Veiledning i informasjonssikkerhet

Størrelse: px
Begynne med side:

Download "Veiledning i informasjonssikkerhet"

Transkript

1 Veiledning i informasjonssikkerhet ved bruk av e-post Versjon oktober 1999 KITH Rapport X/99 ISBN

2 KITH-rapport Tittel Veiledning i informasjonssikkerhet ved bruk av e-post Forfatter(e) Arnstein Vestad Oppdragsgiver(e) SHD Rapportnummer R X/98 ISBN Godkjent av URL Dato Antall sider Kvalitetssikret av 19. oktober 1999 Sideant. Bjarte Aksnes, Tor O. Grøtan Kompetansesenter for IT i helsevesenet AS Postadresse Sukkerhuset 7005 Trondheim Besøksadresse Sverresgt 15, inng G Telefon Telefaks e-post firmapost@kith.no Foretaksnummer Prosjektkode S-SV Gradering Adm. direktør Sammendrag Tilgang til bruk av e-post er et stadig tiltagende krav også i institusjoner i helsevesenet. Innføring av e-post har til nå hatt liten utbredelse i helseinstitusjoner. En av årsakene er at IT-systemene i helsevesenet i utstrakt grad behandler sensitive personopplysninger, og de krav som dermed har blitt stilt til informasjonssikkerhet. Denne veiledningen søker å konkretisere og klargjøre kravene til sikker informasjonsbehandling som er gitt i Datatilsynets Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger, og hvordan disse kan forstås for e-post spesielt. Målet er klargjøre rammevilkårene for e-post slik at et nyttig verktøy lettere kan tas i bruk.

3 Innhold INNLEDNING... 1 TILGANG TIL E-POST I SENSITIV SONE... 3 Begrensing av klipp og lim 4 MELDINGSSIKKERHET OG TTP-TJENESTER... 5 Digital signatur 6 TTP-tjenester 6 TTP-tjenester og digital signatur ved bruk av e-post 7 BRUKERPOLICY FOR E-POST... 8 VEILEDNING: E-POST I HELSESEKTOREN i

4 VEILEDNING I INFORMASJONSSIKKERHET VED BRUK AV E- POST Kapittel 1 Innledning Tilgang til bruk av e-post er et stadig tiltagende krav også i institusjoner i helsevesenet. Innføring av e-post har til nå hatt liten utbredelse i helseinstitusjoner. En av årsakene er at ITsystemene i helsevesenet i utstrakt grad behandler sensitive personopplysninger, og de krav som dermed har blitt stilt til informasjonssikkerhet. Denne veiledningen søker å konkretisere og klargjøre kravene til sikker informasjonsbehandling som er gitt i Datatilsynets Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger, og hvordan disse kan forstås for e-post spesielt. Målet er klargjøre rammevilkårene for e-post slik at et nyttig verktøy lettere kan tas i bruk. Denne veiledningen inngår i en serie av veiledninger fra KITH som tar utgangspunkt i Datatilsynets Retningslinjer og som har som hensikt å muliggjøre tilstrekkelig helsefaglig funksjonalitet og etterleve helselovgivningens krav samtidig som Datatilsynets krav til informasjonssikkerhet etterleves. Bruk av e-post handler av natur om utveksling av informasjon, og det er derfor naturlig at innføring av en slik tjeneste byr på utfordringer i et miljø med så stor tetthet av sensitiv informasjon som helsevesenet. Rent teknisk knytter hovedproblemene seg til såkalte datadrevene angrep, dvs. ondsinnede programmer som overføres som del av meldingene, og også faren for utilsiktet utlevering av informasjon, eksempelvis ved at informasjon sendes til en e-postgruppe og ikke til en enkeltperson eller valg av feil vedlegg ved utsendelse. Det vil også være utfordringer på organisatoriske områder. Dette kan bl.a. være hvordan e-post skal inngå i organisasjonens arbeidsflyt og hvilke retningslinjer som skal etableres for privat bruk av e-post. For å løse disse problemene kreves det en strukturert prosess hvor behov og nytte veies opp mot de utfordringer som reises. Kapitel 2 vil drøfte noen tekniske løsninger for å kunne tilby tilgang til e- post for brukere som befinner seg i det Datatilsynet kaller sikret sone, altså den sonen hvor sensitive personopplysninger kan behandles. Disse løsningene er ment å gi systemteknisk sikring mot utilsiktet utlevering. Kapittel 3 beskriver mekanismer for å tilby meldingssikkerhet, dvs. kryptering og digital signatur, samt såkalte tiltrodde tredjepartstjenester. Kapittel 4 gir råd om elementer som bør inngå i utformingen av en brukerpolicy for e-post. 1

5 INNLEDNING Selve veiledningen er plassert i Vedlegg A, og er bygd opp etter mal fra Datatilsynets Retningslinjer. 2

6 VEILEDNING I INFORMASJONSSIKKERHET VED BRUK AV E- POST Kapittel 2 Tilgang til e-post i sikker sone Det er et uttrykt ønske fra flere hold å ha tilgang til å lese e- post også fra sikker sone som definert av Datatilsynet. En trussel ligger i muligheten for utilsiktet utlevering av informasjon. Dette kan foregå på flere måter, men det som nevnes oftest knyttes til klipp og lim-funksjonalitet. Andre trusler i denne forbindelse kan være dårlig kontroll på mottakeradresser i e- post utsendelser, samt ondsinnet programvare som virus og lignende som når aktivert kan sende ut informasjon. Ulike tekniske løsninger kan tenkes for å gi en mest mulig fleksibel tilgang som likevel gir delvis beskyttelse mot disse truslene, hver med sine fordeler og ulemper, og vi vil her gi noen forslag. E-postklient uten sendetilgang Internettbasert e-post benytter seg typisk av to ulike tjenester for å laste ned og å sende e-post. (Henholdsvis POP/IMAP og SMTP). Det er dermed mulig å tillate bruk av protokoll for nedlasting/lesing av e-post uten samtidig å tillate bruk av sendeprotokollen. Dette kan foregå rent konfigurasjonsmessig på flere måter: Alt 1.: For sikker sone settes e-postklienten opp med kun server for mottak av e-post. Et annet oppsett benyttes så i intern sone og med mulighet for å sende e-post. Svakheter med denne løsningen er at det vil være lett (og sannsynligvis fristende) å skrive inn adressen også til SMTPtjeneren, så framt dette er mulig. Det vil videre være viktig å holde e- postkassene synkronisert, noe som vil være vanskelig med POP, men som lar seg gjøre med IMAP. Det vil heller ikke være tilstrekkelig å kun nekte selve sendingen av e-postmeldingen mens brukeren er i sensitiv sone, hvis dette medfører at meldingen blir lagt i meldingskøen og sendt ved første anledning. En mer effektiv metode ville derfor være å tilby en egen e-postklient som kun tillater lesing, og ikke sending. Alt. 2.: Operativsystemet stenger for bruken av TCP-porten som benyttes ved sending av e-post, når brukeren befinner seg i sensitiv sone. Også her vil det være mulig for klientprogrammet å legge meldingen i en kø for sending senere, og dermed omgå sikkerhetsmekanismen. Terminal-løsninger Andre løsninger vil kunne innebære å skille e-postklient fra arbeidsstasjonen som brukeren benyttes ved hjelp av en såkalt terminal-løsning, 3

