Foranalyse - IKT-sikkerhet og drift i Hedmark fylkeskommune

Størrelse: px
Begynne med side:

Download "Foranalyse - IKT-sikkerhet og drift i Hedmark fylkeskommune"

Transkript

1 Foranalyse 2014 Utarbeidet av Hedmark Revisjon IKS på oppdrag fra kontrollutvalget i Hedmark fylkeskommune Foranalyse - IKT-sikkerhet og drift i Hedmark fylkeskommune Postboks 84, 2341 Løten Telefon: E-post: Org.nr: MVA

2 Innhold 1 SAMMENDRAG 3 2 BESTILLING FORMÅL MED FORANALYSE OPPBYGGING AV RAPPORTEN 4 3 IKT-SIKKERHETENS AKTUALITET, SENTRALE BEGREPER OG LOVVERK AKTUALITET HVA ER PERSONLIGE OPPLYSNINGER, PERSONVERN OG IKT-SIKKERHET? LOV OG FORSKRIFT KS DIGITALISERINGSSTRATEGI OG KOMMIT 9 4 IKT-SIKKERHET I HEDMARK FYLKESKOMMUNE ORGANISERING AV IKT-OMRÅDET REGLEMENTER OG RETNINGSLINJER I FYLKESKOMMUNEN REGISTRE MED PERSONOPPLYSNINGER 12 5 MULIG EMNE: DRIFT AV IKT I FYLKESKOMMUNEN 17 6 REVISORS VURDERING OG ANBEFALING IKT-SIKKERHET OG DRIFT VURDERING AV RISIKO OG VESENTLIGHET ANBEFALING GJENNOMFØRING OG TIMEFORBRUK 22 Forsidebilde: Image Hand On Keyboard courtesy of phanlop88 at FreeDigitalPhotos.net. 2

3 1 Sammendrag I denne foranalysen har vi sett på IKT-sikkerhet i Hedmark fylkeskommune samt på driften av IKT-løsninger i fylkeskommunen. Vi anbefaler en revisjon som vurderer om fylkeskommunen har en systematisk tilnærming til IKT-sikkerhet og drift. Det leder til at vi anbefaler to overordnede problemstillinger: 1. I hvilken grad har fylkeskommunen tilfredsstillende retningslinjer og rutiner for å sikre personopplysningers konfidensialitet, integritet og tilgjengelighet?, herunder: personopplysninger for fylkeskommunens ansatte som helhet elevenes personopplysninger på skolene 2. Har fylkeskommunen betryggende systemer for kontroll med drift og vedlikehold av IKT-tjenester? Med eventuell tilføyelse av følgende problemstilling: 3. Hvordan følges retningslinjer og rutiner opp i praksis? Vi har innhentet informasjon via: - Presentasjon ved møte i Kontrollutvalget 10. februar - Diverse regler og retningslinjer i fylkeskommunen - Diverse lover, regler og standarder for it-sikkerhet - Forvaltningsrevisjonsrapport «Styring av IKT-satsningen i Hedmark fylkeskommune» med tilhørende datainnsamling - Relevante samfunnsundersøkelser 2 Bestilling I henhold til kommuneloven 77 fjerde ledd skal kontrollutvalget påse at det blir gjennomført forvaltningsrevisjon i kommunen/fylkeskommunen. Høsten 2014 hadde kontrollutvalget gått gjennom de fleste temaene som ble trukket frem som aktuelle forvaltningsrevisjonsprosjekter i plan for forvaltningsrevisjon for perioden. På denne bakgrunn ble det utarbeidet en liste over relevante temaer for forvaltningsrevisjon i perioden /16. Kontrollutvalget valgte ut tre temaer fra listen som det ønsket å få belyst i en foranalyse hvilket ses av følgende vedtak 18. november 2014 i sak nr. 27/14: 3

4 Kontrollutvalget prioriterer følgende tema for forvaltningsrevisjon i perioden -2016: 1. Utleie av bygninger og idrettshaller i regi av fylkeskommunen (omfang, prissetting, habilitet) 2. IKT-sikkerhet 3. Hvordan jobber fylkeskommunen som næringsutviklingsaktør? Kontrollutvalget bestiller foranalyse fra Hedmark Revisjon IKS om de prioriterte temaene til de første møtene i, og kontrollutvalget ber sekretariatet sørge for orienteringer fra administrasjonen på temaene. Høsten 2014 ble forvaltningsrevisjonsprosjektet «Styring av IKT-satsningen i Hedmark fylkeskommune» levert til Kontrollutvalget. Prosjektet hadde en overordnet og generell synsvinkel, og har konsentrert seg om strategi, ledelse og kompetanse, samordning og standardisering av IKT-løsninger, tilgjengelighet og digitalisering, IKT i forhold til fylkeskommunens oppgaver innen utdanning (dvs. videregående opplæring) og helse (tannhelse), samt IKT-sikkerhet på overordnet nivå. Prosjektet omfattet ikke: Personvern, taushetsplikt og informasjonssikkerhet Sentral og lokal infrastruktur, fysisk sikring av data, tilgang til systemer og andre tekniske tiltak som skal bidra til IKT-sikkerhet. Videre har prosjektet ikke omfattet driftstiltak knyttet til IKT, eller implementering av IKT-systemer. Kontrollutvalget prioriterte i møtet 18. november 2014 at foranalysen skulle fokusere på den delen som ikke ble vurdert i førnevnte rapport, nemlig IKT-sikkerhet. 2.1 Formål med foranalyse oppbygging av rapporten Formålet med forundersøkelsen er å skaffe til veie informasjon slik at kontrollutvalget kan ta stilling til hvorvidt det er grunnlag for å gå videre på området, dvs. om det er grunnlag for å bestille en forvaltningsrevisjon innenfor IKT-sikkerhet. 1 Videre skal forundersøkelsen bidra til å gi kontrollutvalget grunnlag for å velge hvilket tema innenfor IKT-sikkerhet som anses mest 1 Datamaskin Norsk Datakunnskap Network skriver om definisjonen på IT og IKT: «IT og IKT brukes ofte om hverandre av de i databransjen, men disse begrepene er forskjellige i definisjonen. IT står for informasjonsteknologi og IKT står for Information Communication Technology. Dette er svært nært beslektet, men vilkårene betegne to forskjellige studieretninger eller industri. Mest enkelt sagt, faller IKT under IT paraply og refererer til bestemt område av IT som har å gjøre med kommunikasjon.» (http://www.datamaskin.biz/nettverk/other-computer-networking/77301.html#.vp2zwy3kztr) Vi benevner det her «IKT»-sikkerhet fordi dette er betegnelsen i Personopplysningsloven. 4

