommunes visjon på det IT-strategiske området er: kvalitet, brukervennlighet og effektivitet gjennom aktiv bruk av ny informasjonsteknologi. Videre går det fram at fylkeskommunen skal realisere visjonen gjennom økt bruk av digitale tjenester og koordinert planlegging. Viktige føringer i dette arbeidet er oppgitt å være blant annet: ledelsesforankring og tydelige ansvarsforhold, samt fokus på informasjonssikkerhet og personvern. Det er et eget punkt om IT-organisasjon og ledelse i IT-strategien. Her går det fram at organiseringen av IT-tjenesten er basert på ansvarsdeling mellom systemeier og IT-tjenesten. Et fagsystem eies av tilhørende fagavdeling (systemeier). Systemeier er kontraktspart mot leverandøren og har ansvar for vedlikehold, utvikling og opplæring. Ved behov bistår IT-tjenesten systemeier i kontakt mot leverandøren. Systemeier har også ansvar for at systemet brukes som et effektivt verktøy i organisasjonen. IT-tjenesten har ansvar for sikker og stabil drift og er systemeier på fellessystemer. Oversikt over som behandles Fylkeskommunen skal ha en oversikt over hvilke den behandler, jf. personopplysningsloven 2-4. Oversikten over behandlinger må blant annet inneholde det juridiske grunnlaget for og formålet med behandlingen. Datatilsynet anbefaler at det enten lages en liste over alle behandlinger eller at listene over de ulike behandlingene sammenstilles, slik at det foreligger en samlet oversikt 8. 8 Kommunens Internkontroll. Verktøy for rådmenn. Datatilsynet 2012:5. Fylkesrevisjonen i Nordland, november 2014 Side 8 av 17

11 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Oversikten er nødvendig for at virksomheten skal kunne ivareta sine plikter. Den danner også grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved risikovurderinger 9. I vårt brev av 29. august 2013 til HR har vi spurt om Nordland fylkeskommune har: Oversikt over hvilke som behandles Avklart det rettslige grunnlaget for hver behandling Oversikt over det rettslige grunnlaget for alle behandlinger Dokumentert hvilket formål de ulike opplysningene er samlet inn for Oversikt over hvilke krav i personopplysningsloven og tilhørende forskrift som gjelder for den enkelte behandling HR svarer i sitt brev av 7. februar 2014 at Nordland fylkeskommune ikke har noe av det ovennevnte. Overordnet system for å sikre personopplysningene Fylkeskommunen skal sikre personopplysningene på en tilfredsstillende måte. For å kunne gjøre dette er det flere krav i personopplysningsforskriften fylkeskommunen må oppfylle. Fylkeskommunen må: ha fastsatt sikkerhetsmål der formålet med behandling av og overordnede føringer for bruk av informasjonsteknologi skal beskrives ha en sikkerhetsstrategi der fylkeskommunens valg og prioriteringer i sikkerhetsarbeidet er beskrevet jevnlig gjennomgå sikkerhetsmål og sikkerhetsstrategi for å klarlegge at disse ivaretar fylkeskommunens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat fastlegge kriterier for akseptabel risiko forbundet med behandlingen av gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd der resultatet av risikovurderingen sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandling av ha etablert og dokumentert en sikkerhetsorganisasjon hvor roller og ansvar for informasjonssikkerhet er klart definert ha en samlet oversikt over informasjonssystemets utforming (konfigurasjon) Vi har vært i kontakt med både HR og IT-tjenesten for å innhente informasjon om Nordland fylkeskommune oppfyller kravene i punktene nevnt over. Det framgår av den informasjon vi har mottatt fra de to avdelingene at Nordland fylkeskommune: ikke jevnlig gjennomgår fylkeskommunens sikkerhetsmål og sikkerhetsstrategi. Ikke har fastlagt kriterier for hva som er akseptabel risiko forbundet med behandlingen av. Dette er ikke tatt med i sikkerhetsstrategien fra 2008 og er heller ikke beskrevet andre steder. Ikke gjennomfører risikovurderinger som dokumenterer at risikoen for sikkerhetsbrudd ligger innenfor fylkeskommunens fastsatte kriterier. Ikke har en skriftlig, samlet oversikt over informasjonssystemets utforming (konfigurasjon). Fylkeskommunens sikkerhetsstrategi fra 2008 inneholder sikkerhetsmål og til en viss grad beskrivelse av valg og prioriteringer i sikkerhetsarbeidet. Fylkesrevisjonen kan imidlertid ikke se at det er beskrevet eller etablert en sikkerhetsorganisasjon der roller og ansvar for informasjonssikkerhet er klart definert. IT-tjenesten opplyser i e-post av 30. januar 2014 at de også etterlyser en overordnet plan for blant annet informasjonssikkerhet, risiko og sikkerhetsanalyser Revisjonens vurdering Fylkesrevisjonens gjennomgang viser at Nordland fylkeskommune ikke har etablert et overordnet system for informasjonssikkerhet ved behandling av. Dette betyr også at fylkeskommunen ikke følger regelverket på de fleste av punktene vi har sett på her. 9 Veileder om internkontroll og informasjonssikkerhet. Datatilsynet 2009:12. Fylkesrevisjonen i Nordland, november 2014 Side 9 av 17