7 TILGANG TIL E-POST I SIKKER SONE hvor programmet kjører på en sentral tjenermaskin og kun skjermbilde og tastetrykk overføres mellom tjenermaskin og arbeidsstasjon. Denne løsningen krever kontinuerlig oppkobling mellom tjenermaskin og arbeidsstasjon. Hvis løsningen implementeres på en slik måte at klipp og lim ikke er mulig mellom fjernapplikasjonene og de lokale programmene, vil man være sikret mot utilsiktet utlevering av klipp og lim-typen, og det burde derfor også være relativt uproblematisk å tillate også sending av e-post. Hovedproblemet vil først og fremst ligge i tilgangen til vedlegg og nedlastede filer, både når slike skal sendes og mottas, da disse i utgangspunktet kun havner på tjenermaskinen. Det vil likevel som oftest være mulig å etablere enkelte begrensede kanaler for overføring av vedlegg eller nedlastede filer, f.eks. gjennom nettverkskataloger som kan nås fra begge sonene. Vi vil også vise til Datatilsynets Veiledning ved bruk av tynne klienter. Begrensing av klipp og lim Enkelte tilgjengelige produkter tilbyr begrensing av klipp og lim funksjonaliteten slik at klipp og lim fra enkelte forhåndsdefinerte programmer ikke lar seg gjøre. En slik løsning forutsetter bruk av tredjeparts programvare, men kan være en effektiv løsning på sitt begrensede område. Denne løsningen fjerner likevel ikke hele problemet med utilsiktet utlevering, slik utlevering kan likevel skje gjennom mekanismer som vedlegg til e-post. Det vil derfor være en avveining hvorvidt sikkerheten med en slik løsning er på et akseptabelt nivå. En annen metode for å forhindre klipp og lim er at det enkelte program krypterer innholdet som legges på utklippstavlen, slik at innholdet kun er forståelig for det aktuelle programmet. Denne løsningen forutsetter at alle applikasjoner som behandler sensitive opplysninger er modifisert for å gjøre dette. 4

8 MELDINGSSIKKERHET OG TTP-TJENESTER Meldingssikkerhet og TTP-tjenester Kapittel 3 Feltet meldingssikkerhet omfatter i hovedsak fire sikkerhetsaspekter, konfidensialitet, integritet, autentisitet og ikkebenekting. Kort sakt betyr dette å sikre at utenforstående ikke kan lese en melding eller endre en melding uten at dette oppdages, samt garantere at opphavet av en melding er den vi tror det er og at opphavet til meldingen ikke kan benekte å ha sendt meldingen. Valg av hvilke av disse tjenestene som skal benyttes må avgjøres ut fra kommunikasjonens formål, behov og trusselbilde. Rent teknisk sikres disse egenskapene ved bruk av kryptografiske teknikker. Kryptografiske teknikker kan deles inn i to hovedgrupper, symmetriske og asymmetriske, også henholdsvis kalt delt nøkkel og offentlig nøkkelbasert kryptografi. Symmetrisk kryptografi baserer seg på at kommunikasjonspartene deler en hemmelig nøkkel, som i kombinasjon med en kryptografisk algoritme benyttes til å beskytte meldingen. Når kommunikasjonsmønstrene er enkle og partene er kjent på forhånd kan denne type beskyttelse være tilstrekkelig, men metoden byr på store problemer når kommunikasjonsmønstrene blir mindre forutsigbar eller man ønsker å kommunisere med parter som man ikke nødvendigvis har et eksisterende forhold til. Symetrisk kryptografi forutsetter altså at hemmelige nøkler deles mellom kommunikasjonspartene, og meldingsbeskyttelsen avhenger av at nøkkelen holdes hemmelig for alle andre. Sikkerheten i slike systemer avhenger derfor av rutinene for håndtering av nøkkelmaterialet. Asymmetrisk kryptografi ble introdusert i 1976 som et svar på problemet med nøkkeldistribusjon. Disse systemene har to hovedformål, kryptering og digitale signaturer, og med et slikt system får hver bruker to nøkler, en offentlig og en privat. Den offentlige nøkkelen kan spres til alle, mens den private holdes hemmelig, og behovet for hemmelig utveksling av nøkler forsvinner dermed. Sikkerheten i dette systemet hviler dermed på at kun den private nøkkelen forblir hemmelig. I et system basert på offentlige nøkler sikres meldingenes konfidensialitet ved at meldingen krypteres med mottagers offentlige nøkkel. Integritet og autentisitet sikres ved at meldingen signeres med avsenderens hemmelige nøkkel. 5

9 MELDINGSSIKKERHET OG TTP-TJENESTER Kryptering Kryptering benyttes for å beskytte meldingers konfidensialitet. I de fleste tilfeller kombineres symmetrisk og asymmetrisk kryptering i det som ofte kalles hybrid kryptering, dette fordi asymmetrisk kryptering er mer tidkrevende enn symmetrisk kryptering. Selve meldingen krypteres derfor symmetrisk med en tilfeldig nøkkel som igjen krypteres asymmetrisk og legges ved meldingen. Digital signatur En digital signatur benyttes for å realisere autentisering, integritet og ikke-benekting. En digital signatur legges ved meldingen ved at det først beregnes en såkalt hash-verdi av meldingen. Dette er en verdi som er unik for denne meldingen (mer korrekt, hvor det vil være meget tidkrevende å finne en annen melding som vil føre til samme hash-verdi, særlig en melding som gir mening). Denne verdien krypteres så med avsenderens private nøkkel, og legges ved meldingen. På denne måten knytter den digitale signaturen meldingens innhold til innehaveren av den hemmelige nøkkelen som signerte meldingen. Det vil derfor ikke være mulig å kopiere signaturen og benytte den på et annet dokument, ei heller å endre dokumentet uten at signaturen ødelegges. En digital signatur sikrer dermed mot forfalskning av dokumentet både av mottaker og avsender, og den sikrer at avsender ikke kan benekte å ha signert dokumentet. For å kontrollere signaturen dekrypteres så den krypterte hash-verdien med avsenderens offentlige signaturnøkkel. Hash-verdien for den mottatte meldingen beregnes og sammenlignes med den dekrypterte signaturen. Hvis disse to er like kan man konkludere med at meldingen er uendret og er signert av innehaveren av den hemmelige nøkkelen. TTP-tjenester Tiltrodde tredjeparter er aktører som tilbyr et sett av tjenester i forbindelse med bruk av offentlige nøkler. Disse tjenestene er i hovedsak ment å sikre: - At de offentlige nøkler som er i omløp er entydige, ekte, gyldige og knyttet til en enkelt identifisert person eller virksomhet og at dette kan verifiseres av den som mottar en offentlig nøkkel. - At det på en enkel og sikker måte er mulig å få tak i en bestemt persons eller virksomhets offentlige nøkkel. Tjenestene som understøtter sikkerheten i meldingssystemet tilbys av uavhengige tredjeparter som kan anses som objektive i forhold til de kommuniserende partene, og på en slik måte at alle som benytter tjenesten kan ha en tilstrekkelig tiltro til at alle aspekter ved sikkerheten og funksjonaliteten er ivaretatt i tråd med de krav som brukere, myndigheter og regelverk stiller. 6