5 aktuelt å fokusere på. Endelig vil vi med forundersøkelsen søke å legge til rette for en effektiv gjennomføring av en eventuell forvaltningsrevisjon på området. I det følgende vil vi gi en generell redegjørelse for temaet IKT-sikkerhet og relevant regel- og lovverk. Deretter vil vi gi en redegjørelse for IKT-sikkerhet i Hedmark fylkeskommune. Endelig vil vi gi vår vurdering og anbefaling, herunder skissere alternative innfallsvinkler for et eventuelt forvaltningsrevisjonsprosjekt. 3 IKT-sikkerhetens aktualitet, sentrale begreper og lovverk 3.1 Aktualitet Fylkeskommunene råder som arbeidsgivere og virksomhetseiere over en stor mengde personopplysninger. I en digital tid kan disse opplysningene spre seg raskt og bli utsatt for misbruk. Datatilsynet kategoriserer misbruk av personopplysninger i to hovedgrupper, henholdsvis en utilsiktet handling (uhell eller uaktsomhet) eller tilsiktet handling fra en kriminell. 2 Uhell eller uaktsomhet betyr at beskyttelsesverdig informasjon kommer uvedkommende i hende. Det kan for eksempel skje ved at ansatte lekker informasjon, at bærbare datamaskiner kommer på avveie, ved uforsvarlig håndtering av sikkerhetskopier eller innbrudd. Helseopplysninger er et eksempel på sensitiv informasjon som gis under tillit og fortrolighet. Brudd på tillit kan medføre alvorlig tillitskrise. Enda verre er det når personopplysninger misbrukes til å fremme et illegitimt formål, slik som å skaffe seg tilgang til og kontroll over andres økonomiske midler, kredittinstrumenter eller eiendom. Dette innebærer at uvedkommende tar helt eller delvis kontroll på aktiver eller eiendeler tilhørende en annen person (ofte kalt identitetstyveri). Ved hjelp av personopplysninger kan man foreta uautoriserte endringer eller disposisjoner i en annens navn (eksempelvis ut fra et hevnmotiv). Personopplysninger kan også misbrukes til å skaffe seg ytterligere tilgang til informasjon om enkeltmenneskers bevegelse, kommunikasjon og økonomiske disposisjoner, mot vedkommendes vilje og ønske. I 2011 gjennomførte Statens institutt for forbruksforskning (Sifo) og TNS Gallup en undersøkelse av omfanget av identitetstyveri i Norge. 3 I undersøkelsen opplyser 3 % at de har opplevd at deres gode navn og rykte ble skadet ved misbruk av personens navn. 4 3,3 % har opplevd at det er blitt kjøpt varer eller tjenester i sitt navn slik at personen har fått regningen. 2 https://www.datatilsynet.no/sektor/id-tyveri/virksomheters-bruk-og-misbruk-av-personopplysninger/ 3 STATENS INSTITUTT FOR FORBRUKSFORSKNING 2011: Identitetstyveri. Omfang, tillit og beskyttelse mot risiko av Ragnhild Brusdal og Randi Lavik 4 Tallene i undersøkelsen er basert på svar fra personer i alderen år 5

6 6,8 % svarer at de har blitt rammet av identitetstyveri 1 eller 2 ganger. Hvis dette tallet er representativt for hele befolkningen, har denne typen forbrytelse rammet nær en kvart million nordmenn. Samtidig har Datatilsynet opplevd en økning i henvendelser om personvern i arbeidslivet. I 2013 håndterte Datatilsynets veiledningstjeneste telefon- og e-posthenvendelser om personvern. Av disse var 22 prosent om overvåking i arbeidslivet, og tilsynet ser en fortsatt tendens til at denne typen henvendelser øker. Henvendelsene omhandler for eksempel GPSsporing og kameraovervåking, samt innsyn i og sletting av ansattes e-postkorrespondanse. Her blir det gitt som eksempel fordi det er påfallende mange arbeidsgivere som uten motforestillinger går gjennom e-postkorrespondansen til sine ansatte, også i sammenhenger der den ansatte har sluttet Hva er personlige opplysninger, personvern og IKT-sikkerhet? Personlige opplysninger Datatilsynet gjennomførte i 2013 og 2014 et tilsyn med bruk og lagring av personopplysninger i skoler og barnehager. 6 En erkjennelse og en noe overraskende oppdagelse for dem, var at betydningen av begrepet «personopplysning» var uklar for svært mange. I Personopplysningslovens 2 defineres personopplysninger som «opplysninger og vurderinger som kan knyttes til en enkeltperson». Med andre ord er personopplysninger alle opplysninger som kan knyttes til enkeltpersoner. Sensitive personopplysninger defineres i samme paragraf som opplysninger om: a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger. Både for personopplysninger og sensitive personopplysninger er det en rekke vilkår som må være tilstede før det er lov å dele og behandle dem. 7 Det er særlig skjerpede krav knyttet til sensitive opplysninger, men alminnelige personopplysninger skal også vernes om. Personvern Datatilsynet definerer personvern som retten til et privatliv og retten til å bestemme over egne personopplysninger. Alle mennesker har en ukrenkelig egenverdi og rett på en privat sfære som personen selv kontrollerer. Det skal være mulig å handle fritt uten tvang eller innblanding fra staten eller andre mennesker. 5 https://www.datatilsynet.no/nyheter/2014/en-av-fem-har-sporsmal-om-personvern-i-arbeidslivet/ 6 7 Personopplysningslovens 8 og 9 6

