Foreløpig kontrollrapport

Størrelse: px
Begynne med side:

Download "Foreløpig kontrollrapport"

Transkript

1 Saksnummer: 13/00939 Dato for kontroll: Foreløpig rapport: Endelig rapport: Foreløpig kontrollrapport Kontrollobjekt: Elverum kommune, Elverum ungdomsskole Sted: Elverum Utarbeidet av: Martha Eike Eirin Oda Lauvset 1 Innledning Datatilsynet gjennomførte en kontroll hos Elverum kommune ved Elverum ungdomsskole den 5. november Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, tredje ledd. Temaet for kontrollen var kommunens behandling av personopplysninger ut fra de krav som personopplysningsloven med forskrifter oppstiller. Under kontrollen var det spesiell oppmerksomhet omkring skolens plikter til å ha oversikt over elevopplysninger som behandles i skoleadministrativt system, læringsplattform og andre digitale læringsressurser, samt informasjonssikkerheten rundt disse behandlingene. Kontrollen fant sted ved Elverum ungdomsskole. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Heidi Nordermoen, service- og IKT-sjef, Elverum kommune - Harald Torbjørnsen, IKT-koordinator skole, Elverum kommune - Atle Teksum, rektor, Elverum ungdomsskole - Bernt Østbye, enhetsleder service og arkiv, Elverum kommune - Tord Arnesen, skolesjef, Elverum kommune - Askild Bø, lærer, IKT-veileder, Elverum ungdomsskole - Ivar Richard Larsen, lærer, IKT-veileder, Elverum ungdomsskole 2.2 Fra Datatilsynet: - Martha Eike, overingeniør - Eirin Oda Lauvset, seniorrådgiver - Ted Tøraasen, overingeniør - Sigrid Jostad, arkivverket (observatør) - Thomas Øverby, arkivverket (observatør) 1 av 15

2 3 Kort om systemporteføljen i Elverum kommune Elverum kommune bruker WebSak arkivsystem, og oppgir at all journalføring foregår elektronisk. Et dokument skal kun journalføres et sted. Journalføring av klientopplysninger foregår i egne fagsystemer. Elverum kommune bruker Oppad som skoleadministrativt system (SAS). Dette er også kildesystem for personopplysninger om elever og foresatte. Fra SAS overføres det personopplysninger en gang i døgnet til det lokale brukeradministrasjonssystemet, BAS. Elverum kommune drifter selv et BAS bygd på Life Cykle Server, LCS (Microsoft). Elverum kommune bruker Moodle som læringsplattform (LMS). Plattformen består av Moodle som hovedmodul, og er koblet sammen med Oppad Lærerweb for elevvurderinger og Microsoft Office365 for lagring. Moodle er åpen kildekode og basert på php. Innlogging styres via Feide. Annet: Feideressurser (TV2 skole og Creaza) Ressurser integrert i Moodle (Office365 og Oppad lærerweb) Andre nettressurser (Cyberbook norsk +, matematikk.net, Moava, Glogster.com, viten.no, NRK skole, Youtube.com 4 Oversendelse av informasjon Datatilsynet ba i varselet om at Elverum kommune oversende følgende dokumentasjon: a) oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. personopplysningsloven 13 og 14, og personopplysningsforskriften kapittel 2 og 3, c) oversikt over personopplysninger som behandles, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. personopplysningsforskriften 2-4, f) avviksrutiner, jf. personopplysningsforskriften 2-6, g) navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. Dokumentasjon ble sendt Datatilsynet i brev datert 25. oktober Noe dokumentasjon ble ettersendt 3. desember En detaljert agenda ble oversendt Elverum kommune på e-post før kontrollen. 2 av 15

3 5 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Under kontrollen ble Elverum kommunes internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningsloven 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Personopplysningsforskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Av de overordnede prosedyrene som Datatilsynet fikk tilsendt går det tydelig frem at det er øverste ledelse i kommunen, rådmannen, som er å regne som behandlingsansvarlig. Det er imidlertid kun ansvar for informasjonssikkerhet som er omtalt spesielt. På den stedlige kontrollen fikk vi bekreftet at rådmannens ansvar også gjelder andre rutiner for oppfyllelse av personopplysningsloven. Behandlingsansvaret etter personopplysningsloven er dokumentert, blant annet gjennom beskrivelser av ansvar og oppgaver og organisering/delegering av ansvar, roller og oppgaver. Datatilsynet har ikke konstatert avvik Plikten til å ha et internkontrollsystem Elverum kommune har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. 3 av 15