10 MELDINGSSIKKERHET OG TTP-TJENESTER En av hovedtjenestene som TTPer tilbyr er signering av såkalte sertifikater. Sertifikater er den normale måten å gjøre offentlige nøkler kjent på, og de består som et minimum av en offentlig nøkkel, eierens identitet og TTPens signatur. Dette gjør at man kan kontrollere alle sertifikater som blir tilsendt ved å kontrollere TTPens signatur. TTPens identitet og offentlige nøkkel må være kjent på forhånd (dette foregår ofte ved at f.eks. web-lesere og e-postprogrammer som benytter slike systemer kommer med en del TTP-nøkler ferdig installert). En hovedarena for utprøving av TTP-tjenester i stor skala innen det norske helsevesenet er SESAM-prosjektet. Prosjektet vil fokusere på å ta i bruk standardiserte TTP-og sikkerhetsløsninger og bygge på eksisterende applikasjoner for web, e-post og EDI. TTP-tjenester og digital signatur ved bruk av e-post De nevnte mekanismene (kryptering, digital signatur og TTP-tjenester) kan benyttes på all form for meldingskommunikasjon og egner seg derfor godt for e-post. For å sikre interoperabilitet mellom ulike e-postsystemer, kreves det standardisering av hvordan kryptert og signert informasjon skal overføres. Ingen standard har til nå utkrystallisert seg som vinner i dette kappløpet, men favorittene er S/MIME og OpenPGP. For helsevesenet finnes det en europeisk prestandard, prenv 13608, som er kompatibel med S/MIME. Kryptering og signering utenfor e-postklient I den grad de ulike partene i kommunikasjonene ikke har e-postsystemer som støtter kryptering og digital signatur, eller dette kun er tilgjengelig hos en av kommunikasjonspartene, er det også mulig å benytte separate programmer som kan kryptere og/eller signerer de aktuelle filene som skal oversendes, for så å legge disse ved som vedlegg. 7

11 BRUKERPOLICY FOR E-POST Brukerpolicy for e-post Kapittel 4 Før bruk av e-post tillates i en organisasjon må det defineres en brukerpolicy for akseptabel bruk og gis retningslinjer og veiledning i hvordan e-post skal brukes. Policyen må klart formulere hva som er tillatt og ikke tillatt og konsekvenser ved brudd, men bør også gi veiledning i korrekt bruk av e-post. Det er viktig at det gis klare retningslinjer for hvilke rettigheter og plikter den enkelte har overfor organisasjonen. Det bør gjøres et tydelig skille mellom absolutte krav (hvor avvik vil ha alvorlige konsekvenser) og anbefalinger (som skikk og bruk ved e- post, netikette osv.) Noen eksempler på elementer som bør inngå i en policy for bruk av e- post kan være: Hvorvidt e-post kun kan brukes til tjenstlige formål Tips om hva e-post kan brukes til, som: Beskjeder og korte meldinger Generell informasjonsspredning Påminnelser og bekreftelser Møteinnkallinger og møtereferater Hva e-post ikke kan / skal brukes til, som: Sensitiv informasjon (ukryptert) Kontrakter som krever bindende signatur Regler omkring mottak av vedlegg, som Forbud mot å kjøre programmer som blir oversendt Obligatorisk viruskontroll og lignende forebyggende tiltak Hvilke typer informasjon som kan sendes over e-post Regler for hvorvidt sensitiv informasjon kan sendes, og i hvilken form (f.eks. kryptert / signert). Advarsel om at ukryptert e-post kan sammenlignes med å sende åpent postkort, fortrolig informasjon bør derfor ikke sendes slik. Etiske retningslinjer 8

12 BRUKERPOLICY FOR E-POST Akseptabel/anbefalt oppførsel ved bruk av e-post, som Ikke spre virusvarsel som mottas uten at det er klarert med systemansvarlige Ikke bruk e-post til tidskritiske meldinger uten å være sikker på at mottaker leser e-post jevnlig Send meldinger til færrest mulig mottakere. Send ikke unødvendige kopier. Bruk godt språk, sjekk rettskrivning og grammatikk. Skriv kort og klart. Vis særlig aktsomhet ved bruk av e-postlister, da informasjon lett kan spres til personer som ikke skulle hatt den. Send aldri sensitiv informasjon til e-postlister. Vær forsiktig med å spre e-postadressen på f.eks. websider eller diskusjonsgrupper for å unngå uønsket reklame e-post ( spam ) Det bør informeres om hva som logges, og hva loggen benyttes til Rutiner rundt passord til e-postsystemet Lengde og kvalitet på passord At samme passord ikke skal benyttes på Internett Hvorvidt videresending av e-post til eksterne e-posttilbydere tillates (f.eks. tjenester som Hotmail, Yahoo Mail ol.) Hvorvidt e-postboks kan anses som privat område For kommunikasjon med pasienter må det alltid være avtalt på forhånd (tlf. eller personlig, helst skriftlig) om e-post er akseptabel kommunikasjonsform, også for ikke-sensitiv informasjon. Mulige sanksjoner ved brudd på retningslinjene må være klart definert og tydelige (f.eks. tap av tilgang, oppsigelse, anmeldelse osv). Utforming av policy for e-post (og andre sikkerhetspolicyer) er en prosess som bør utføres i samråd med de den skal gjelde for. En slik prosess bør derfor ha deltagere som kan representere de ulike gruppene av ansatte, ledelsen og IT-personell. Etter at policyen er utarbeidet må den spres til alle den berører, og den kan f.eks. kreves undertegnet før tilgang til bruk av e-post gis. 9

13 VEILEDNING I INFORMASJONSSIKKERHET VED BRUK AV E- POST Vedlegg A Veiledning: e-post i helsesektoren 1 Definisjoner OpenPGP: Standard for sikker meldingsutveksling, basert på filformatet til programmet Pretty Good Privacy. PrENV : S/MIME kompatible standard for sikker meldingsutveksling. Europeisk prestandard for helsevesenet. S/MIME: Standard for sikker meldingsutveksling basert på X.509 sertifikater og PKCS standarder for kryptografiske filformat fra RSA Labs inc. 2 Formål Dette dokumentet veileder helseinstitusjoner i informasjonssikkerhet ved bruk av e-post for meldingsutveksling. Veiledningen er en utdypning av Datatilsynets Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger, og bør leses sammen med dette dokumentet. Veiledningen gir anbefalinger for hvordan helseinstitusjoner kan oppfylle Datatilsynets Retningslinjer. Anbefalingene er ment å gjøre det lettere å innføre e-posttjenester som kan nyttes i tråd med Retningslinjene, men er ikke å betrakte som absolutte krav. Helseinstitusjonene kan velge andre måter å oppfylle Retningslinjene på, men da må det sannsynliggjøres at disse løsningene gir like god informasjonssikkerhet. E-post kan ikke vurderes uavhengig av den totale organisatoriske og tekniske sammenhengen det skal benyttes i. Denne veiledningen behandler kun hvordan Retningslinjer for informasjonssikkerhet kan forstås i forhold til e-post. Det forutsettes at den øvrige behandlingen av både sensitive og andre personopplysninger foretas innen rammen av de tillatelser som virksomheten har for dette. E-post kan ikke forstås som kun de meldinger som sendes igjennom vinduet i en e-postklient, men må heller forstås som en tjeneste for formidling av ustrukturerte meldinger i hovedsak fra person til person. Dette er en definisjon som kan skille e-post fra f.eks. EDI og lignende meldingstjenester som formidler strukturert data fra applikasjon til applikasjon. Dette perspektivet vil sannsynligvis bli tydeligere etter hvert som e-post i større og større grad sendes også fra ulike applikasjonsprogrammer som tekstbehandler o.l. eller gjennom web-klienter. Perspektivet har også betydning ved utforming og håndhevelse av sikkerhetspolicyer, da det i mindre grad lar seg gjøre f.eks. å håndheve disse gjennom begrensninger i e-postklienten. 10