7 Personvernbegrepet refererer ikke bare til vernet av privatlivets fred og den enkeltes personlige integritet. I norsk forståelse innebærer begrepet i stor grad også vernet av individers rett til å ha innflytelse på bruk og spredning av personopplysninger om seg selv. Den enkelte skal i størst mulig grad kunne bestemme over egne personopplysninger. 8 IKT-sikkerhet Når man taler om IKT-sikkerhet dreier det seg om at virksomheten må håndtere risikoen for at personopplysninger og andre informasjonsverdier sikres på en tilfredsstillende måte. Internkontroll handler om at virksomheten skal etablere og vedlikeholde planlagte og systematiske tiltak for å sikre at de oppfyller lovens krav til behandling av personopplysninger. Gjennom å ha god informasjonssikkerhet og god internkontroll sikrer virksomheten at den behandler personopplysninger lovlig, sikkert og forsvarlig. 9 Konfidensialitet, integritet og tilgjengelighet Konfidensialitet er at uvedkommende ikke får tilgang til dataene. Integritet innebærer at ingen uautoriserte personer kan endre på opplysninger eller at informasjon utilsiktet blir endret. Med tilgjengelighet menes det at opplysningene må være tilgjengelige for personer som har behov for disse. 10 I fortsettelsen ser vi på lov og forskrift i forbindelse med personopplysninger. 3.3 Lov og forskrift Med digitalisering av offentlig sektor blir det i økt grad samlet inn, bearbeidet og analysert store mengder opplysninger. Opplysningene kan omhandle enkeltpersoner, forretningsprosesser, produktutvikling, strategier og metoder. Felles for alle opplysninger, er at det stilles varierende krav til behandling og beskyttelse. Opplysninger som kan knyttes til individet, skal behandles i samsvar med Personopplysningsloven og Personopplysningsforskriften. Reglene er fastsatt for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet. Personopplysningslovens 13 første og annet ledd om «Informasjonssikkerhet» lyder: «Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene...» jf. Personopplysningsforskriften 2-11 til

8 Dette innholdet er utdypet i Personopplysningsforskriftens kapittel 2. I forskriftet fremgår det en rekke konkrete krav til informasjonssikkerhet for IT-systemer hvor det behandles personopplysninger. Det er krav til følgende områder ( 2, nr. 3-16): - Sikkerhetsledelse: Den som har den daglige ledelsen av virksomheten har ansvaret. - Risikovurdering: Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. - Sikkerhetsrevisjon: Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. - Avvik: Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. - Organisering: Det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. - Personell og taushetsplikt: Medarbeidere hos den behandlingsansvarlige skal bare bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk. Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. - Fysisk sikring: Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å behandle personopplysninger etter forskriften her. - Sikring av konfidensialitet, tilgjengelighet og integritet. - Sikkerhetstiltak: Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. - Sikkerhet hos andre virksomheter: Den behandlingsansvarlige skal bare overføre personopplysninger elektronisk til den som tilfredsstiller kravene i personopplysningsforskriften. - Dokumentasjon: Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres. Personopplysningsloven stiller krav til internkontroll i form av etablering og vedlikehold av planlagte og systematiske tiltak for å oppfylle kravene i, eller i medhold av, Personopplysningsloven herunder å sikre personopplysningenes kvalitet. Datatilsynet skriver i sin veileder at det ikke forventer at øverste leder alltid har inngående kunnskap om informasjonssikkerhet. Derimot forventes det at personopplysninger er sikret på en forsvarlig måte, og at øverste leder ser etter at dette blir gjort. I praksis betyr det å sørge for at virksomheten har oversikt over hvilke plikter som gjelder, hvordan opplysninger behandles og sikres, at alle rutiner knyttet til dette er godkjent og blir fulgt opp av alle ansatte Jf. Personopplysningsforskriftens kapittel 3 om Internkontroll. 8

9 3.4 KS Digitaliseringsstrategi og KommIT Staten og Kommunenes sentralforbund (KS) er viktige premissgivere for kommunal sektor når det gjelder utviklingen på IKT området. Hedmark fylkeskommune er deltaker i KommIT (Program for IKT-utvikling i kommunesektoren) som ble etablert av KS våren Dette programmet eies av KS og styres av et programstyre bestående av kommuner, fylkeskommuner og KS. Formålet med KommIT er å bistå kommuner og fylkeskommuner slik at de kan nå målene i Digitaliseringsstrategi for kommuner og fylkeskommuner (KS). Denne strategien fastsetter de viktigste satsningsområdene og målene for kommuner og fylkeskommuner i perioden. KS har i strategien følgende mål for IKT-sikkerhet - Kommuner og fylkeskommuner har strategi for informasjonssikkerhet - Kommuner og fylkeskommuner har databehandleravtaler med andre som behandler personopplysninger på vegne av kommunen - Kommuner og fylkeskommuner har databehandleravtaler med andre som kommunen behandler personopplysninger for - Kommuner og fylkeskommuner har ledelsesforankret internkontroll og styringssystem på plass. - Kommuner og fylkeskommuner har løsninger som tilfredsstiller kravene til sikkerhetsarkitektur - Kommuner og fylkeskommuner som tar i bruk skytjenester, har gjennomført grundige risiko- og sårbarhetsanalyser og inngått en databehandleravtale (s. 15). I forvaltningsrevisjonsprosjektet «Styring av IKT satsningen» ble det valgt å la være å benytte mål fra KS digitaliseringsstrategi som grunnlag for å utlede konkrete revisjonskriterier. Det ble begrunnet med at strategien nettopp var iverksatt. Hvis det bestilles et forvaltningsrevisjonsprosjekt om IKT-sikkerhet kan det vurderes om revisjonskriteriene skal utledes av Personopplysningsloven og Personopplysningsforskriften eller KS digitaliseringsstrategi eller begge deler. En forvaltningsrevisjon vil som regel ta utgangspunkt i den kilde som er mest autoritativ. I dette tilfellet er lovverk med forskrift mere autoritativ enn en KS strategi. Det synes å være overensstemmelse mellom lovverket og KS digitaliseringsstrategi, og grunnlaget for revisjonskriteriene kan således avvente beslutningen om det skal gjennomføres en forvaltningsrevisjon på området. Etter disse avklaringer ser vi nå på IKT-sikkerhet i Hedmark fylkeskommune. 4 IKT-sikkerhet i Hedmark fylkeskommune 4.1 Organisering av IKT-området Fylkeskommunen har egen IKT avdeling som har som oppgave å koordinere fylkeskommunens IT-satsning, og å drifte fylkeskommunens IT-løsninger. Avdelingen har i alt 11 faste stillinger + lærlinger. IKT drifter løsninger for fylkeshuset, de videregående skolene, de fylkeskommunale 9