4 Som svar på spørsmål om styrende dokumenter for internkontroll oversendte Elverum kommune «Overordnet prosedyre for kommunens arbeid med egenkontroll og sikkerhetsrevisjon». Dette er et dokument som beskriver hvordan kommunen jobber for å sikre at besluttet sikkerhetsmål, -strategi og -organisering blir fulgt opp. Av den dokumentasjon som ble oversendt fra Elverum kommune er også «Rutinehåndbok for behandling av persondata i skoleverket» relevant for oppfyllelsen av plikten til å ha internkontroll. I kommunens tilsvar til vårt varsel om kontroll ble det opplyst at Elverum kommune har tatt i bruk Risk Manager som overordnet kvalitetssystem, og at alle overordnede rutiner og prosedyrer skal være tilgjengelig i dette systemet. Prosedyren som Elverum kommune oversendte omhandler kun informasjonssikkerhet, og gav ingen holdepunkter for å si noe om hvilke rutiner kommunen har for å sørge for f.eks informasjon til de registrerte, innsyn, retting eller sletting. På den stedlige kontrollen fikk vi demonstrert Risk Manager som overordnet kvalitetssystem. Det er Datatilsynets vurdering at Elverum kommune har etablert et internkontrollsystem, men dette er mangelfullt hva gjelder rutiner for å oppfylle de rettighetene som de registrerte har etter personopplysningsloven, og som ikke dreier seg om informasjonssikkerhet. Vi har konkludert med at det ikke konstateres avvik på dette punkt, men det forutsettes at internkontrollsystemet som er etablert suppleres med de rutiner for oppfyllelse av registrertes rettigheter. Datatilsynet har ikke konstatert avvik Implementering av internkontroll Elverum kommune har etter personopplysningsloven 14 plikt til å sørge for at internkontrollsystemet og de tilhørende rutinene er tilgjengelig for alle medarbeidere. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Elverum kommune er klar på at det er kommunens øverste ledelse som har det overordnede ansvaret for at rutiner for oppfyllelse av personopplysningsloven er kjent i hele organisasjonen. Kommunen tilbyr opplæring i internkontrollsystemet og det gis også retningslinjer for bruk av skoleadministrativt system, læringsplattform og arkiv. De overordnede rutinene er tilgjengelig for alle ansatte på kommunens Intranett. 4 av 15

5 Under kontrollen ble det opplyst at rektorene ved de enkelte skolene er delegert ansvaret for implementering av internkontrollsystemet på den enkelte skole. Kommuneledelsen gjør imidlertid ingen revisjon av om dette er gjort. Internkontroll for behandling av personopplysninger er ikke implementert ved Elverum ungdomsskole. Elverum har en langsiktig plan om at alle virksomheter innen kommunen skal legge sine underordnede rutiner og prosedyrer inn i Risk Manager. Dette er ikke gjennomført og det er heller ikke lagt en konkret plan for når dette skal skje. En sentral del av plikten som Elverum kommune har etter personopplysningsloven 14, jf personopplysningsforskriften 3-1 er å sørge for at alle medarbeidere er kjent med hvilke rutiner som gjelder for behandling av personopplysninger. For de delene av kommunen som er nært knyttet til sentraladministrasjonen i sitt daglige virke kan det være tilstrekkelig å gi opplæring i internkontroll og gjøre det kjent hvor rutinebeskrivelsene er å finne. Etter vår vurdering er imidlertid skolene i kommunen så autonome og selvdrevne at det vil kreves noe mer fra kommunens side for å sørge for at de overordnede rutinene blir implementert her. Kommunen kan for eksempel inkludere spørsmål om implementerte rutiner for behandling av personopplysninger i en årlig revisjon av skolene. I de tilfellene overordnede rutiner ikke dekker behovet, men at det er nødvendig å utarbeide spesifikke rutiner for skolen, tilligger det også kommuneledelsens ansvar å påse at dette blir gjort. Manglende implementering av internkontroll for behandling av personopplysninger ved Elverum ungdomsskole er et avvik fra personopplysningslovens 14, jf. personopplysningsforskriften Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i 5 av 15