12 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Fylkesrevisjonen forstår det slik at arbeidet med informasjonssikkerhet er delegert ned i linjen til fylkeskommunens virksomhetsledere, men at fylkeskommunen ikke har en dokumentert oversikt over hvem som er ansvarlig for behandling av. Vår gjennomgang viser også at det uklart hvem som har ansvar for å ivareta informasjonssikkerheten i Nordland fylkeskommune. Det går også fram av vår gjennomgang at fylkeskommunen ikke har en oversikt over hvilke personopplysningene som behandles i virksomheten. Fylkeskommunen har heller ikke etablert et overordnet system som sikrer personopplysningene på en tilfredsstillende måte Rutiner som ivaretar den registrerte personens rettigheter Her har vi sett på i hvilken grad Nordland fylkeskommune har innført rutiner som sikrer at den registrerte personens rettigheter ivaretas Revisjonskriterier Nordland fylkeskommune skal ha dokumenterte rutiner: som sikrer at innbyggere og andre registrerte får informasjon om sine rettigheter til innsyn i, retting av feil informasjon og supplering av personlig informasjon ved behandling av der behandlingsgrunnlaget er fastsatt i lov eller forskrift. som sikrer at det innhentes samtykke eller inngås avtale når det vil utgjøre behandlingsgrunnlaget. for sletting av. Rutinene skal være avstemt mot relevante bestemmelser i personopplysningsloven og arkivloven. for å kontrollere om behandlingen av er konsesjonspliktig før behandlingen tar til. for å kontrollere om en behandling av er meldepliktig før den gjennomføres Fakta Det er flere rutiner fylkeskommunen må ha utarbeidet for å oppfylle sine plikter og sikre de registrerte personenes rettigheter, herunder de vi har satt som revisjonskriterier over. Dette er hovedsakelig hjemlet i personopplysningsforskriften 3-1. I vårt brev av 18. juni 2013 til Datatilsynet har vi spurt om det er krav om at virksomheten skal ha utarbeidet felles rutiner for hele virksomheten på dette området, eller om det skal/kan utarbeides egne rutiner for de ulike datasystemene. I e-post av 20. juni 2013 svarer Datatilsynet at det bør være felles rutiner for hele virksomheten og at egne rutiner for hvert enkelt system ville vært særdeles krevende å vedlikeholde og følge opp. I vårt brev med vedlegg av 29. august 2013 spurte vi HR om Nordland fylkeskommune har utarbeidet rutiner: som sikrer at innbyggere og andre registrerte får informasjon om sine rettigheter til innsyn i, retting av feil informasjon og supplering av personlig informasjon ved behandling av der behandlingsgrunnlaget er fastsatt i lov eller forskrift. som sikrer at det innhentes samtykke eller inngås avtale når det vil utgjøre behandlingsgrunnlaget. for sletting av. Rutinene skal være avstemt mot relevante bestemmelser i personopplysningsloven og arkivloven. for å kontrollere om behandlingen av er konsesjonspliktig før behandlingen tar til. for å kontrollere om en behandling av er meldepliktig før den gjennomføres. I sitt brev av 7. februar 2014 svarer HR at Nordland fylkeskommune ikke har utarbeidet slike rutiner. Fylkesrevisjonen i Nordland, november 2014 Side 10 av 17