10 tannklinikkene og regionskontorene. Øvrige kunder er Hedmark Trafikk FKF, Kjørekontoret Innlandet AS og Kunstbanken. IKT sin servicedesk yter 1. og 2. linje brukerstøtte til sentraladministrasjonen, regionkontorene og tannklinikkene, samt 2. linje brukerstøtte til de videregående skolene. Servicedesken er IKTs kontaktflate mot brukere og leverandører og behandler 6500 saker i året. Desken tar i mot og behandler feilmeldinger, driftsproblemer, brukerspørsmål, endringsønsker, samt bestillinger. 12 Fylkeskommunens IT-løsninger benyttes av over brukere 13. I tillegg til de oppgavene som løses av de ansatte ved IKT avdelingen, er det også oppgaver som løses ved den enkelte enhet/virksomhet. Sentral infrastruktur er IKT avdelingens ansvar. I sentral infrastruktur ligger sentralt serverrom, bredbåndslinjer, brannmurer og felles lisensavtaler. Lokal infrastruktur er den enkelte enhet/virksomhet sitt ansvar, og omfatter lokalt nettverk, pc er, skrivere og mobile enheter. Fylkeskommunen hadde våren 2013 i alt 10 konsernsystemer og 27 fagsystemer som skulle driftes, vedlikeholdes og utvikles. 14 På noen områder, og særlig innenfor videregående utdanning, er det etablert samarbeid med andre/konsulentbistand. Som eksempel kan nevnes at Hedmark fylkeskommune er medeier i Vigo IKS som ivaretar utvikling av noen av fylkeskommunens IT-systemer innen videregående opplæring. Fylkeskommunen er også medeier i NDLA som er et fylkeskommunalt innkjøpssamarbeid som har som formål å tilby kvalitetssikrede, fritt tilgjengelige, nettbaserte læremidler i alle fag i videregående skole. Ellers deltar fylkeskommunen i BUDDY samarbeidet som er et samarbeid mellom fylkeskommuner og kommuner om en løsning for identitetsforvaltning. Hedmark fylkeskommune samarbeider også tett med andre fylkeskommuner i Visma fylkesforum. Vi ser av organisasjonskartet under at IKT-avdelingen er en service-enhet som er underlagt fylkesdirektøren. I fylkeskommunen det i særlig grad bli håndtert personopplysninger og registre med personfølsomme opplysninger i Personal og organisasjon, Arkivet samt i IKTavdelingen. Dessuten finnes behandling av personopplysninger i følgende av fylkeskommunens virksomheter: Tannhelsetjenesten og de videregående skolene (se pilene). 12 Fra Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune, utkast februar 13 https://www.hedmark.org/om-fylkeskommunen/fag-stab-og-serviceenheter/ikt 14 Fra Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune, utkast februar 10

11 Figur 1 Organisasjonskart Hedmark fylkeskommune 4.2 Reglementer og retningslinjer i fylkeskommunen Fylkeskommunens gjeldende IT strategi ble vedtatt av fylkesdirektøren i 2006 og var ment å skulle rulleres i Dette har foreløpig ikke skjedd. Det er imidlertid nedsatt en arbeidsgruppe som har utarbeidet forslag til ny IT strategi (juni 2013). Visjonen i gjeldende IT strategi er at Hedmark fylkeskommune skal ligge i forkant når det gjelder bruk av informasjonsteknologi administrativt og pedagogisk. Videre at fylkeskommunen skal ligge i forkant når det gjelder elektronisk samhandling med kommuner, innbyggere, næringsliv, folkevalgte og frivillige organisasjoner i Hedmark, samt andre samarbeidspartnere nasjonalt og internasjonalt. 10. februar presenterte fylkeskommunen utkast til «Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune», 27. februar. I kapittel 8 står det mer om Informasjonssikkerhet og informasjonsteknologi. Her beskriver fylkeskommunen at KS-digitaliseringsstrategi er en av de føringer man forholder seg til. Av fylkeskommunale føringer har man: 11

12 - Reglement for bruk av Hedmark fylkeskommunes IT-løsninger, fastsatt av fylkesdirektøren IT-reglement for elever i videregående skole i Hedmark fylkeskommune, fastsatt av fylkesdirektøren Disse reglementene er sentrale i forhold til en eventuell revisjon av emnet. I den forbindelse kan revisor se på om reglementene lever opp til lov og forskrifter, om de er kjent i de enkelte virksomhetene / enhetene, og om de i praksis bidrar til at personopplysninger håndteres på en god måte. 4.3 Registre med personopplysninger IKT-avdelingen i Hedmark fylkeskommune fortalte ved sin presentasjon i Kontrollutvalget 10. februar om de forskjellige registre som behandler og inneholder personopplysninger. I tråd med fylkeskommunens ansvar og oppgaver er det tre overordnede kategorier av personopplysninger: - Opplysninger om de ansatte - Opplysninger om elever i de videregående skoler - Pasientopplysninger i Tannhelsetjenesten Det er en håndfull av registrene som inneholder opplysninger både om ansatte og om elever. I det følgende beskrives de tre kategoriene. Ansatte i fylkeskommunen Det er litt over 2000 ansatte i Hedmark fylkeskommune. 15 For å kunne utføre sin funksjon som arbeidsgiver har Hedmark fylkeskommune behov for en rekke opplysninger om ansatte. Fylkeskommunen må bruke kontonummer for å utbetale lønn, adresse for å sende brev, personnummer for å identifisere personen. Disse opplysningene er sentrale i forhold til identitetstyveri som omtalt i innledningen. Avanserte systemer om de ansatte kan dessuten inneholde alt fra CV og opplysninger om sertifikater, fravær, sykdom osv. Følgende registre behandler opplysninger om de ansatte: Visma HRM; lønn- og personalsystem samt rekruttering Wintid; tidregistrering (gjelder ikke alle ansatte) ESA (EDB sak/arkiv); personalmapper SATS; skoleadministrativt system (gjelder vgs) 15 SSB «Sysselsatte i kommunen i alt Enhet: Sysselsatte» for

13 It s learning; læringsplattform (gjelder vgs) Novaschem; timeplanverktøy (gjelder vgs) Ansattoversikt på internett/intranett Trio; sentralbord/telefonistøtte Nødvendige tilgangsløsninger IT-reglementet gjelder for alt personell som har tilgang fylkeskommunens IT-løsninger og ITutstyr, og har følgende innhold: 1. Virkeområde 2. Grunnregler 3. Aktsomhet 4. Passord 5. Endringer på IT-utstyr og programvare 6. E-post 7. Dokument- og utskriftsikkerhet 8. Fratreden 9. Innsyn for arbeidsgiver i e-post-kasse mv. 10. Gjennomsøkning av lagringsområder 11. Utlevering til politi eller påtalemyndighet 12. Avhending av utstyr Elever på de videregående skolene Det lagres store mengder opplysninger om elever i de videregående skoler. Opplysninger om orden, oppførsel og karakterer er noen eksempler. Det finnes også verktøy som gjør det mulig å logge hvilke nettsteder elevene har besøkt i skoletiden eller som logger når og hvor lenge elevene jobber med spesifikke oppgaver. Dessuten lagres bilder, kommunikasjon mellom elever, kommunikasjon mellom lærer og elev, kommunikasjon mellom skole og hjem, informasjon om allergier, logg fra elevenes bruk av skolens nettverk. Læringsplattformer inneholder eksempelvis kommunikasjonsverktøy som chat, kommentarfelt/diskusjonsforum, e-post og meldingstjenester hvor private samtaler i noen tilfeller lagres. Videokonferansefunksjon hvor det er mulig å ta opp både lyd og bilde, er også ofte integrert. Ofte er det dessuten mulig for lærerne å sende SMS fra læringsplattformene til andre lærere, elever og foreldre. Dette er også personopplysninger. 16 Det er 14 videregående skoler i Hedmark fylkeskommune: Elverum videregående skole, Elverum Hamar katedralskole, Hamar 16 Fra Datatilsynets rapport 2014: Personvern i skole og barnehage 13