6 kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Elverum kommune har utarbeidet oversikt over behandlinger av personopplysninger som foretas innenfor kommunens virksomhet. En spesifisert oversikt over skolens behandlinger av elevopplysninger finnes imidlertid ikke. Datatilsynet har ikke konstatert avvik på dette punkt. Det anbefales imidlertid at kommunen eller skolen selv utarbeider en oversikt over behandlinger av personopplysninger som er spesifikk for skolen. Datatilsynet har ikke konstatert avvik Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til personopplysningsloven 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis Rett til innsyn Det følger av personopplysningsloven 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. : Elverum kommune har en generell prosedyre for innsyn ved henvendelse, men Elverum ungdomsskole og skolene i Elverum har ikke egne tilpassede prosedyrer. 6 av 15

7 Delkonklusjon Mangel på skriftlige rutiner for innsynsbegjæringer ved Elverum ungdomsskole er et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av personopplysningsloven 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Verken Elverum kommune eller Elverum ungdomsskole har dokumenterte rutiner for å gi informasjon til elever og foresatte om hvordan kommunen/skolen behandler personopplysningene om elevene. Elverum kommune har en egen hjemmeside for Elverumskolene, https://moodle.elverumskolen.no. Dette er en kanal som brukes til nyheter, informasjon til alle foresatte og ukeplaner. I tillegg har hver klasse sin egen hjemmeside hvor lærere kan velge å gi foresatte tilgang. Her kan det legges opp til debatt, publisering av arbeider og innleveringer til lærer. Ellers kommuniserer skolen med foresatte på utviklingssamtaler (to ganger i året), SMS, e- post og Facebook. 1 Teksten er endret noe fra varselet, men endringen består i hovedsak av en presisering og endrer således ikke innholdet i pålegget. 7 av 15

8 For de ressursene som tas i bruk gjennom Feide-pålogging finnes en oversikt med noe informasjon om hvordan personopplysningene blir behandlet. Denne oversikten får kun elevene da foresatte ikke har tilgang til verken Moodle eller Feide-ressursene. Elverum kommune og Elverum ungdomsskole har flere kanaler for kommunikasjon med elever og foresatte, men ingen av disse kanalene er blitt benyttet for å gi elever og foresatte om hvordan kommunen/skolen behandler personopplysningene om elevene. Delkonklusjon Mangelfulle dokumenterte rutiner for informasjon til den registrerte er et avvik, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d Sletting I henhold til personopplysningsloven 11 e, jf. 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 2 Virksomheten skal etter personopplysningsforskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Elverum kommune har ingen overordnet rutine for sletting av personopplysninger. Elverum kommune har en rutine i sin «Rutinehåndbok for behandling av persondata i skoleverket» som angir noen regler for når og hvordan sletting skal skje. Tittelen på håndboken er misvisende da den kun gjelder behandling av personopplysninger i det skoleadministrative systemet (Oppad). Rutinen for Oppad angir at personopplysninger kan slettes fra Oppad 365 dager etter at eleven har sluttet på skolen. Slik rutinen er formulert er dette altså en kan-regel og ikke en skal-regel. Det står heller ingenting om begrunnelsen for at opplysningene skal oppbevares i ett år etter at eleven er sluttet. Elverum kommune har ingen rutine for sletting av personopplysninger som ligger i læringsplattformen (Moodle). Under kontrollen ble det opplyst at opplysningene som ligger i Moodle blir «deaktivert» en tid etter et skoleårs slutt. Dette betyr at opplysningene ikke slettes, men blir gjort utilgjengelig. Det er lagt opp til at elevene har et «tidsvindu» hvor de har anledning til å ta ut det de ønsker å ta vare på før det blir utilgjengelig. 2 Personopplysningsloven 11 bokstav e fastslår at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 15