14 VEILEDNING Del II Ledelsens ansvar 3 Ansvar Helseinstitusjonens ledelse har ansvaret for at personopplysningene er tilfredsstillende sikret også ved bruk av e-post. Dette omfatter ansvaret for tilfredsstillende sikkerhet i de deler av informasjonssystemet som inngår i e-postløsningen, som nødvendige sikringstiltak i helseinstitusjonens egen infrastruktur. Ledelsen skal definere en policy for bruk av e- post i organisasjonen som bør underskrives før brukerne gis tilgang. Ledelsens ansvar omfatter også at det årlig avsettes tilstrekkelig ressurser til at til at nødvendig informasjonssikkerhet kan opprettholdes. 4 Sikkerhetsmål Bruk av e-post må inngå som en integrert del av organisasjonens informasjonssikkerhet, hvor hovedmålsettingen er å bevare organisasjonens behov for konfidensialitet, integritet og tilgjengelighet til informasjon. Ved bruk av e-post vil dette særlig være: Å muliggjøre effektiv og sikker informasjonsspredning Å unngå utilsiktet utlevering Å beskytte integritet og konfidensialitet under overføring Å beskytte mot datadrevene angrep og at organisasjonens informasjonssystemer benyttes for videreformidling av slike eller andre angrep. 5 Sikkerhetsstrategi For å oppfylle sikkerhetsmålene må en sikkerhetsstrategi defineres. Den skal beskrive alle valg og overordnede tiltak nødvendig for å benytte e- post i samsvar med sikkerhetsmålene. Sikkerhetsstrategien skal angi ansvars- og myndighetsforhold, forholdet til partnere/leverandører, samt organisatoriske og tekniske sikkerhetstiltak. Sikkerhetsstrategien må ta hensyn til organisasjonenes særskilte behov og bruksmønster for e-post, som hvorvidt e-post skal kunne sendes og/eller mottas fra sensitiv sone. 6 Personopplysninger Hvis e-post-systemet skal benyttes til overføring av personopplysninger må disse kartlegges og klassifiseres etter grad av sensitivitet, og nødvendige sikkerhetsmekanismer må tilpasses dette. 11

15 VEILEDNING 7 Risikoanalyse De ulike risikomomentene ved bruk av e-post må kartlegges og være forstått, og en risikoanalyse må utføres som fokuserer på potensielle trusler og om sikringstiltak er tilstrekkelige. Ulike risikomomenter som bør drøftes er bl.a.: Hvorvidt e-post skal være tilgjengelig i sensitiv sone Risikoen for utilsiktet utlevering, herunder feiladressering (avhenger bl.a. av beslutningsstøtten i e-postprogrammet) Utro tjenere får mulighet til å utlevere større mengder sensitiv eller kritisk informasjon Risiko for at meldingen endres under overføring (integritet) Risiko for at meldinger eksponeres for uvedkommende under overføring (konfidensialitet) Risiko for at meldinger eller kvitteringer aldri kommer frem eller kommer frem sterkt forsinket (tilgjengelighet) Risiko knyttet til import at ondsinnet programvare Det bør vurderes om sikringstiltakene er tilstrekkelige til å beskytte mot at ondsinnet programvare i form av makrovirus, javascript og java applets, Active X komponenter, programfiler med virus og trojanske hester osv. kan spre seg i systemet. Risikoen for hackerinnbrudd eller mailbombing (denial-ofservice). Dette er særlig en risiko hvis e-postsystemet er kontinuerlig oppkoblet mot et eksternt nettverk. Uautorisert fysisk tilgang - Det må også vurderes hvorvidt systemet er tilstrekkelig beskyttet mot at uvedkommende får fysisk tilgang. 8 Egenkontroll Rutinene for bruk av e-post må gjennomgås som del av helseinstitusjonens jevnlige egenkontroll. Egenkontrollen må omfatte vurdering av hvorvidt policyer for e-postbruk overholdes og søke å finne årsak til eventuelle brudd på policy. 9 Ledelsens gjennomgang Ved ledelsens jevnlig gjennomgang må mål, strategi og organisering som danner grunnlaget for bruken av e-post i organisasjonen vurderes. Gjennomgangen skal vurdere hvorvidt bruk av e-post kan rettferdiggjøres ut fra behov og hvorvidt sikkerhetsmålsettingene er tilstrekkelige og i tråd med organisasjonens overordnede behov. Videre må det avklares hvorvidt sikkerhetsstrategiene er tilstrekkelige og fremdeles stemmer overens med trusselbildet. 12

16 VEILEDNING Del III Organisering 10 Organisasjon E-post må inngå i organisasjonens helhetlige sikkerhetsorganisering. Dette betyr at ansvaret for e-postsystemet deles i to hovedlinjer, den ene med ansvar for drift og vedlikehold av e-postsystemet, den andre med ansvar for informasjonssikkerheten. Disse funksjonene bør i den grad det er mulig delegeres til to forskjellige medarbeidere med ulike rapporteringslinjer til organisasjonens ledelse. 11 Konfigurasjon Utstyr og programvare som benyttes til e-post må konfigureres slik at tilfredsstillende informasjonssikkerhet kan oppnås. E-postklientene må konfigureres slik at de sikkerhetsrelevante innstillingene er konfigurert på en mest mulig trygg måte. Med dette menes f.eks. at programmet ikke er satt opp til å gjøre ting bak brukerens rygg, noe som kan skape forvirring. (Dette kan være at informasjon som krypteres også krypteres til bedriftens egen offentlige nøkkel, en funksjon som kan være nyttig, men bør foregå eksplisitt, eller at klienten er satt opp til å benytte en e- posttjener utenfor organisasjonens grenser.) 12 Administrative og tekniske rutiner Bruk av e-post ved tjenstlige behov må utføres på en slik måte at krav til saksgang og postrutiner oppfølges. Det må avklares hvorvidt e-posten skal skrives ut, loggføres og arkiveres og hvorvidt det finnes andre krav som kan være av betydning for bruken av e-post så som krav til innsyn etter offentlighetsloven eller arkivregler. Det bør også klargjøres hvor mottatt e-post (spesielt vedlegg) skal lagres. Hvis sensitiv informasjon skal sendes med e-post skal dette kun foregå etter på forhånd avtalte rutiner. Det er viktig at det er enighet mellom sender og mottaker av sensitiv informasjon om hvordan den overførte informasjonen skal behandles, og sensitiv informasjon må ikke overføres med mindre dette er avklart. Dersom e-post skal benyttes for rutinemessig overføring av strukturerte meldinger med sensitiv informasjon bør dette organiseres i henhold til veiledning for EDI i helsesektoren. Det må utarbeides en egen rutine for hvordan pasientsensitiv informasjon mottatt fra avsendere som man ikke har avtale om slik kommunikasjon med, skal behandles. Eksempel på rutiner for mottak av sensitiv informasjon: Sensitiv informasjon mottatt fra avsendere som man ikke har avtale om slik kommunikasjon med, skal behandles som vanlige journalnotater, og arkiveres i tilknytning til vedkommendes journal. 13