14 Jønsberg videregående skole, Stange Midt-Østerdal videregående skole, Koppang Nord-Østerdal videregående skole, Tynset Ringsaker videregående skole, Brumunddal Sentrum videregående skole, Kongsvinger Skarnes videregående skole, Skarnes Solør videregående skole, Flisa Stange videregående skole, Stange Storhamar videregående skole, Hamar Storsteigen videregående skole, Alvdal Trysil videregående skole, Trysil Øvrebyen videregående skole, Kongsvinger De fleste skoler bruker digitale læringsplattformer (LMS Learning Management System). Det åpner for kontinuerlig logging av elevens aktivitet, for eksempel når på døgnet eleven leverer oppgaver, hvor lang tid eleven bruker på oppgaveløsning, logg av kommunikasjon med lærer og andre elever, samt hvilke fag eleven har jobbet aktivt med i leksearbeidet. Mange skoler benytter seg også av andre digitale og nettbaserte læringsressurser, som i ulik grad registrerer elevenes aktiviteter. De skoleadministrative systemene registrerer blant annet fravær og karakterer, og noen skoler bruker digitale verktøy til å kartlegge og registrere uønsket atferd. Samlet utgjør dette et sett med opplysninger som gir et omfattende og detaljert bilde av barns utvikling og barnets faglige og sosiale atferd gjennom et helt utdannelsesløp. 17 Disse registrene behandler opplysninger om elevene: VIGO; inntakssystem 18 OTTO; system for oppfølgingstjenesten SATS; skoleadministrativt system Privatistweb; webbasert oppmelding til privatisteksamen SkoleArena; fraværs- og karaktersystem ESA (EDB sak/arkiv); personalmapper It s learning; læringsplattform 17 Fra Datatilsynets rapport 2014: Personvern i skole og barnehage 18 https://www.vigo.no/vigo/servlet/vigo 14

15 Novaschem; timeplanverktøy Visma utfakturering; kundereskontro Elev-PC register Nødvendige tilgangsløsninger Diverse pedagogiske verktøy NDLA 19 Lokus 20 Kikora 21 Geogebra 22 Etc Det er fylkeskommunen som skoleeier som har ansvaret for å sikre personvern i skolene. 23 Fra et personvernperspektiv er det viktig at skoleeieren har en klar formening om hva personopplysninger er. Det er skoleeierens plikt å ha oversikt over personopplysningene. Skoleeieren skal vite hvorfor de enkelte opplysningene lagres, hvem som skal ha tilgang til dem, hvor lenge de skal lagres og så videre. IKT-avdelingen fortalte på møtet i Hedmark fylkeskommunes kontrollutvalg 10. februar at det pågår et arbeide med å sikre personvern i de videregående skolene. Dette kan oppsummeres som følger: Hva er gjort? Brukeropplæring, rutiner for oppretting og sletting av brukertilganger. Rutiner for sletting av personopplysninger. Informasjon til elever og foresatte med avtale for signatur. Inngåelse av databehandleravtaler Hva arbeides det med? Kartlegging av datasystemer med personopplysninger på skolene. Utarbeidelse av mal og rutiner for risikovurdering av disse systemene og gjennomgang av databehandleravtaler. Bedre informasjon til ansatte. Hva gjenstår? Total oversikt over datasystemer med personopplysninger. Gjennomgående rutiner for: Datatilsynets artikkel: «Store utfordringer for personvernet i skole og barnehage», 2. juli

16 Risikovurdering av datasystemer med personopplysninger. Databehandleravtale. Oppretting og sletting av brukertilganger på datasystemer anskaffet av den enkelte skole. It-avdelingen fortalte at dagens situasjon ikke er tilfredsstillende med hensyn til de skoleadministrative systemene, og at det er et stort behov for fornyelse og modernisering. Skoleadministrative arbeidsoppgaver er blant annet preget av mye manuelt arbeid, informasjonssikkerheten kan forbedres med hensyn til behandlingen av elevdata, og kontroller som sikrer dataintegritet kan forbedres. VISMA FLYT skole (VFS) innføres i Hedmark skoleåret 2017/2018. VFS skal erstatte totalt 54 installasjoner av 9 ulike systemer og vil kunne realisere betydelige gevinster gjennom økt standardisering, bedre brukervennlighet, bedre datakvalitet og effektivitet, samt lavere administrasjonskostnader. Pasientene Av fylkeskommunens hjemmeside fremgår det at Tannhelsetjenesten har klinikker i 20 av fylkets kommuner. Engerdal og Rendalen betjenes av naboklinikk eller ved privatpraktiserende tannlege som har avtale med fylkeskommunen. To registre behandler opplysninger om pasienter OPUS; elektronisk pasientjournal Digora; digital røntgen I det tidligere gjennomførte forvaltningsrevisjonsprosjektet fikk vi opplyst at alle data fra tannklinikkene lagres på sentrale servere, og ikke ute på den enkelte tannklinikk. Dataene herfra omfatter i stor grad pasientopplysninger (sensitive opplysninger), og disse lagres innenfor såkalt sikker sone. Vi fikk videre opplyst at IKT avdelingen har vært ute og tatt bilder av og har oversikt over alt IKT - utstyr som finnes ute på de enkelte tannklinikkene. 24 Dessuten har vi fått opplyst at Tannhelsetjenesten: Følger norm for informasjonssikkerhet i helse- og omsorgstjenesten Revideres årlig internt i tjenesten. 25 Vi har nå gjennomgått sentralt lovverk på personvernområdet. Videre har vi redegjort for Hedmark fylkeskommunes oppgave- og ansvarsområder i forbindelse med personvern. Før vi vurderer hvilke temaer vi mener har høyest risiko og vesentlighet, og som dermed bør 24 Forvaltningsrevisjon 2014 «Styring av IKT-satsningen i Hedmark fylkeskommune», s Presentasjon 10. februar 16