9 Alle opplysninger knyttet til enkeltelevers konto i Moodle slettes 180 dager etter at eleven er sluttet på Elverum ungdomsskole. Kommunikasjon mellom elev/elev, elev/lærer og lærer/lærer i Moodle slettes etter 60 dager. Det faktum at Elverum kommune ikke har en skriftlig, overordnet rutine for sletting av personopplysninger, og heller ikke en spesifikk rutine for sletting av elevopplysninger er i utgangspunktet et avvik. Det er positivt at det for SAS og LMS er angitt noen rammer for henholdsvis sletting og deaktivering av opplysninger. Datatilsynet mener imidlertid at disse rammene må formaliseres i skriftlige rutiner, og at tidsrammene må begrunnes. Sletterutinene må også være en del av den informasjonen som gis til ansatte, elever og foresatte om hvordan skolen behandler personopplysninger. Delkonklusjon Mangelfullt dokumenterte rutiner for sletting av personopplysninger er avvik fra personopplysningsloven 28, jf. personopplysningsforskriften 3-1 bokstav c Mangelfulle eller mangelfullt dokumenterte rutiner for behandling av personopplysninger er avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d og c. 6.2 Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. 9 av 15

10 Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Av dokumentene som ble oversendt fremgår det at kommunen etablerte et kvalitetssystem for informasjonssikkerhet i 2004 som kommunen selv mener ivaretar pliktene i personopplysningsloven med forskrift. Slik Datatilsynet forstår det har imidlertid verken mål eller strategi vært gjenstand for revisjon. I forbindelse med kontrollen sendte Elverum kommune over et dokument som heter «Sikkerhetsmål og sikkerhetsstrategi for Elverum kommune». Det fremgår ikke når dette dokumentet er godkjent. Kommunen sendte også et dokument som heter «sikkerhetsmål ved behandling av personopplysninger». Dette dokumentet er godkjent 15. oktober Det fremgår også at det er planlagt revidert innen 1. juni Datatilsynet har forståelse for at kommunen for tiden er inne i en prosess hvor helhetlige IKTløsninger for skolene er under oppbygging. Datatilsynet mener samtidig at det er avgjørende for ivaretagelsen av informasjonssikkerheten at kommunen har rutiner for å gjennomgå egne sikkerhetsmål og sikkerhetsstrategi. Vi konstaterer ikke avvik, men forutsetter at det for fremtiden vil gjennomføres rutinemessig revisjon av sikkerhetsmål og strategi. Datatilsynet har ikke konstatert avvik. Sikkerhetsorganisasjon Ansvaret for sikkerhetsarbeidet er tydelig plassert i organisasjonen. Dette fremkom av dokumentasjonen som ble oversendt, og fremgikk også under kontrollen. Elverum kommune har en egen informasjonssikkerhetsansvarlig og en som er ansvarlig for SAS og LMS. Vi fikk opplyst at vedkommende som har rollen som informasjonssikkerhetsansvarlig for fremtiden vil arbeidere tettere sammen med ansvarlig for SAS og LMS i skolesektoren. Særlig vil det settes fokus på retningslinjer for hvilke og hvordan digitale nettressurser som kan tas i bruk av skolene. Elverum kommune har etablert en sikkerhetsorganisasjon, og en egen enhet som skal ivareta sikkerhetsmål og sikkerhetsstrategi i skolesektoren. Elverum ungdomsskole er også kjent med denne sikkerhetsorganisasjonen. 10 av 15

11 Datatilsynet har ikke konstatert avvik Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Elverum kommune har ingen skriftlig rutine for å vurdere risikoen ved nye informasjonssystem som tas i bruk og som behandler personopplysninger. Risikovurdering er foretatt av SAS og LMS. Elverum kommune har kontroll på de nettressursene som skolene tar i bruk gjennom Feide og som er integrert i Moodle. For disse ressursene melder kommunen at de har oversikt over hvilke personopplysninger tjenestene benytter seg av, og hvilke personopplysninger som ligger igjen hos tjenesten mellom hver innlogging. I forbindelse med Datatilsynets kontroll ble det laget en oversikt over digitale læringsressurser som brukes av skolen. Av denne oversikten fremgår det at skolen også har tatt i bruk andre digitale læringsressurser på nett som ikke er integrert i Moodle eller har Feideinnlogging. Mye tyder dermed på at kommunen ikke har reell oversikt over hvilke informasjonssystemer de enkelte skolene tar i bruk. For eksempel har Elverum ungdomsskole tatt i bruk Viten.no, Cyberbook Norsk +, matematikk.net og Moava. Datatilsynet har ikke undersøkt om dette er nettjenester som lagrer opplysninger om elevene, men på viten.no står det blant annet: «Viten er et prosjekt som utvikler undervisningsprogrammer i realfag på Internett og forsker på bruken av dem i norsk skole.» Dette er ikke et utsagn som beviser at nettstedet lagrer opplysninger om elevene, men det utelukker det heller ikke. Verken skolen eller kommunen kunne svare på om dette er en programvare som lagrer opplysninger om elevene. Datatilsynet mener at kommunen har en forpliktelse til å undersøke dette og foreta risikovurdering av bruken. Elverum kommune har tatt i bruk Mobilskole, men det er ikke foretatt noen risikovurdering av dette. 11 av 15