13 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Revisjonens vurdering Nordland fylkeskommune har ikke etablert felles rutiner som sikrer at de registrerte personenes rettigheter blir ivaretatt. Fylkeskommunen etterlever ikke regelverket på dette området. Vi har ikke sett på om de ulike avdelingene i fylkesadministrasjonen, de videregående skolene eller tannhelsetjenesten har utarbeidet egne rutiner på dette området, og vi uttaler oss derfor ikke om dette i denne rapporten Sikkerhetstiltak Her har vi sett på i hvilken grad Nordland fylkeskommune har utarbeidet sikkerhetstiltak. Vi har kun sett på hva som foreligger på overordnet nivå og ikke sett på enkelt systemer Revisjonskriterier Nordland fylkeskommune skal ha: etablert tiltak for å sikre konfidensialitet for personopplysningene som behandles i egne systemer. etablert tiltak for å sikre at ansatte har tilgang til alle relevante som er nødvendig for vedkommendes arbeid (tilgjengelighet). sikret seg at endring av i systemene kun kan gjøres av autorisert personell (integritet). etablert tiltak mot ødeleggende programvare, som for eksempel trojanere eller andre virus (integritet). sikkerhetstiltak som hindrer uautorisert bruk av informasjonssystemet. et system som gjør at forsøk på uautorisert bruk av informasjonssystemet blir registrert slik at den kan følges opp videre Fakta Den behandlingsansvarlige skal gjennomføre tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet, jf. 13 første ledd i personopplysningsloven, jf. personopplysningsforskriften 2-11, 2-12 og Valg av hvilke opplysninger som det skal sikres konfidensialitet, tilgjengelighet og integritet for og hvilke sikkerhetstiltak som må etableres, følger av resultatet av risikovurderingen 10. Sikring av konfidensialitet handler om å sikre data eller opplysninger fra uvedkommende. Bestemmelsen i personopplysningsforskriften, 2-11, pålegger den behandlingsansvarlige å hindre uautorisert innsyn i. Sikring av tilgjengelighet handler om at skal være tilgjengelig for rette person til rett tid. Bestemmelsen i personopplysningsforskriften, 2-12, pålegger den behandlingsansvarlige å sikre nødvendig innsyn i opplysninger slik at behandlingen av kan gjennomføres som besluttet. Sikring av integritet handler om at ikke skal kunne endres av andre enn personell som er autorisert til å gjøre dette 11. Bestemmelsen i personopplysningsforskriften, 2-13, pålegger den behandlingsansvarlige å hindre utilsiktet endring av. Risikovurdering er omhandlet i personopplysningsforskriften 2-4: Det skal føres oversikt over hva slags som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av. 10 SV-100:2000. Datatilsynet 2000: Kommunens Internkontroll. Verktøy for rådmenn. Datatilsynet 2012:10. Fylkesrevisjonen i Nordland, november 2014 Side 11 av 17