17 omfattes av revisjonen, vil vi se på et annet tema som vi også vurderer som vesentlig for en revisjon på området. 5 Mulig emne: Drift av IKT i fylkeskommunen IKT-sikkerhet er et begrep som i lovmessig forstand dekker over vern om personopplysninger. Dette har vi nettopp beskrevet. I dagligdags tale har vi nok en bredere forståelse av begrepet IKT-sikkerhet, og det vil inkludere sikkerhet i forbindelse med fylkeskommunens IT-løsninger. Vi må sikre IT-løsningene slik at vi unngår systemsammenbrudd, herunder at vi sikrer oss mot katastrofer, og at vi sikrer forsvarlig tilgangsstyring til systemene og de potensielt fortrolige opplysningene som ligger der. Arbeidsplasser i dag er digitale. Alle elever får i dag utlevert computer og medarbeidere i fylkeskommunen arbeider digitalt. Driftssikkerhet er en vesentlig forutsetning for en effektiv arbeids- og skoledag. I forvaltningsrevisjonsrapporten «Styring av IKT satsningen» som ble utarbeidet i høsten 2014 ble det ikke skrevet om drift. Med bakgrunn i dette ser vi en relevans i at en revisjon også ser på dette området. Fylkeskommunens drift I dokumentet «Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune» (utkast) beskriver fylkeskommunen at sentral infrastruktur er IKT avdelingens ansvar. I sentral infrastruktur ligger sentralt serverrom, bredbåndslinjer, brannmurer og felles lisensavtaler. Lokal infrastruktur er den enkelte enhet/virksomhet sitt ansvar, og omfatter lokalt nettverk, pc er, skrivere og mobile enheter. Som vi var inne på i Kapittel 4.1 hadde fylkeskommunen våren 2013 i alt 10 konsernsystemer og 27 fagsystemer som skal driftes, vedlikeholdes og utvikles. IKT-enheten holder til i fylkeshuset og har 11 ansatte pluss lærlinger. Den daglige driften omfatter: - Ca 50 fysiske servere - Ca 150 virtuelle servere - Ca 70 brannmurer - Ca 95 switcher - Ca 700 trådløse aksesspunkter - Ca 500 PC-er og tynnklienter Dessuten beskrives det at IT-plattformen har følgende hovedelementer: - Sentral infrastruktur med sentralt serverrom, bredbåndslinjer, brannmur og lisensavtaler - Lokal infrastruktur med lokale nettverk, PC er, mobile enheter samt perifèrutstyr - Konsernsystemer; systemer som brukes på tvers i organisasjonen, uavhengig av fagområde. - Fagsystemer, eksempelvis skolesystemer og tannhelsesystemer. 17

18 IKT sin servicedesk yter 1. og 2. linje brukerstøtte til sentraladministrasjonen, regionkontorene og tannklinikkene, samt 2. linje brukerstøtte til de videregående skolene. Servicedesken er IKTs kontaktflate mot brukere og leverandører og behandler 6500 saker i året. Desken tar i mot og behandler feilmeldinger, drifts-problemer, brukerspørsmål, endringsønsker, samt bestillinger, jf. kapittel 4.1 Organisering av IKT-området. Servicedesken er til en hver tid bemannet med minimum to ansatte. Henvendelser rettes til Relevant regelverk Hvordan man drifter IT-området er ikke hjemlet i et samlet lov- eller regelverk. Derfor må vi overveie hvilke anerkjente, internasjonale standarder det kan være relevant å bruke. ISACA er en non-profit organisasjon som er en verdensomspennende forening for IT-styring, sikkerhet, kontroll og revisjon av informasjonsteknologi. ISACA Norge har utgitt heftet Grunnleggende retningslinjer for god IT-skikk som er gir en oversikt over hva som oppfattes som god IT-skikk på utvalgte områder. COBIT er en forkortelse for Control Objectives for Information and related Technology som er utviklet av ISACA. Dette er et fullstendig, internasjonalt akseptert prosessrammeverk for bruk til kvalitetssikring og revisjon av IT-prosjekter. Ser vi under COBITs avsnitt Driftleveranse og støtte nevnes 13 punkter for å sikre driften; definere og styre servicenivået, styre tjenester fra eksterne it-leverandører, styring av ytelse og kapasitet, sikre kontinuerlig service/kriseplanlegging, sikre systemsikkerhet, identifisere og fordele kostnader, brukeropplæring, mottak for behandling av hendelser, håndtering av problemer og hendelser, håndtering av data, fysiske omgivelser, styring av driften. Det vil avhenge av en nærmere vurdering om en forvaltningsrevisjon skal se på alle punktene her eller velge ut aktuelle temaer. Disse kan eventuelt ta utgangspunkt i fylkeskommunens målsetninger for informasjonssikkerhet. Fylkeskommunens målsetninger Hedmark fylkeskommune er i skrivende stund i ferd med å utarbeide dokumentet Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune. I fylkeskommunens presentasjon i kontrollutvalget 10. februar fikk vi presentert utkastet til dette dokumentet. Kapittel 8 handler om Informasjonssikkerhet og informasjonsteknologi. Her skriver fylkeskommunen at hovedmålsettingen med bruk av informasjonsteknologi er å gjøre Hedmark fylkeskommune til en moderne og effektiv organisasjon og tjenesteprodusent. Fylkeskommunen skal være en attraktiv arbeidsgiver med gode, sikre og brukervennlige ITsystemer. Delmålene for å oppnå dette er: 18

19 1. Oppdatert sentral infrastruktur 2. Oppdaterte IT-systemer 3. Tilfredse brukere 4. Oppdatert og hensiktsmessig IT-plattform Oppfølging av delmål skjer som ledd i virksomhetsstyringen gjennom tertial- og årsrapporteringen. Sentrale parametere er: - Beskrivelse av status/tilstand og gjennomførte tiltak siste år på sentral IT-infrastruktur og bredbåndslinjer - Beskrivelse av status/tilstand på avdelingenes/enhetenes IT-utstyr i fylkeshuset årlig rapportering - Andel ansatte i fylkeshuset med kun 1 PC - Andel PCer i fylkeshuset med alder 0-4 år - Tilfredshet med servicedesk, målt gjennom årlig brukerundersøkelse - Antall større feilsituasjoner - Beskrivelse av digitaliseringsstatus i HFK og gjennomførte digitaliseringstiltak siste år med bistand fra IKT En forvaltningsrevisjon kan ta utgangspunkt i en vurdering av hvordan disse delmålene nås. Vi vil understreke at Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune ennå er i utkastform og revisjonen må avklare en endelig godkjennelse før den kan anvendes som kriteriegrunnlag i en revisjon. 19