12 Manglende rutine for å vurdere risikoen ved nye informasjonssystem som tas i bruk og som behandler personopplysninger er et avvik. Det at det i forbindelse med Datatilsynets kontroll viser seg at Elverum ungdomsskole har tatt i bruk digitale nettressurser uten at dette er bragt under kontroll underbygger behovet for en slik rutine. Til tross for manglende rutinebeskrivelse har Elverum kommune likevel gjort risikovurdering av LMS og SAS. Scenariene er variert, men til dels for spesifikke til å bli vurdert som sannsynlige for at de skal skje. I tillegg blir risikofaktoren satt til gjennomsnittssummen av f.eks. tre individuelle vurderinger. Det er da fare for at det én person vurderer til å ha stor konsekvens med middel sannsynlighet, ikke vil få høy nok risiko når snittet regnes ut, og ingen sikkerhetstiltak blir innført. Som resultat er det få hendelser med høy risiko, og dermed få sikkerhetstiltak. Tilsynsteamet anbefalte under kontrollen at risikovurderinger gjøres som gruppearbeid med 5-7 deltakere for å sikre drøftelse av flest mulig scenarier. Kommunen bør også vurdere hvordan de regner seg frem til risiko for å unngå at det én av tre mener har høy risiko ikke blir vurdert når de belager seg på gjennomsnittet. Manglende dokumentert rutine for gjennomføring av risikovurdering, er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-16 Manglende gjennomføring og dokumentasjon av risikovurdering av Mobilskole, og digitale læringsressurser hvor det behandles personopplysninger, er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. personopplysningsforskriften 2-3. og vurdering Datatilsynet ble informert om at virksomheten ikke hadde gjennomført sikkerhetsrevisjon slik det fremgår av kravene i personopplysningsforskriften. Det er imidlertid planlagt en revisjon innen 1. juni av 15

13 Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften Sikkerhetstiltak Personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger personopplysningsforskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert, og uautorisert bruk av informasjonssystemet skal registreres. Elverum kommune er Feide-sertifisert, og ansatte og elever logger seg på Moodle via Feide. Foreløpig består denne påloggingen av kun brukernavn og passord (svak autentisering). Det er ikke satt noen sperrer for pålogging utenfor skolens nettverk. I praksis er det derfor fullt mulig for ansatte å logge seg på læringsplattformen når og hvor som helst. Det er ikke utført klassifisering av systemene som skolen bruker, slik at kommunen ikke med sikkerhet kan vite hvilke behandlinger som bør være på sikret, intern og åpen sone. Dersom et informasjonssystem, som inneholder personopplysninger om mange elever, skal gjøres tilgjengelig for ansatte fra utsiden av den ansvarlige virksomheten, er Datatilsynets vurdering at det kreves en sterkere autentisering enn brukernavn og passord. Med sterk autentisering menes for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS. Dette kan også realiseres i en fjernarbeidsløsning med sterk autentisering, og påfølgende tilgang til fagapplikasjonen. Dette hindrer at noen som får tak i brukernavn og passord klarer å skaffe seg tilgang til informasjonssystemet. I læringsplattformen, som er tilgjengelig for ansatte, er det personopplysninger om mange elever som må beskyttes. Den er tilgjengelig for pålogging over Internett med svak autentisering. Dette er ikke tilfredsstillende. Tilfredsstillende informasjonssikkerhet kan for eksempel oppnås ved å utføre klassifisering av systemene som skolen bruker, og dersom det er system som behandler sensitive opplysninger, bør en vurdere om disse skal inn i sikret sone. 13 av 15