14 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Bestemmelsen pålegger den behandlingsansvarlige å holde oversikt over de som behandles med elektroniske hjelpemidler, sammen med angivelse av hvilke opplysninger det er nødvendig å sikre konfidensialitet, tilgjengelighet eller integritet for. Oversikten benyttes som del av grunnlaget for risikovurderingen 12. I sikkerhetsstrategien til Nordland fylkeskommune fra 2008 står det at all informasjon skal sikres i forhold til krav i lover og forskrift og at sikkerhetstiltakene skal ivareta konfidensialitet, tilgjengelighet, integritet og autentisitet. Videre står det at sikkerhetstiltakene i fylkeskommunen kontinuerlig skal etterprøves og forbedres. I sikkerhetsstrategien er det beskrevet ulike sikkerhetstiltak som er formulert som tiltak som skal være iverksatt/gjennomført. Tiltakene omhandler blant annet: Soneinndeling; sensitive skal føres i dedikerte informasjonssystemer eller i sikker sone. Kun autoriserte brukere skal ha tilgang til sensitive. Leverandører: fylkeskommunens bruk av leverandører skal reguleres av kontrakter eller avtaler, hvor også bestemmelser om sikkerhet og taushetsplikt skal inngå. Brukersikkerhet: All bruk av informasjonssystemet skal utføres i samsvar med på forhånd fastlagte rutiner og instrukser. Brukersikkerhet: Medarbeidere med tjenstlig adgang til informasjonssystemet skal ha tilstrekkelig kunnskaper om bruk av informasjonssystemet og nødvendig kompetanse om informasjonssikkerhet. Medarbeidere gis kun tilgang til sensitive opplysninger i den grad dette er nødvendig for å utføre lovpålagte oppgaver. Alle medarbeidere skal avgi taushetserklæring i henhold til forvaltningsloven. Fysisk sikkerhet: Alle dokumenter og alt utstyr skal sikres mot hendelser som kan true stabil og sikker drift av virksomheten. Utsatte områder, for eksempel arkiv og datarom skal sikres særskilt og skal bare være tilgjengelig for medarbeidere med tjenstlige behov. Fysisk sikkerhet: Utstyr benyttet for behandling av sensitiv informasjon skal være sikret mot uautorisert adgang. Tilsvarende gjelder for utstyr som inngår i sikkerhetsbarrierer mellom de forskjellige soner, og mellom fylkeskommunens informasjons systemer og eksterne datanett. Systemteknisk sikkerhet: Fylkeskommunens informasjonssystemer skal være inndelt i logiske soner som gjenspeiler skillet mellom behandling av sensitive og «ikke-sensitive». Brukere i sikrede soner gis begrenset tilgang til tjenester i de øvrige deler av fylkeskommunens informasjonssystemer, og sperres for tilgang til i eksterne nett. Dokumentsikkerhet: Ved merking skal det klart fremgå hvorvidt dokumenter inneholder sensitive. Slike dokumenter skal skjermes særskilt slik at de ikke kommer uvedkommende i hende. I fylkesrevisjonens brev av 29. august 2013 spurte vi HR om Nordland fylkeskommune har en oversikt over som behandles med elektroniske hjelpemidler der det også går fram hvilke av opplysningene det er nødvendig å sikre konfidensialitet, tilgjengelighet og/eller integritet for. HR svarer i brev av 7. februar 2014 at Nordland fylkeskommune ikke har en slik oversikt. Vi har også spurt HR om Nordland fylkeskommune har: etablert tiltak for å sikre konfidensialitet for personopplysningene som behandles i egne system, etablert tiltak for å sikre at ansatte har tilgang til alle relevante som er nødvendige for vedkommende i sitt arbeid etablert tiltak mot uautorisert endring av der integritet er nødvendig etablert tiltak mot ødeleggende programvare sikkerhetstiltak som hindrer uautorisert bruk av informasjonssystemet 12 SV-100:2000. Datatilsynet 2000:7. Fylkesrevisjonen i Nordland, november 2014 Side 12 av 17

15 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av et system som gjør at forsøk på uautorisert bruk av informasjonssystemet blir registrert HR svarer i brev av 7. februar 2014 at Nordland fylkeskommune ikke har noe av det vi etterspør her på overordnet nivå. IT-tjenesten oppgir at det er etablert tiltak mot ødeleggende programvare. Dette er F-Secure Antivirus versjon 9.31 der oppgradering til versjon er startet. Videre oppgir de at det er etablert sikkerhetstiltak som hindrer uautorisert bruk av informasjonssystemet. Det er opprettet brannmur (Palo Alto), samt passord på bruker-, system- og server-nivå. Dette gjelder for fylkeskommunens fagsystemer og kommunikasjon, i tillegg til fylkesadministrasjonens IT-fellesområder. IT-tjenesten oppgir at Nordland fylkeskommune (organisasjonen) ikke har et system som gjør at forsøk på uautorisert bruk av informasjonssystemet blir registrert, men at enkelte systemer har logger med informasjon om pålogging Revisjonens vurdering Fylkeskommunen har til en viss grad utarbeidet sikkerhetstiltak. Dette går fram av fylkeskommunens sikkerhetsstrategi og IT-tjenestens opplysninger. Det er imidlertid flere mangler ved fylkeskommunens arbeid med utarbeidelse av sikkerhetstiltak, herunder manglende risikovurdering og oversikt over de som behandles med elektroniske hjelpemidler, sammen med angivelse av hvilke opplysninger det er nødvendig å sikre konfidensialitet, tilgjengelighet eller integritet for. På bakgrunn av disse manglene, samt de allerede påpekte manglene i punkt 5.1., anser fylkesrevisjonen det som lite hensiktsmessig å gjøre nærmere undersøkelser på dette området. Fylkesrevisjonen har derfor ikke kontrollert om de beskrevne sikkerhetstiltakene er gjennomført og vi har heller ikke sett på hva som er gjort av tiltak innenfor de enkelte fagsystem System for kontroll og avvikshåndtering Her har vi sett på om Nordland fylkeskommune har system for avvikshåndtering og system for sikkerhetsrevisjon Revisjonskriterier System for avvikshåndtering: Nordland fylkeskommune skal ha et system for hvordan avvik som oppstår i det daglige skal håndteres. Det betyr blant annet at de ansatte har mulighet til å rapportere avvik. System for sikkerhetsrevisjon: Nordland fylkeskommune skal gjennomføre regelmessige sikkerhetsrevisjoner. Sikkerhetsrevisjonene skal omfatte vurderinger av: o Organisering o Sikkerhetstiltak o Bruk av kommunikasjonspartner o Sikkerhet hos leverandør Nordland fylkeskommune skal ha rutiner for regelmessig gjennomgang av informasjonssystemets fysiske sikkerhet. Nordland fylkeskommune skal ha rutiner for regelmessig gjennomgang av den logiske sikringen av informasjon i informasjonssystemet. Nordland fylkeskommune sine sikkerhetstiltak skal hindre uautorisert tilgang til annet utstyr av betydning for informasjonssikkerheten, for eksempel serverrom eller sentrale infrastrukturkomponenter. Fylkesrevisjonen i Nordland, november 2014 Side 13 av 17

16 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Fakta Avvikshåndtering Et tilfredsstillende informasjonssikkerhetssystem forutsetter både jevnlige stikkontroller og at det meldes fra når avvik blir oppdaget. Nordland fylkeskommune skal ha et system for avvikshåndtering, herunder skjema både ansatte og ledere kan benytte for å melde fra dersom de oppdager handlinger som avviker fra fastsatt system. I tillegg til skjemaet må Nordland fylkeskommune ha et system for hvem og hvordan slike meldinger mottas og følges opp (Kommunens Internkontroll. Verktøy for rådmenn, Datatilsynet 2012). Nordland fylkeskommune har ikke et eget system for håndtering av avvik i fylkeskommunens informasjonssystem. Fylkeskommunen har imidlertid et meldings-/avvikssystem der alle hendelser som ikke forløper som planlagt eller forutsatt kan meldes. Systemet er tilgjengelig på web som en "Intern kontrollportal". Alle ansatte, elever, foresatte, eksterne samarbeidsparter har anledning til å bruke meldings-/avvikssystemet. Valg av driftsenhet er obligatorisk for å kunne sende meldingen. I den enkelte organisasjon bestemmer leder hvem som skal være saksbehandler i meldings- /avvikssystemet. Saksbehandler er oftest ledere med personalansvar og med klart definert ansvar og myndighet. Meldinger i meldings-/avvikssystemet er delt inn i følgende hovedtyper: uønskede hendelser, forbedringsforslag og internkontrollsystemet. Saksbehandler starter saksbehandling ved å lese gjennom innkommet melding. Gjennom utfylling av meldingsskjema skal saksbehandler gjøre en rekke valg, for å fastsette sakens status. Saken skal kategoriseres og behandles i henhold til eventuelle myndighetskrav, prosedyrer, rutiner eller andre interne dokumenter eller praksis. I meldings-/avvikssystemet er det en oversikt over myndighetsområder og myndighetskrav. Myndighetsområder er en inndeling i avgrensede områder som bestemte myndighetskrav gjelder for, mens myndighetskrav omfatter lover, forskrifter, sentrale rundskriv mm som angår myndighetenes lovbestemte krav til virksomhetenes drift. Informasjonssikkerhet, personopplysningsloven med forskrift er ikke med i oversikten over myndighetsområder eller myndighetskrav. Etter at fylkesrevisjonen tok dette opp med kvalitetsleder er dette nå tatt med i oversikten. Fylkesrevisjonen har fått oppgitt av kvalitetsleder at det totalt var registrert og meldinger/avvik i henholdsvis 2012 og Det foreligger ikke statistikk på hvor mange av meldingene som gjelder fylkeskommunens informasjonssystem. Kvalitetsleder opplyser at verken ITtjenesten eller kommunikasjonstjenesten har tatt i bruk meldings-/avvikssystemet. Et av de registrerte avvikene/meldingene fra oktober 2013 går på at IT-tjenesten ikke har tatt i bruk det elektroniske avvikssystemet. Dette avviket er pr. 6. oktober ikke behandlet og står fremdeles oppført som nytt. Det er lederen for IT-tjenesten som står oppført som saksbehandler her. Sikkerhetsrevisjon Nordland fylkeskommune plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører, jf. 2-5 i personopplysningsforskriften. Nordland fylkeskommune har et generelt system for revisjon som er tatt i bruk i utdanningssektoren. Kvalitetsleder for Nordland fylkeskommune opplyser at systemet er bygd opp i henhold til NS EN ISO 19011:2011 "Retningslinjer for revisjon av styringssystemer". Dette er et system som er tenkt brukt på og av den enkelte driftsenhet. På bakgrunn av de svar fylkesrevisjonen har mottatt fra HR og IT-tjenesten forstår vi det slik at Nordland fylkeskommune ikke gjennomfører regelmessige sikkerhetsrevisjoner. Fylkesrevisjonen har bedt om å få tilsendt dokumentasjon fra de 3 siste sikkerhetsrevisjonene, men har ikke mottatt slik dokumentasjon. 13 Kvalitetsleder har oppgitt at ca. 50 av disse meldingene er tester. 14 Kvalitetsleder har oppgitt at ca. 50 av disse meldingene er tester og 50 er spam. Fylkesrevisjonen i Nordland, november 2014 Side 14 av 17

17 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av IT-tjenesten opplyser at fylkeskommunen ikke har rutiner for regelmessig gjennomgang av informasjonssystemets fysiske sikkerhet. I 2009 ble det imidlertid gjennomført en forenklet sikkerhetsanalyse for det fysiske sikkerhetsnivået til IT-avdelingen, begrenset til fylkeshuset. ITtjenesten opplyser videre at de årlig har besøk av Watchcom som foretar sikkerhetstest av deres logiske datasystem. Disse innbefatter fagsystem og datalinjer (kommunikasjon) for hele fylkeskommunen. IT-tjenesten opplyser at de har sikret sine data i et eget server-rom hvor kun autorisert personale har adgang. Rommet er sikret med branndør og åpningsmekanismer ved hjelp av ID-kort. Selve rommet er et såkalt "bomberom". De opplyser videre at dataene er sikret ved hjelp av UPS system som gjør at hvis strømmen går holdes serverne oppe ca. en time. IT-tjenesten skal i prinsippet rekke å ta ned systemene kontrollert og forhindre tap av data. Dagens situasjon er at IT-tjenesten ikke har tid til å ta ned alt i en nødsituasjon på grunn av for lite kapasitet på UPS i forhold til utstyr. IT-tjenesten oppgir også at de har passordbeskyttelse på bruker- og systemnivå. Backup tas ut på tape og oppbevares i brannsikkert skap på annen plass i bygget. Fylkesrevisjonen har bedt om å få tilsendt dokumentasjon på de sikkerhetstiltak fylkeskommunen har iverksatt på dette området (sikkerhetsrevisjon) dersom dette foreligger. Revisjonen har ikke mottatt noen slik dokumentasjon Revisjonens vurdering Nordland fylkeskommune har ikke et tilfredsstillende system for kontroll og avvikshåndtering. Nordland fylkeskommune har et system for avvikshåndtering ved fylkeskommunens web baserte melde-/avvikssystem. Systemet gjør det mulig for ansatte å rapportere avvik, men er imidlertid ikke tatt i bruk av alle fylkeskommunens enheter i dag, herunder IT-tjenesten. Fylkesrevisjonen mener derfor at fylkeskommunen per i dag ikke har et forsvarlig system for håndtering av avvik i det daglige. Fylkesrevisjonen anbefaler at fylkeskommunen ser på om og eventuelt hvordan man kan ta i bruk det eksisterende melde-/avvikssystemet for å håndtere avvik i henhold til personopplysningsforskriften 2-6. Nordland fylkeskommune har heller ikke et godt nok system for sikkerhetsrevisjon. Fylkeskommunen gjennomfører ikke sikkerhetsrevisjoner og har heller ikke rutiner for regelmessig gjennomgang av informasjonssystemets fysiske sikkerhet. 6. Konklusjon, anbefaling Formålet med dette prosjektet har vært å undersøke i hvilken grad Nordland fylkeskommune har system og rutiner som sikrer god informasjonssikkerhet ved elektronisk behandling av. For å kunne gi et svar på dette har vi sett på fire problemstillinger. I hvilken grad har Nordland fylkeskommune etablert et overordnet system for informasjonssikkerhet ved behandling av? Her har vi sett på tre forhold. Det første vi så på var om det er klarlagt hvem som har ansvaret for behandlingen av. Fylkesrevisjonen forstår det slik at arbeidet med informasjonssikkerhet er delegert ned i linjen til fylkeskommunens virksomhetsledere. Det er imidlertid ikke dokumentert en oversikt over hvilke personer i fylkeskommunen som har ansvar for behandling av, og det er uklart hvem som har ansvaret for å ivareta informasjonssikkerheten. Det andre vi så på her var om Nordland fylkeskommune har tilfredsstillende oversikt over personopplysningene den behandler. Fylkeskommunen skal han en oversikt over hvilke den behandler, jf. personopplysningsloven 2-4. Oversikten må blant annet inneholde det juridiske grunnlaget for og formålet med behandlingen. Datatilsynet anbefaler at det enten lages en liste over alle behandlinger, eller at listene over de ulike behandlingene sammenstilles, Fylkesrevisjonen i Nordland, november 2014 Side 15 av 17

18 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av slik at det foreligger en samlet oversikt. Det går fram av undersøkelsen at Nordland fylkeskommune ikke har en slik oversikt. Til sist så vi på om Nordland fylkeskommune har et overordnet system som sikrer personopplysningene på en tilfredsstillende måte. Gjennomgangen viste at det er flere av kravene i personopplysningsforskriften fylkeskommunen ikke oppfyller, jf. punkt foran. IT-tjenesten etterlyser selv en overordnet plan for blant annet informasjonssikkerhet, risiko og sikkerhetsanalyser. På bakgrunn av våre funn mener fylkesrevisjonen at Nordland fylkeskommune ikke har etablert et overordnet system for informasjonssikkerhet ved behandling av. I hvilken grad har Nordland fylkeskommune innført rutiner som sikrer at den registrerte personens rettigheter ivaretas? Det er flere rutiner fylkeskommunen må ha utarbeidet for å oppfylle sine plikter og sikre de registrerte personenes rettigheter, herunder de vi har satt som revisjonskriterier under punkt Vår gjennomgang viser at fylkeskommunen ikke har felles rutiner som sikrer at de registrerte personenes rettigheter blir ivaretatt. I hvilken grad har Nordland fylkeskommune utarbeidet sikkerhetstiltak? Det går fram av fylkeskommunens sikkerhetsstrategi og IT-tjenestens opplysninger at fylkeskommunen til en viss grad har utarbeidet sikkerhetstiltak. Det er imidlertid flere mangler ved fylkeskommunens arbeid med utarbeidelse av sikkerhetstiltak, herunder manglende risikovurdering og oversikt over de som behandles med elektroniske hjelpemidler, sammen med angivelse av hvilke opplysninger det er nødvendig å sikre konfidensialitet, tilgjengelighet eller integritet for. I hvilken grad har Nordland fylkeskommune system for kontroll og avvikshåndtering? Fylkesrevisjonen mener at fylkeskommunen per i dag ikke har et forsvarlig system for håndtering av avvik i det daglige. Vi anbefaler derfor at fylkeskommunen ser på om og eventuelt hvordan man kan ta i bruk det eksisterende melde-/avvikssystemet for å håndtere avvik i henhold til personopplysningsforskriften. Nordland fylkeskommune har heller ikke et forsvarlig system for sikkerhetsrevisjon. Fylkeskommunen gjennomfører ikke sikkerhetsrevisjoner og har heller ikke rutiner for regelmessig gjennomgang av informasjonssystemets fysiske sikkerhet. Fylkesrevisjonen mener at Nordland fylkeskommune ikke har et tilfredsstillende system for kontroll og avvikshåndtering. Oppsummering På bakgrunn av de funn som er gjort mener fylkesrevisjonen at Nordland fylkeskommune i liten grad etterlever kravene i personopplysningsloven og -forskriften. Fylkeskommunen har følgelig ikke etablert de retningslinjer og rutiner som er nødvendige for å ivareta informasjonssikkerheten. 7. Høringsuttalelse Fylkesrådslederen ble forelagt fylkesrevisjonens utkast til rapport i brev av 31. oktober Fylkesrådslederen har i brev av 14. november 2014 gitt sin uttalelse til forvaltningsrevisjonsrapporten, jfr. vedlegg nr. 2. Det fremgår av fylkesrådslederens uttalelse at fylkesrådet ikke har noen vesentlige innvendinger til de funn eller til de konklusjoner som trekkes i rapporten. Fylkesrevisjonen i Nordland, november 2014 Side 16 av 17

19 Forvaltningsrevisjon: Informasjonssikkerhet ved elektronisk behandling av Litteraturliste: En veiledning om internkontroll og informasjonssikkerhet. Datatilsynet FOR nr Forskrift om behandling av (personopplysningsforskriften). Forvaltningsrevisjon av elektronisk behandling av sensitive. Rogaland fylkeskommune. Rogaland Revisjon IKS 2013 Forvaltningsrevisjon. Informasjonstryggleik, offentleggjering og arkivering i Hordaland fylkeskommune. Deloitte Forvaltningsrevisjonsprosjekt. Informasjonssikkerhet og behandling av i Bergen kommune. Kommunerevisjonen Forvaltningsrevisjonsrapport. IKT-sikkerhet og sårbarhet i Gjerstad kommune. Arendal Revisjonsdistrikt IKS FR-sak 210/11 - IT-strategi i Nordland fylkeskommune Kommunens Internkontroll. Verktøy for rådmenn. Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven. Datatilsynet Kommuneundersøkelsen Interkontroll og informasjonssikkerhet. Datatilsynet LOV nr 31. Lov om behandling av (personopplysningsloven). Ot.prp. nr. 92 ( ) Om lov om behandling av (personopplysningsloven). SV-100:2000. Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer. Datatilsynet Trondheim kommunes behandling av sensitive. Trondheim kommunerevisjon Fylkesrevisjonen i Nordland, november 2014 Side 17 av 17

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

IKT-sikkerhet og sårbarhet i Risør kommune

IKT-sikkerhet og sårbarhet i Risør kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland-6jerstad-Grimstad-Lillesand-Riser-Tvedestrand-Vegarshei-knii 12-\ cx - IKT-sikkerhet og sårbarhet i Risør kommune Forvaltningsrevisjonsrapport - november

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Oppfølging av forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 17/4005-1 Saksbehandler: Kari Lousie Hovland Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Personvern - sjekkliste for databehandleravtale

Personvern - sjekkliste for databehandleravtale ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten

Detaljer

Styringssystem i et rettslig perspektiv

Styringssystem i et rettslig perspektiv Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet

Detaljer

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale Pilot Digitalt Bortsettingsarkiv Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Mottaker: Kunnskapsdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold til lov om Riksrevisjonen

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Forvaltningsrevisjon IKT sikkerhet og drift 2017 Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD

Detaljer

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale mellom. (Oppdragsgiver) Behandlingsansvarlig Kommunesektorens organisasjon (KS) som Databehandler Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy

Detaljer

ekommune 2017 Prosessplan for god praksis om personvern

ekommune 2017 Prosessplan for god praksis om personvern ekommune 2017 Prosessplan for god praksis om personvern Utfordringen Ble tidligere i år klar over at ny EUforordning ville medføre nye krav fra mai 2018 => erkjennelse: Overhalla kommune har et grunnleggende

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00176 Dato for kontroll: 27.03.2012 Rapportdato: 05.09.2012 Endelig kontrollrapport Kontrollobjekt: Kåfjord kommune Sted: Kåfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt Behandlingsansvarlig) Mattilsynet. (heretter kalt Databehandler) DATABEHANDLERAVTALE mellom [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") og Mattilsynet (heretter kalt "Databehandler") Vedrørende Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig

Detaljer

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010. Fjell kommune Postboks 184 5342 STRAUME Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01137-9/RTH 27. februar 2012 Avslutning av sak - kontroll hos Fjell kommune- Internkontroll og informasjonssikkerhet

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. Kommunenes Sentralforbund - Databehandler U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021 Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig

Detaljer

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla? Personalledernettverket Trøndelag Ørland 22.-23.8. 2018 Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla? En enkel prosessplan (nov 2017) Enkelhet, helhetlig og synergier:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00319 Dato for kontroll: 02.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Sosialistisk Venstreparti Sted: Akersgata 35, Oslo Utarbeidet av: Knut-Bredee Kaspersen

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Policy for personvern

Policy for personvern 2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises

Detaljer

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 13/09/2017 SAK NR 23-2017 Behandling av personopplysninger - oppfølging av styresak 05-2017 Forslag til vedtak: 1. Styret tar redegjørelsen

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering

Detaljer

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,

Detaljer

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 GDPR General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 en grunnleggende kjedelig men absolutt nødvendig innføring for lag og foreninger i Asker

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Saksnummer: 13/00933 Dato for kontroll: 15.10.2013 Foreløpig rapport: 19.12.2013 Endelig rapport: 07.07.2014 Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av:

Detaljer

Databehandleravtale for NLF-medlemmer

Databehandleravtale for NLF-medlemmer Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av

Detaljer

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale tale Digitalt I henhold til personopplysningslovens depot 13, jf. 15 personopplysningsforskriftens kapittel 2. mellom Risa; ) cm1iwcwl 09 IKA Trøndelag IKS 1 Avtalens hensikt Avtalens hensikt er å regulere

Detaljer