20 6 Revisors vurdering og anbefaling 6.1 IKT-sikkerhet og drift vurdering av risiko og vesentlighet I denne foranalysen har vi fokusert oss inn mot to problemstillinger; IKT-sikkerhet og drift. IKT-sikkerhet Det er en generell samfunnstendens at mer informasjon lagres og deles. Hvor oppmerksomme er vi på å sikre personopplysninger? Hvor gode er rutinene rundt dette? Og hvor gode er fylkeskommunens ansatte til å praktisere disse rutinene slik at uvedkommende ikke får tilgang til opplysninger de ikke skal ha? Vi vurderer for det første at det er risiko og vesentlighet forbunnet med Hedmark fylkeskommunes generelle arbeidsgiveransvar. Det er litt over 2000 ansatte i Hedmark fylkeskommune. For å kunne utføre sin funksjon som arbeidsgiver har Hedmark fylkeskommune behov for en rekke opplysninger om den ansatte. Fylkeskommunen må bruke kontonummer for å utbetale lønn, adresse for å sende brev, og personnummer for å identifisere personen. Avanserte systemer om de ansatte kan dessuten inneholde alt fra CV og opplysninger om sertifikater, fravær, sykdom, opplysninger om bidragstrekk og påleggstrekk fra myndigheter osv. Det kan være krenkende hvis uvedkommende får adgang til disse informasjonene. Etter vår vurdering kan det derfor være sentralt for en forvaltningsrevisjon å se på rutiner og praksis for de medarbeidere som håndterer og har adgang til personal- og lønnområdet i fylkeskommunen, og på de enhetene og virksomhetene fylkeskommunen har ansvar for. Personopplysningene er sentrale i forhold til identitetstyveri som omtalt i innledningen. Samtidig handler det også om at forvaltningen må ha en ryddig og ordentlig måte å håndtere sine ansattes opplysninger på. Det handler om forvaltningens omdømme som kan være vanskelig å gjenreise hvis det først har vært et tillitsbrudd. Videre er det vår vurdering at det er vesentlig å sikre personvernsopplysninger i de videregående skoler. Det er fylkeskommunen som skoleeier som har ansvaret for å sikre personvern i skolene. 26 Fra et personvernperspektiv er det viktig at skoleeieren har en klar formening om hva personopplysninger er. Det er skoleeierens plikt å ha oversikt over personopplysningene. Skoleeieren skal vite hvorfor de enkelte opplysningene lagres, hvem som skal ha tilgang til dem, hvor lenge de skal lagres og så videre. Dette er en krevende oppgave i lys av at det er 14 ulike skoler som arbeider i mange ulike systemer. Det setter krav om gode rutiner, god informasjonssikkerhet og en gjennomtenkt holdning til hvordan personopplysninger skal behandles. 26 Datatilsynets artikkel: «Store utfordringer for personvernet i skole og barnehage», 2. juli

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE Hedmark fylkesrevisjon Parkgt. 64 2325 Hamar tlf. 62 54 47 21 Fylkesrevisjonen@hedmark.org Forvaltningsrevisjonsprosjekt INNHOLDSFORTEGNELSE

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14. Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...

Detaljer

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 NOTAT Til: Landsstyret Fra: Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 Spørreundersøkelser personvern På det siste møtet før landsmøtet behandlet AU en søknad fra Svarte Nattakonferansen om bruk

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Kunnskapsdepartementet ønsker en sikker identifisering av elever og lærere. Løsningen er Feide (Felles Elektronisk IDEntitet)

Kunnskapsdepartementet ønsker en sikker identifisering av elever og lærere. Løsningen er Feide (Felles Elektronisk IDEntitet) Kunnskapsdepartementet ønsker en sikker identifisering av elever og lærere Løsningen er Feide (Felles Elektronisk IDEntitet) Senter for IKT i utdanningen har et ansvar for innføring av Feide i grunnopplæringa

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Bedre personvern i skole og barnehage

Bedre personvern i skole og barnehage Bedre personvern i skole og barnehage NOKIOS, 28. oktober 2014 Eirin Oda Lauvset, seniorrådgiver i Datatilsynet Martha Eike, senioringeniør i Datatilsynet Datatilsynet Uavhengig forvaltningsorgan Tilsyn

Detaljer

Personvern eller vern av personopplysninger. Hvem vet hva om oss

Personvern eller vern av personopplysninger. Hvem vet hva om oss Personvern eller vern av personopplysninger Hvem vet hva om oss Vi er i fare overalt Opplysninger fra netthandel misbrukes Kan redusere netthandelen Skattelister brukes til å finne ofre - 2004 Pengeuttak

Detaljer

Kvalitetssikring av feideforvaltningen. Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen

Kvalitetssikring av feideforvaltningen. Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen Kvalitetssikring av feideforvaltningen Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen 3 Hva er målet? Hva må ligge til grunn? Stabil drift Kompetanse til å bruke Kompetanse på pedagogisk

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.

Detaljer

Tjenester i skyen hva må vi tenke på?

Tjenester i skyen hva må vi tenke på? Tjenester i skyen hva må vi tenke på? Renate Thoreid, senioringeniør Datatilsynet, Tilsyn og sikkerhetsavdeling Side 1 Visjon: Datatilsynet i front for retten til selvbestemmelse, integritet og verdighet

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

IKT- reglement for elever ved Toppidrettsgymnaset i Telemark

IKT- reglement for elever ved Toppidrettsgymnaset i Telemark IKT- reglement for elever ved Toppidrettsgymnaset i Telemark IKT- reglementet skal fremme god samhandling, god orden, gode arbeidsvaner og bidra til et stabilt og sikkert driftsmiljø slik at det legges

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

IT-reglement Aurskog-Høland kommune for ansatte og politikere

IT-reglement Aurskog-Høland kommune for ansatte og politikere IT-reglement Aurskog-Høland kommune for ansatte og politikere Vedtatt i rådmannens ledermøte 03.12.14 0 For at kommunens IT-systemer skal fungere optimalt er det viktig at alle kommunens ITbrukere følger

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle

Detaljer

Vår ref: 09/4568 /TLB

Vår ref: 09/4568 /TLB // Arbeids- og inkluderingsdepartementet Postboks 8019 Dep 0030 Oslo ARBEIDS OG tnkluder1nusuepammentet MOTTATT 0'4JUN2009 Deres ret 200901113/MCH Vår ref: 09/4568 /TLB Vår dato: 29.05.2009 Høringskommentarer

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX

Detaljer

Personvern og informasjonssikkerhet ved anskaffelser

Personvern og informasjonssikkerhet ved anskaffelser Personvern og informasjonssikkerhet ved anskaffelser Innledning 2 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis,

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

KONGSBERGREGIONENS DIGITALISERINGSSTRATEGI 2015-2018

KONGSBERGREGIONENS DIGITALISERINGSSTRATEGI 2015-2018 KONGSBERGREGIONENS DIGITALISERINGSSTRATEGI 2015-2018 1. INNLEDNING Digitalisering gir mulighet for bedre og mer effektive offentlige tjenester. Innbyggere og næringsliv har høye forventninger til gode

Detaljer

Personvern og CAT. Thomas Marti - Salgsjef, Proplan AS Per Haraldsen - Løsningsarkitekt, Proplan AS

Personvern og CAT. Thomas Marti - Salgsjef, Proplan AS Per Haraldsen - Løsningsarkitekt, Proplan AS Personvern og CAT Thomas Marti - Salgsjef, Proplan AS Per Haraldsen - Løsningsarkitekt, Proplan AS Agenda 1. Visma Proplan CAT 2. Personvernproblematikk 3. Hvordan angripe Personvernproblematikk i CAT?

Detaljer

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Mari Hersoug Nedberg, seniorrådgiver Pelagisk forening, 23. februar 2012 Disposisjon - Personvern et bakgrunnsbilde

Detaljer

(sign) tlf:74 11 14 76 / mob: 936 92 526 e-post: liv.tronstad@komsek.no

(sign) tlf:74 11 14 76 / mob: 936 92 526 e-post: liv.tronstad@komsek.no NORD TRØNDELAG FYLKESKOMMUNE Kontrollutvalget MØTEINNKALLING DATO: 30. mai 2012 TID: kl 10.00 STED: Fylkets hus, møterom Kvenna, Steinkjer De faste medlemmene innkalles med dette til møtet. Den som har

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Notat. Innhold. Utvikling og innføring av Visma Flyt Skole (VFS) Til: Kopi: Fra: Dato: 7. desember 2015. Sak: Fylkeskommunene

Notat. Innhold. Utvikling og innføring av Visma Flyt Skole (VFS) Til: Kopi: Fra: Dato: 7. desember 2015. Sak: Fylkeskommunene Notat Prosjekt: Til: Kopi: Fra: Utvikling og innføring av Visma Flyt Skole (VFS) Fylkeskommunene Prosjektledere Visma Flyt Skole Vigo IKS v/brynjulf Bøen, daglig leder Dato: 7. desember 2015 Sak: Status

Detaljer

Digitaliseringsstrategi 2014-2029

Digitaliseringsstrategi 2014-2029 Digitaliseringsstrategi 2014-2029 Stavanger kommune Stavanger kommune skal gi innbyggerne og næringsliv et reelt digitalt førstevalg. Den digitale dialogen skal legge vekt på åpenhet og tilgjengelighet.

Detaljer

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR Vedtatt av styret for Høgskolen i Finnmark 25. april 2007 i sak S 19/07 1. ANVENDELSE Dette reglement gjelder for all bruk av Høgskolen i Finnmarks (HiF) IT-system.

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00138 Dato for kontroll: 14.03.2014 Foreløpig rapport: 11.04.14 Endelig rapport: 15.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Hamar kommune, Ajer ungdomsskole Sted: Hamar Utarbeidet

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS) AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN Felles Studentsystem (FS) 1. Avtalens parter 1.1 Parter Avtalen inngås mellom, Org.nr: (heretter kalt behandlingsansvarlig)

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Saksnummer: 13/00933 Dato for kontroll: 15.10.2013 Foreløpig rapport: 19.12.2013 Endelig rapport: 07.07.2014 Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av:

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

1.6 Sentrale lover og forskrifter

1.6 Sentrale lover og forskrifter 1.6 Sentrale lover og forskrifter Innledning For Midt-Telemarkkommunenes informasjonssikkerhet gjelder en rekke lover og bestemmelser som blant annet tar sikte på å hindre at noen uten lovlig hjemmel får

Detaljer

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT)

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) 25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) Opplysninger om fylkeskommunen Fylkenr Fylkeskommunens navn Navn skjemaansvarlig Tlf nr E-post skjemaansvarlig Strategi 1 Har fylkeskommunen

Detaljer

Særavtale om lønns- og personalregistre

Særavtale om lønns- og personalregistre Det kongelige Fornyings- og administrasjonsdepartement PM 2007-15 Særavtale om lønns- og personalregistre Dato: 12.12.2007 Til: Statsforvaltningen og Riksrevisjonen Gjelder: Statens personalhåndbok pkt.

Detaljer

Skytjenester i skolen

Skytjenester i skolen Skytjenester i skolen NKUL 2012 Tommy Tranvik og Harald Torbjørnsen Agenda 1. Skytjenester fordeler og ulemper 2. Rettslige reguleringer personopplysningsloven med forskrift 3. Praktiske eksempel fra skolesektoren

Detaljer

Kunnskapsdepartementet ønsker en sikker identifisering i utdanningssektoren. De har valgt Feide (Felles elektronisk identitet)

Kunnskapsdepartementet ønsker en sikker identifisering i utdanningssektoren. De har valgt Feide (Felles elektronisk identitet) Kunnskapsdepartementet ønsker en sikker identifisering i utdanningssektoren De har valgt Feide (Felles elektronisk identitet) UNINETT ABC har et ansvar for innføring av Feide i grunnopplæringa Hva er Feide?

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Styresak 46-2015/3 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013. Dokument

Detaljer

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Veileder 25.11.2010 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00118 Dato for kontroll: 6.3.2014 Foreløpig rapport: 29.4.2014 Endelig rapport: 8.8.2014 Endelig kontrollrapport Kontrollobjekt: Bjerkås barnehage Sted: Vollen, Asker Utarbeidet av: Martha

Detaljer