14 Svak autentisering for ansattes pålogging til læringsplattform over eksterne nett og på elevnett, gir ikke tilfredsstillende informasjonssikkerhet. Dette er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften 2-1, 2-2, 2-11 og Rutiner for bruk av informasjonssystemer Personopplysningsloven 13, jf. personopplysningsforskriften 2-7 første og femte ledd og 2-8 stiller som krav til den behandlingsansvarlige at det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemene. Personopplysningsforskriften 2-7 femte ledd pålegger at det skal utarbeides skriftlige rutiner for bruken av alle informasjonssystem som inneholder personopplysninger. Videre pålegger personopplysningsforskriften 2-8 andre ledd at alle medarbeidere som bruker informasjonssystemene skal ha nødvendig kunnskap til å bruke disse i samsvar med de rutinene som er bestemt. Elverum kommune har ingen skriftlige rutiner for hva og hvordan læringsplattformen skal, og ikke skal, brukes til. Manglende skriftlige rutiner for hvordan læringsplattformen skal brukes er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-7 første og femte ledd og 2-8 andre ledd. 6.4 Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Elverum kommune har tatt i bruk Mobilskole og flere digitale, nettbaserte læringsressurser uten at det er inngått databehandleravtale med disse. 3 Teksten er endret noe fra varselet, men endringen består i hovedsak av en presisering og endrer således ikke innholdet i pålegget. 14 av 15

15 For de tjenesteleverandørene som tilbyr tjenester gjennom Feide er det Elverum kommune sin vurdering at kommunens plikt til å ha databehandleravtale er ivaretatt gjennom leverandørens kontrakt med Feide. Dette fordi kommunen mener kontrakten sikrer at personopplysningene lagres i Norge, at personopplysninger slettes når abonnementet opphører og at samtykke kan trekkes tilbake. Elverum kommune har etter egen gjennomgang kommet til at de bør utarbeide avtale med Creaza, og vil ha denne på plass før årsslutt Elverum kommune opplyser om at de for fremtiden vil inngå avtale med andre tjenester der tjenesteleverandøren lagrer personopplysninger (f.eks. elevproduksjoner og elevresultater). Datatilsynets besøk ved Elverum ungdomsskole har avdekket at det mest sannsynlig er et antall leverandører av digitale nettressurser som benyttes og som det skulle vært inngått avtale med. Etter Datatilsynets vurdering er det ikke tilstrekkelig for oppfyllelse av plikten til å ha databehandleravtale at leverandøren har inngått avtale med Feide. Leverandøren må ha en forpliktelse overfor den avtaleparten som er ansvarlig for personopplysningene. Den ansvarlige i dette tilfellet er Elverum kommune. Manglende databehandleravtaler med Mobilskole og leverandører av digitale læringsressurser, som behandler personopplysninger på vegne av kommunen, er et avvik, jf. personopplysningsloven 15, jf. personopplysningsforskriften av 15

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Saksnummer: 13/00933 Dato for kontroll: 15.10.2013 Foreløpig rapport: 19.12.2013 Endelig rapport: 07.07.2014 Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00934 Dato for kontroll: 25.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 Endelig kontrollrapport Kontrollobjekt: Oslo kommune Sted: Bygdøy skole Utarbeidet av: Martha

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 30.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Oslo kommune, Foss videregående skole Sted:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00139 Dato for kontroll: 18.03.2014 Foreløpig rapport: 22.04.2014 Endelig rapport: 14.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Kongsberg kommune, Skrim ungdomsskole Sted: Kongsberg

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00138 Dato for kontroll: 14.03.2014 Foreløpig rapport: 11.04.14 Endelig rapport: 15.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Hamar kommune, Ajer ungdomsskole Sted: Hamar Utarbeidet

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00320 Dato for kontroll: 05.06.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Høyre Utarbeidet av: Knut-Bredee Kaspersen Sted: Oslo 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00118 Dato for kontroll: 6.3.2014 Foreløpig rapport: 29.4.2014 Endelig rapport: 8.8.2014 Endelig kontrollrapport Kontrollobjekt: Bjerkås barnehage Sted: Vollen, Asker Utarbeidet av: Martha

Detaljer

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013. Brønnøy kommune Rådmannen Rådhuset 8905 BRØNNØYSUND Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00452-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport - Brønnøy kommune