17 VEILEDNING Avsender gis melding (per e-post) om at informasjonen er mottatt og arkivert i journal, men at fremtidig kommunikasjon av sensitiv informasjon må foregå på annet vis. Eventuelt må pasienten gi sitt samtykke til at informasjonen utveksles på e-post, vedkommende må i tilfelle gjøres oppmerksom på at informasjonen utsettes for en sikkerhetsrisiko under overføring. Den mottatte informasjonen slettes fra e-post-systemet (både fra innboks og eventuelle andre mapper der den er lagret). 13 Beredskapsplanlegging Hvis organisasjonen er avhengig av kommunikasjonen over e-post må tilstrekkelig ressurser avsettes til å kunne sikre kontinuerlig drift. I tillegg bør det avklares alternative manuelle rutiner som utskrift og bruk av post eller faks. 14 Avviksbehandling Brudd på informasjonssikkerheten som skyldes bruk av e-post må behandles i samsvar med helseinstitusjonens rutine for avviksbehandling. Slike avvik kan være: uautorisert bruk av e-post utilsiktet utlevering av sensitiv informasjon over e-post viktige meldinger som ikke kommer frem til oppgitt mottaker (også innkommende) svikt i rutinene omkring bruken av e-post for sensitiv informasjon Videre bør det kartlegges i hvilken grad det har vært nødvendig å overstyre eventuelle anbefalinger e-postprogrammet gir i forhold til sensitiv informasjon. Del IV Partnere og leverandører 15 Partnere og leverandører For leveranser av utstyr og programmer og innleie av arbeid i forbindelse med e-post, skal leverandører/partnerenes kompetanse og muligheter for oppfølging og vedlikehold av leveransen over tid vurderes. I leveransen bør det inngå: dokumentasjon av implementering, drift og vedlikehold uttesting av e-postløsningen opplæring av helseinstitusjonens medarbeidere oppfølging og vedlikehold 14

18 VEILEDNING dokumentering av eksisterende informasjon/arkiv i e-postsystemet og avgjørelser tatt omkring dette Personell ansatt hos partnere eller leverandører skal alltid undertegne taushetserklæring og informeres om betydningen av denne. Del V Sikkerhet 16 Personellsikkerhet Tilstrekkelig brukeropplæring er grunnstenen for sikker bruk av e-post. Det bør derfor stilles krav til tilstrekkelig kompetanse og opplæring før e- post kan benyttes. Denne opplæringen bør være spesielt rettet mot en bevisstgjøring om når e-post kan benyttes og hva som er risikomomentene ved bruk av e-post. Opplæringen bør være integrert i annen opplæring i datasystemer og informasjonssikkerhet. 17 Fysisk sikkerhet Hvis e-postsystemet er del av en sone hvor personopplysninger behandles vil kravet til fysisk sikring være høyt, da uautorisert tilgang vil kunne medføre stor fare for spredning av informasjon. Nødvendige tiltak vil f.eks. være adgangskontroll til dører, skjermsparere med passord og lignende. E-posttjeneren må plasseres slik at den bare er tilgjengelig for autoriserte personer, f.eks systemansvarlige. 18 Systemteknisk sikkerhet Systemteknisk sikkerhet kan kun gå en del av veien når e-post skal benyttes i miljøer hvor sensitiv informasjon behandles. Så lenge det er teknisk mulig å overføre sensitiv informasjon til e-postprogrammet vil ikke tekniske sikkerhetsløsninger som skal regulere denne informasjonsflyten være verken tilstrekkelig eller ønskelig, da de med stor sannsynlighet kun vil medføre at brukerne av systemet søker å unngå mekanismene framfor å arbeide innenfor dem. Hovedfokuset må derfor ligge på å bidra til å støtte bruken av e-post på en slik måte at viktige faremomenter unngås og at brukeren blir gjort oppmerksom på dem, samt at brukeren gis myndighet til å gjøre bevisste og forsettlige overføringer når det er behov for slike. Støttefunksjoner i e-postklienten Den viktigste utfordringen når det gjelder utilsiktet utlevering av informasjon ligger i utformingen av brukergrensesnittet, og dagens e- postprogrammer har lite (ingen) funksjonalitet for å beskytte brukeren mot feil som kan medføre f.eks. feiladressering av e-post. Hovedproblemene som kan identifiseres er: 15

19 VEILEDNING vanskelig å holde oversikt over hvem meldingen sendes til, spesielt ved bruk av e-post-lister for lett å legge ved feil vedlegg Det siste skyldes kanskje først og fremst at det av og til kun er (korte) filnavn å støtte seg på når man skal velge vedlegg, og det ikke gis den samme oversikten som man får ved å legge ved papirvedlegg. Typisk vil en slik gjenkjenning av mulig sensitiv informasjon ta utgangspunkt i: hvorvidt klipp og lim er benyttet, og evt fra hvilket program klippet stammer fra hvorvidt meldingen har vedlegg, evt. hvor vedleggene stammer fra størrelsen på meldingen Dette medfører naturligvis en god del falske alarmer, og nytten må derfor vurderes opp mot det merarbeid som fører med disse. E-postbrannmur E-post kan også sikres ved organisasjonens grenser i den eksterne sikkerhetsbarrieren. Dette kan gjøres ved bruk av en aktiv brannmur som ser igjennom inngående og utgående e-post og søker etter virus eller etter innhold som ikke skal gå utenfor organisasjonens grenser. Blant annet kan en slik brannmur blokkere for nedlasting av java-applets og active-x komponenter som kan følge med e-post. Samtidig kan det søkes etter ord og setninger som kan avsløre at sensitivt materiale blir sendt i klartekst, men utfordringen her ligger i å finne ord og kombinasjoner som karakteriserer sensitive meldinger. Meldingene kan deretter arkiveres eller et varsel kan gå til brukeren og/eller en administrator. Et slikt produkt kan særlig være til nytte hvis de sensitive opplysningene som organisasjonen behandler har lett (automatisk) gjenkjennelige trekk. Det er også mulig å legge inn gjenkjennelige elementer i maler. Det bør også vurderes om mulighet for videresending av e-post skal være avslått på e-posttjeneren, slik at denne funksjonaliteten ikke misbrukes. Viruskontroll Bruk av e-post medfører at en ny kanal for overføring av virus åpner seg. Virusfaren kommer særlig ved bruk av vedlegg til e-post. Tidligere har den største trusselen vært virus som har kommet med programfiler, men dette ser nå ut til å endre seg. I stadig større grad benytter virus seg av makrofunksjonaliteten i moderne tekstbehandlere. Viruskontroll bør om mulig foregå på to steder, både på e-post-tjeneren og på alle klientmaskinene. 16

20 VEILEDNING Meldingssikkerhet Kryptering og signering er hovedteknikkene som benyttes for å sikre meldinger under overføring. Kryptering sikrer at meldingen kommer fram til mottakeren uten at uvedkommende får innsyn, men signering sikrer at meldingen ikke endres underveis og at den kommer fra den som er oppgitt som avsender. For sikring av e-post er det særlig prenv som er aktuell. Før sikker e-post kan tas i bruk i stor skala er det nødvendig med en fungerende infrastruktur for nøkkelsertifikater og såkalte Tiltrodde Tredjeparter el. TTPer. TTPer er nødvendig for å utstede sertifikater til alle som har behov for det, samt være ansvarlige for å holde lister over tilbakekalte nøkler. Kommunikasjon med e-postkontor Brukere av Internett e-post kommuniserer normalt med e-posttjeneren gjennom protokollene IMAP eller POP. Disse kommuniserer både passord og selve e-posten på en usikret måte, men varianter finnes som kan sikre disse protokollene. Så lenge krypteringen ligger i e-postklienten er det lite fare forbundet med at meldingene ikke krypteres av kommunikasjonsprotokollen, men overføring av passord i klartekst er et mer alvorlig problem. Passordet som benyttes til e-post er ofte det samme som benyttes for pålogging til det lokale nettverket og andre tjenester, og problemet er særlig kritisk hvis passordet må gå over et ubeskyttet nettverk. Det finnes flere ulike løsninger på problemet, men alle har sine problemer. En løsning er APOP, en versjon av POP som benytter en autentisering som ikke sender passord i klartekst. Denne er dessverre lite utbredt, selv om den er standardisert. Et alternativ er å gjennomføre all kommunikasjon med e-posttjeneren over en kryptert forbindelse. Dette er en løsning som er relativt utbredt, men siden hele forbindelsen med e- posttjeneren er kryptert medfører den en stor belastning for tjeneren. En slik løsning kan benytte VPN-funksjonalitet, men en del e-postklienter støtter også bruk av SSL for å skape en kryptert tunnel til e-posttjeneren. Del VI Dokumentasjon 19 Registreringer Hendelser av betydning for sikkerheten bør registreres. Dette kan være: Overstyring av sikkerhetsråd fra e-postklienten Forsøk på utsendinger i strid med regler implementert i brannmur Evt. registrering av sendt/mottatt e-post. 17

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom

Detaljer

Hvordan få tilgang til journalopplysning fra andre virksomheter

Hvordan få tilgang til journalopplysning fra andre virksomheter Hvordan få tilgang til journalopplysning fra andre virksomheter Avdelingssjef, KITH Tema Løsninger for utlevering og tilgang til helseopplysninger Utlevering ved hjelp av web-publisering Samhandlingsarkitektur

Detaljer

Veiledning i kryptering med Open PGP

Veiledning i kryptering med Open PGP Veiledning i kryptering med Open PGP GNU Privacy Guard for Windows (Gpg4win) er en gratis programvare for kryptering av tekst, filer og eposter ved hjelp av standarden OpenPGP for Windows-operativsystem.

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Innholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur)

Innholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur) NOTAT Fra KITH v/bjarte Aksnes m.fl. Dato 29.03.06 Samhandlingsarkitektur for helsesektoren En viktig forutsetning for at aktører i helsesektoren skal kunne samhandle elektronisk på en god måte er at alle

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Basis interoperabilitetstest - ebxml

Basis interoperabilitetstest - ebxml Basis interoperabilitetstest - ebxml Testversjon: 1.0 2 Basis interoperabilitetstest - ebxml Innholdsfortegnelse 1. Revisjonshistorikk... 3 2. Basis interoperabilitetstest - ebxml... 4 Hvordan gjennomføre

Detaljer

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett " %$ # " >9 : B D 1. Åpne og lukkede nettverk - Internett og sikkerhet 2. Krav til sikre tjenester på Internett 3. Kryptografi 4. Kommunikasjonssikkerhet og meldingssikkerhet 5. Elektronisk legitimasjon

Detaljer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN 1.1 Sikkerhetskravene bygger på at det til enhver tid skal være et 1 til 1-forhold mellom det som er registrert i Virksomhetens

Detaljer

HØGSKOLEN I SØR-TRØNDELAG

HØGSKOLEN I SØR-TRØNDELAG HØGSKOLEN I SØR-TRØNDELAG AVDELING FOR INFORMATIKK OG E-LÆRING Kandidatnr: Eksamensdato: 9.mai 2005 Varighet: Fagnummer: Fagnavn: 3 timer LV 252 D Internett og sikkerhet Klasse(r): Studiepoeng: 6 Faglærer(e):

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Epost og Anti-spam. Standard autentisering AUTH-metode. Receiver s server. Receiver. Your server

Epost og Anti-spam. Standard autentisering AUTH-metode. Receiver s  server. Receiver. Your  server Epost og Anti-spam Standard autentisering AUTH-metode Som spammere blir mer aggressive blir flere og flere legitime e-poster utestengt som spam. Når du sender e-post fra ditt webcrm-system, bruker vi webcrm-serverne

Detaljer

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle Databehandleravtale Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og

Detaljer

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI Asylavdelingen (ASA) i UDI forbereder seg til høsten 2010 der avdelingen skal begynne med fullelektronisk saksbehandling (esak). UDI har innført en løsning

Detaljer

Transportsikring av e-post rfc 3207 - STARTTLS

Transportsikring av e-post rfc 3207 - STARTTLS Transportsikring av e-post rfc 3207 - STARTTLS Innhold 1 Innledning... 1 1.1 Formål... 1 1.2 Bakgrunn... 1 1.3 Avgrensninger... 2 2 Behov... 2 3 Mål... 2 4 Om rfc 3207 - STARTTLS... 3 4.1 Bruksområder...

Detaljer

Krav til kommunikasjonssikkerhet

Krav til kommunikasjonssikkerhet Krav til kommunikasjonssikkerhet for EDI-løsninger Versjon 1.0 30. januar 2002 KITH Rapport 04/02 ISBN 82-7846-128-7 KITH-rapport Tittel Krav til kommunikasjonssikkerhet for EDI-løsninger Forfatter(e)

Detaljer

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift

Detaljer

1. Systemsikkerhet. 1.1. Innledning. Innhold

1. Systemsikkerhet. 1.1. Innledning. Innhold Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Systemsikkerhet Stein Meisingseth 29.08.2005 Lærestoffet er utviklet for faget LO474D Systemsikkerhet 1. Systemsikkerhet Resymé: Denne leksjonen

Detaljer

SIKKERHETSINSTRUKS - Informasjonssikkerhet

SIKKERHETSINSTRUKS - Informasjonssikkerhet SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en

Detaljer

Vedlegg C: Behandling i Standardiseringsrådet, DMARC

Vedlegg C: Behandling i Standardiseringsrådet, DMARC Vedlegg C: Behandling i Standardiseringsrådet, DMARC Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-C Oppsummering av høringssvar - DMARC Oppdatert forslag til anbefaling - DMARC Side 1

Detaljer

DOKUMENTASJON E-post oppsett

DOKUMENTASJON E-post oppsett DOKUMENTASJON E-post oppsett Oppsett av e-post konto Veiledningen viser innstillinger for Microsoft Outlook 2013, og oppkobling mot server kan gjøres med POP3 (lagre e-post lokalt på maskin) eller IMAP

Detaljer

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen») Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf) Innledning INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf) Informasjonssikkerhet og medlemmenes personvern står høyt oppe på Dnmf sin agenda, til beste for

Detaljer

Teknologien: Fra digitale signaturer til offentlig-nøkkel infrastruktur

Teknologien: Fra digitale signaturer til offentlig-nøkkel infrastruktur Teknologien: Fra digitale signaturer til offentlig-nøkkel infrastruktur Jon Ølnes (NR) Jon.Olnes@nr.no Seminar om elektronisk kommunikasjon med digitale signaturer Statskonsult, 4/4 2000 Innhold Hva kan

Detaljer

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

Haraldsplass. Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang.

Haraldsplass. Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang. Haraldsplass DIAKONALE SYKEHUS Bergen Diakon isse k j em Datatilsynet Postboks 8177 Dep 0034 Oslo Deres ref: 12/00302-1 /HVE Vår ref: Bergen, 13.04.2012 Svar på varsel om vedtak - Uautorisert uthenting

Detaljer

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016 Laget av Dato Orginal plassering fil. Johnny ndre Sunnarvik Nov 2015 http://innsiden.helse-vestikt.no/avdelinger/tjenesteproduksjon/anbudskrav/documents/sikkerhet.docx Dato Nov 2015 Des 2015 Nov 2016 Beskrivelse

Detaljer

Forelesning 2: Kryptografi

Forelesning 2: Kryptografi Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 2: Kryptografi Spørsmål 1 a. For hvilke informasjonstilstander (lagring, overføring, behandling)

Detaljer

Forelesning 3: Nøkkelhåndtering og PKI

Forelesning 3: Nøkkelhåndtering og PKI Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 3: Nøkkelhåndtering og PKI Spørsmål 1 a. Hvorfor er god håndtering av kryptografiske nøkler essensiell

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Forelesning 4: Kommunikasjonssikkerhet

Forelesning 4: Kommunikasjonssikkerhet Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 4: Kommunikasjonssikkerhet Spørsmål 1: Sikkerhetsprotokoller a) Hva er en sikkerhetsprotokoll,

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale Pilot Digitalt Bortsettingsarkiv Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt

Detaljer

Brukerhåndbok for drift hos Kirkedata AS. Denne håndboken er utarbeidet av

Brukerhåndbok for drift hos Kirkedata AS. Denne håndboken er utarbeidet av Brukerhåndbok for drift hos Kirkedata AS Denne håndboken er utarbeidet av Oppdatert: 18. desember 2012 Innhold Innhold Innledning... 3 Oppsett av PC... 3 Windows XP... 3 Windows Vista og Windows 7... 3

Detaljer

Helseforskningsrett med fokus på personvern

Helseforskningsrett med fokus på personvern Helseforskningsrett med fokus på personvern Sverre Engelschiøn Helseforskningsrett 2009 Sverre Engelschiøn 1 Tema Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Helseforskningsrett

Detaljer

Teori om sikkerhetsteknologier

Teori om sikkerhetsteknologier Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Tomas Holt 22.8.2007 Lærestoffet er utviklet for faget LN479D/LV473D Nettverksikkerhet Innhold 1 1 1.1 Introduksjon til faget............................

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Sikrere E-post en selvfølgelighet

Sikrere E-post en selvfølgelighet Sikrere E-post en selvfølgelighet Sikkerhetssymposiet - Bergen Ernst Unsgaard Sikkerhetssymposiet 2018 Bergen, 18.10.201 E-POST SOM ANGREPSVEKTOR 91 % av den norske befolkning bruker e-post (SSB, 2017)

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune W Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune Innhold 1. Bruker-ID og passord... 3 2. Privat bruk og eiendomsrett... 3 3. Innsyn... 3 4. Virus og spam... 4 5. Konfidensialitet...

Detaljer

Diabetesforbundet. Personvernerklæring

Diabetesforbundet. Personvernerklæring Diabetesforbundet Personvernerklæring Versjon Dato Utarbeidet av Godkjent av 1.0 01.06.2018 NN Sekretariatet 1.1 22.06.2018 GDPR-ansvarlig Sekretariatet INNHOLD 1 KRAV TIL PERSONVERNERKLÆRING... 2 1.1

Detaljer

ProMed. Brukermanual for installasjon av. Elektronisk meldingshåndtering / EDI inklusiv DIPS Communicator. for. for Windows

ProMed. Brukermanual for installasjon av. Elektronisk meldingshåndtering / EDI inklusiv DIPS Communicator. for. for Windows Side 1 av 21 Brukermanual for installasjon av Elektronisk meldingshåndtering / EDI inklusiv DIPS Communicator for ProMed for Windows Kundeoppfølging og Administrasjon Versjon 2.4 08.11.2014 Litt om Elektronisk

Detaljer

Personvernerklæring. Nordix Data AS Gjeldende fra

Personvernerklæring. Nordix Data AS Gjeldende fra Personvernerklæring Nordix Data AS Gjeldende fra 30.06.2018 Ditt personvern er viktig for oss. Informasjon om vår behandling av opplysninger om deg skal være tydelig og lett tilgjengelig slik at du har

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret Brukerdokumentasjon Adresseregisteret Om Adresseregisteret FORORD FORORD Adresseregisteret er et felles nasjonalt register for presis adressering ved utveksling av helseopplysninger som sendes elektronisk

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 14 (U-14) Oppdatert: 2016-09-30 Transport Layer Security (TLS) Sikring av kommunikasjon med TLS Beskrivelse av grunnleggende tiltak for sikring

Detaljer

PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte

PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte Revidert 05.02.09 PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte Til foresatte og elever som har fått vedtak om pc som hjelpemiddel Når dere nå skal velge en pc

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret Brukerdokumentasjon Adresseregisteret Om Adresseregisteret FORORD FORORD Adresseregisteret er et felles nasjonalt register for presis adressering ved utveksling av helseopplysninger som sendes elektronisk

Detaljer

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,

Detaljer

God IT-skikk. - Informasjonssikkerhet i Norsvin -

God IT-skikk. - Informasjonssikkerhet i Norsvin - God IT-skikk - Informasjonssikkerhet i Norsvin - 1 God IT-skikk i Norsvin Norsvin er en bedrift hvor Informasjonsteknologi (IT) benyttes i stor grad. Utstyr som behandler bedriftens informasjon skal være

Detaljer

Brukerveiledning e-postsystem

Brukerveiledning e-postsystem 1 Brukerveiledning e-postsystem Innholdsfortegnelse Pålogging:....... 2 Opprette e-post:..... 4 Vedlegg:.... 4 Kalender:... 7 Visning: 7 Ny avtale:.... 7 Invitere deltakere:.... 9 Bytte passord på konto

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 8 Versjon: 5.0 Dato: 21.11.2018 Formål Ansvar Gjennomføring Omfang Målgruppe Dette

Detaljer

Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten?

Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten? Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten? Else Sandvand Agder University College, Kristiansand S, Norway Svein A. Berntsen Spesialsykehuset

Detaljer

SGS PERSONVERNPOLICY BE DATA SAFE

SGS PERSONVERNPOLICY BE DATA SAFE SGS PERSONVERNPOLICY BE DATA SAFE INNHOLD 3 Beskjed fra Konsernsjefen 4 Omfang 5 SGS PersonvernPolicy 2 BESKJED FRA KONSERNSJEFEN I de daglige anliggender samler SGS inn Personopplysninger fra sine kunder,

Detaljer

Sikkerhet flere aspekter: Sikkerhets-problemer. Autentisering/autorisasjon. Kryptering

Sikkerhet flere aspekter: Sikkerhets-problemer. Autentisering/autorisasjon. Kryptering Sikkerhets-problemer Innbrudd/Uautorisert tilgang til informasjon Avsløre informasjon og offentliggjøre den Stjele informasjon uten å gi seg til kjenne Forfalske/endre informasjon Forfalska informasjon,

Detaljer

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn Denne databehandleravtalen er et vedlegg til Avtalen om Norlønn som er inngått av Partene («Avtale om Norlønn»). Databehandleravtalen inngår som en del

Detaljer

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no). Personvern Det er viktig for oss at du føler deg trygg når du bruker vår nettsider, tisip.no og itfag.no. Derfor legger vi stor vekt på å beskytte ditt personvern. Denne erklæringen forklarer hvordan vi

Detaljer

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

1 Våre tiltak. Norsk Interaktivs arbeid med personvern Til våre kunder Kristiansand 22. juni 2016 Norsk Interaktivs arbeid med personvern Norsk Interaktiv har alltid hatt fokus på personvern i våre systemer. Vi vedlikeholder hele tiden våre tjenester for å

Detaljer

E-post hosting betingelser

E-post hosting betingelser E-post hosting betingelser AVTALE MELLOM KUNDE OG SMART IT & SECURE SYSTEMS Smart IT & Secure Systems tilbyr kunden tilgang til en epost-tjeneste i henhold til brukerbetingelsene nedenfor. Har dere en

Detaljer

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale mellom. (Oppdragsgiver) Behandlingsansvarlig Kommunesektorens organisasjon (KS) som Databehandler Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes

Detaljer

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012 Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE

Detaljer

Personvernerklæring for Clemco Norge AS

Personvernerklæring for Clemco Norge AS Personvernerklæring for Clemco Norge AS Behandlingsansvarlig Daglig Leder er behandlingsansvarlig for Clemco Norges behandling av personopplysninger. Personopplysninger som lagres personopplysninger som

Detaljer

POWEL DATABEHANDLERAVTALE

POWEL DATABEHANDLERAVTALE POWEL DATABEHANDLERAVTALE mellom Powel AS. Behandlingsansvarlig og «Navn på selskap». Databehandler Innhold 1 Formålet med Databehandleravtalen... 3 2 Definisjoner... 3 3 Formål med behandlingen... 3 4

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN Dette dokumentet beskriver hvordan oppfyller kravene i personopplysningsloven og EUs personvernforordning, GDPR. Versjon 1 04.12.2018 Innhold

Detaljer

Retningslinjer for bruk av E-post i saksbehandling i Bergen kommune

Retningslinjer for bruk av E-post i saksbehandling i Bergen kommune Fagområde: Administrasjon Dok. type: Rutine Dok. nr.: BKDOK-2005-00432.01 Rev. dato: 24.06.02 Gyldig til: 31.12.2012 Side 1 av 5 Retningslinjer for bruk av E-post i saksbehandling i Bergen kommune 1. Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

SOLICARD ARX. Adgangssystemet som gir deg ubegrenset frihet. An ASSA ABLOY Group company

SOLICARD ARX. Adgangssystemet som gir deg ubegrenset frihet. An ASSA ABLOY Group company SOLICARD ARX Adgangssystemet som gir deg ubegrenset frihet An ASSA ABLOY Group company SOLICARD ARX arkitektur SOLICARD ARX LCU oppkoblet via Internet Eksisterende nettverk SOLICARD ARX AC SOLICARD ARX

Detaljer

FOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltnin...

FOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltnin... Page 1 of 7 HJEM RESSURSER TJENESTER HJELP LENKER OM LOVDATA KONTAKT OSS SØK FOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltningen (eforvaltningsforskriften) Skriv ut DATO:

Detaljer

K I T H. Ebrev. Elektronisk utsending av brev FOR HELSE OG VELFERD.. INFORMASJONSTEKNOLOGI

K I T H. Ebrev. Elektronisk utsending av brev FOR HELSE OG VELFERD.. INFORMASJONSTEKNOLOGI K I T H INFORMASJONSTEKNOLOGI FOR HELSE OG VELFERD.. Ebrev Elektronisk utsending av brev VERSJON 1.0 Status: Til utprøving 1.2.2010 KITH-rapport 1020:2010 KITH-rapport TITTEL Ebrev Elektronisk utsending

Detaljer

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021 Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig

Detaljer

1 av 5. Personalavdelingen

1 av 5. Personalavdelingen 1 av 5 Personalavdelingen 01.12.2015 Rutine ved utlevering av elektronisk lagret materiale til politi eller påtalemyndighet Innhold 1. Innledning... 2 1.1. Mål... 2 1.2. Gyldighetsområde... 2 1.3. Forhold

Detaljer

Personvernerklæring. Innledning. Om personopplysninger og regelverket

Personvernerklæring. Innledning. Om personopplysninger og regelverket Personvernerklæring Innledning Denne personvernerklæringen gjelder for Norsk Fysioterapeutforbund og forklarer hvorfor vi samler inn informasjon om deg, hvordan vi bruker denne informasjonen og hvordan

Detaljer

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Hvordan ivareta personvernet ved skikkethetsvurderinger? Hvordan ivareta personvernet ved skikkethetsvurderinger? 25.10.2018 Agenda Overblikk over relevante plikter og rettigheter etter personvernregelverket Behandling av personopplysninger i skikkethetsvurderinger

Detaljer

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt». Personvern vilkår Om Velkommen til Hoopla, Hoopla AS ( Selskapet, Vi og/eller Vår ) gjør det mulig for mennesker å planlegge, promotere og selge billetter til et Arrangement. Vi gjør det enkelt for alle

Detaljer

Håndtering av personlig informasjon

Håndtering av personlig informasjon Håndtering av personlig informasjon Håndtering av personlig informasjon Du kan alltid besøke vår hjemmeside for å få informasjon og lese om våre tilbud og kampanjer uten å oppgi noen personopplysninger.

Detaljer