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00140 Dato for kontroll: 19.03.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Akershus fylkeskommune, Skedsmo videregående skole

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/30431 12/01044-8/MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014. Lier kommune Postboks 205 3401 LIER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00141-9/MEI 22. oktober 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010. Fjell kommune Postboks 184 5342 STRAUME Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01137-9/RTH 27. februar 2012 Avslutning av sak - kontroll hos Fjell kommune- Internkontroll og informasjonssikkerhet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00119 Dato for kontroll: 24.02.2014 Foreløpig rapport: 11.04.2014 Endelig rapport: 07.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Norlandiabarnehagene, Myrertoppen barnehage Sted:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00122 Dato for kontroll: 7.3.2014 Foreløpig rapport: 16.5.2014 Endelig rapport: 12.8.2014 Endelig kontrollrapport Kontrollobjekt: Espira Gruppen AS Sted: Blåveisbakken barnehage Utarbeidet

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet Fiskeridirektoratet Postboks 185 Sentrum 5804 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) 11/7937 13/00201-8/HHU 26. juni 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00176 Dato for kontroll: 27.03.2012 Rapportdato: 05.09.2012 Endelig kontrollrapport Kontrollobjekt: Kåfjord kommune Sted: Kåfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Saksnummer: 16/00326 Dato for kontroll: 10.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet Utdanningsdirektoratet Postboks 2924 Tøyen 0608 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2012/6050 12/00973-10/KBK 27. februar 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet Statens Havarikommisjon for Transport Postboks 213 2001 LILLESTRØM Deres referanse Vår referanse (bes oppgitt ved svar) 12/611-6 12/01022-8/HHU 28. februar 2013 Dato Vedtak om pålegg Endelig kontrollrapport

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00941 Dato for kontroll: 03.12.2013 Foreløpig rapport: 11.03.2014 Endelig rapport: 04.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Bergen kommune, Møhlenpris skole Sted:

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 17.12.2013 Foreløpig rapport: 11.03.2014 Endelig rapport: 07.08.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Drammen kommune, Aronsløkka skole Sted:

Detaljer

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009. Avslutning av sak - kontroll hos kommune - Internkontroll og informasjonssikkerhet Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Bedre personvern i skole og barnehage

Bedre personvern i skole og barnehage Bedre personvern i skole og barnehage NOKIOS, 28. oktober 2014 Eirin Oda Lauvset, seniorrådgiver i Datatilsynet Martha Eike, senioringeniør i Datatilsynet Datatilsynet Uavhengig forvaltningsorgan Tilsyn

Detaljer

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/858/09/5428 09/00171-8 /ABE 30. juni 2009 Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune Det vises til Datatilsynets

Detaljer

Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet

Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet Utlendingsnemnda Postboks 8175 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00685-8 12/00994-9/MEP 19. februar 2013 Dato Vedtak om pålegg - endelig kontrollrapport - Kontroll hos

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00259 Dato for kontroll: 08.04.2014 Rapportdato: 28.07.2014 Endelig kontrollrapport Kontrollobjekt: Sogn og Fjordane fylkeskommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede

Detaljer

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009.

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009. Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/42637 09/00173-7 /RTH 11. september 2009 Vedtak om pålegg - endelig kontrollrapport fra kommune Det vises til Datatilsynets kontroll hos kommunen

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00754 Dato for kontroll: 08.10.2012 Rapportdato: 08.04.2013 Endelig kontrollrapport Kontrollobjekt: Toll- og avgiftsdirektoratet Sted: Oslo Utarbeidet av: Atle Årnes Cecilie Rønnevik 1 Innledning

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00137 Dato for kontroll: 12.03.2014 Foreløpig rapport: 02.07.2014 Endelig rapport: 05.11.2014 Endelig kontrollrapport Kontrollobjekt: Vestfold fylkeskommune, Sandefjord videregående skole

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Endeleg kontrollrapport

Endeleg kontrollrapport Saksnummer: 13/00938 Dato for kontroll: 19.11.2013 Førebels rapport: 23.12.2013 Endeleg rapport: 10.07.2014 Endeleg kontrollrapport Kontrollobjekt: Eid kommune, Nordfjordeid skule Sted: Nordfjordeid Utarbeidd

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer