Foreløpig kontrollrapport

Størrelse: px
Begynne med side:

Download "Foreløpig kontrollrapport"

Transkript

1 Saksnummer: 14/00140 Dato for kontroll: Foreløpig rapport: Endelig rapport: Foreløpig kontrollrapport Kontrollobjekt: Akershus fylkeskommune, Skedsmo videregående skole Sted: Lillestrøm Utarbeidet av: Eirin Oda Lauvset Rannveig Bakke Tvedten Martha Eike 1 Innledning Datatilsynet gjennomførte kontroll hos Akershus fylkeskommune ved Skedsmo videregående skole den 19. mars Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, tredje ledd. Temaet for kontrollen var å se om fylkeskommunens og skolens behandling av personopplysninger om elevene, er i tråd med kravene som stilles i personopplysningsloven med forskrift. Mer spesifikt ønsket vi å undersøke fylkeskommunens håndtering av elevopplysninger som behandles i digitale læringsressurser på nett, samt opplysninger som elever legger igjen når de bruker fylkeskommunens/skolens IKT-utstyr og -ressurser. I kontrollrapporten beskriver Datatilsynet de faktiske forhold som ble avdekket under kontrollen. Rapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Til stede under kontrollen 2.1 Fra virksomheten: - Bengt Jacobsen, seksjonsleder avd. VGO, Akershus fylkeskommune - John Arve Eide, regiondirektør, avd. VGO, Akershus fylkeskommune - Tor Tyskerud, driftsansvarlig, Skedsmo videregående skole - Anne Edlund, sekretær og arkivansvarlig, Skedsmo videregående skole - Stein Pettersen, rektor, Skedsmo videregående skole - Wench Rudshaug Kavli, fung. assisterende rektor, Skedsmo videregående skole - Kenneth Mathisen-Berg, IKT-ansvarlig, Skedsmo videregående skole - Egon Nybo Skaar, koordinator fellessystemer, Akershus fylkeskommune 2.2 Fra Datatilsynet: - Rannveig Bakke Tvedten, rådgiver - Martha Eike, overingeniør - Eirin Oda Lauvset, seniorrådgiver 1 av 15

2 3 Oversendelse av informasjon Datatilsynet ba i varselet om at Akershus fylkeskommune skulle oversende følgende dokumentasjon: Rutiner for når det må innhentes samtykke fra elever og foresatte for behandling av personopplysninger. Rutiner for informasjon til elever og foresatte om hvilke opplysninger som lagres i læringsressurser på nett og hva som lagres om eleven ved bruk av skolens/fylkeskommunens IKT-utstyr og -ressurser. Rutiner for innsyn i opplysninger som er lagret ved bruk av læringsressurser på nett. Rutiner for om/når elevopplysninger skal slettes. Skolens IKT-reglement, og evt. avtale mellom elev og skole om bruk av IKTressurser. Risikovurderinger av læringsressurser på nett, elevers bruk av skolens/fylkeskommunens IKT-utstyr og -ressurser, og elevers bruk av eget IKTutstyr på skolens nett. Rutiner for informasjonssikkerhet: a) En beskrivelse av informasjonssystemet inkludert konfigurasjonskart b) En oversikt over læringsressurser på nett som brukes av skolen (for eksempel Kikora, Kartleggeren, Cyberbook) c) En beskrivelse av tilgangsstyring til læringsressursene på nett. d) Sikkerhetsinstrukser e) Driftsrutiner Databehandleravtale med leverandører av læringsressurser på nett. Følgende dokumenter ble sendt Datatilsynet datert 25. februar 2014: AFK-Strategi for informasjonssikkerhet AFK-Håndbok for informasjonssikkerhet AFK-Felles retningslinjer for informasjonssikkerhet-2013/14 AFK-Feide-personvern og samtykke AFK-Feidetjenester i bruk i AFK per februar 2014 AFK-Felles IKT-reglement for elever-alle skoler AFK-Itslearning-informasjon om behandling av personopplysninger-elever AFK-Itslearning-informasjon om behandling av personopplysninger-foresatte AFK-Itlsearning-informasjon om behandling av personopplysninger-lærere AFK-Databehandleravtaler: Itlsearning, Fagbokforlaget-Kartleggeren, Conexus- Vokal, Eplehuset-bestillingsportal-elev-Mac, ATEA-bestillingsportal-elev-PC SVS-Forsvarlig system-referanseliste SVS-Sikkerhetshåndbok SVS-Systemoversikt styringsdokumenter SVS-Innholdsfortegnelse-ny internkontrollperm SVS-HMS-basen-oversikt og status etter kartlegging SVS-Digitale læringsressurser i bruk ved Skedsmo vgs skoleåret 2013/14 2 av 15

3 Under kontrollen ble følgende dokumenter overlevert Datatilsynet: SVS-Blogging på timeplanen AFK-Its learning Informasjon om rett til særskilt språkopplæring for elever fra språklige minoriteter AFK-Avslag på tilbud om kartlegging av norskkunnskaper ihht. Opplæringslovens 3-12 AFK-Retningslinjer og rutiner for særskilt språkopplæring for elever fra språklige minoriteter - Skoleåret AFK-Personvernerklæring Samtykkeerklæring-Samtykke gjeldende publisering av bilder av elever AFK-Huskeliste for elever på digital eksamen AFK-Oversiktstegning datanett i AFK Etter kontrollen ble følgende dokumenter sendt Datatilsynet i e-post datert 25. mars 2014: Oversikt over behandlinger av personopplysninger (skole) Sletterutiner for Itslearning - avklaring av om sletting må gjøres manuelt, eller om det skjer automatisk ved sletting av ident i skoleadministrativt system Redegjørelse for ID-nummer som brukes i Kartleggeren, om det er unik ID fra SATS eller noe annet En detaljert agenda ble oversendt Akershus fylkeskommune på e-post før kontrollen. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av plikten til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for skoleeiers behandling av personopplysninger ved skolene. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Under kontrollen ble Akershus fylkeskommunes internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Vi så særskilt på om fylkeskommunen hadde kontroll på følgende: Hvilke opplysninger som registreres om elevene i forbindelse med bruk av læringsressurser på nett, og ved bruk av fylkeskommunens/skolens IKT-utstyr og - ressurser (jf. personopplysningsloven 14 og personopplysningsforskriften kapittel 3). Ansvarsavklaringer og bruk av databehandlere ved bruk av læringsressurser på nett, jf. personopplysningsloven 2 nr. 4 og 5, og 15. Sikkerhetsledelse, jf. personopplysningsforskriften 2-3 Risikovurdering, jf. personopplysningsforskriften 2-4 annet ledd Skedsmo videregående skole bruker følgende læringsressurser på nett: Cappelen Deutch Drei - digital lærebok CD-ORD 3 av 15

4 Creaza Kartleggeren Lokus Lokus lærer PULS Smartbok Viten.no VOKAL Av IKT-utstyr så har hver elev tilbud om å kjøpe en PC eller MAC gjennom skolen. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Internkontroll Generelt om personopplysningsloven 14 En behandlingsansvarlig har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningsloven 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for ivaretakelsen av pliktene etter loven at behandlingsansvaret er klart definert med hensyn til hvor det er lagt. Personopplysningsforskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Beslutningsprosessen er fordelt mellom Akershus fylkeskommune og Skedsmo videregående skole. Det har vært en teknisk omlegging fra lokal IKT-drift til sentralstyrt drift. Lokal IKTansvarlig driver mest med brukerstøtte og service for enkeltbrukere. Ved innkjøp av læringsressurser tar skolen kontakt med fylkeskommunen dersom det innbefatter påloggingssystem. Det betyr at skolen kan ta mye i bruk før de tar kontakt med fylkeskommunen. Det meste innebærer ikke innlogging. Dersom det er læringsressurser som flere av skolene vil ha, vurderer fylkeskommunen innkjøp av felles lisens. De kjøper ikke inn til alle, men har en rammeavtale som skolene kjøper inn på. Skolene tar en årlig gjennomgang på hvilke programmer som er i bruk og sender til fylkeskommunen. Det skal avgjøres i ledermøte på skolen før et program tas i bruk. 4 av 15

5 Det finnes ingen nedskreven rutine for at lærere ikke på egenhånd kan ta i bruk en nettbasert tjeneste spontant i timen, men det er kommunisert muntlig at dette skal avklares med skoleledelsen. Elevene kjøper inn PC eller MAC gjennom en avtale som fylkeskommunen har ordnet. De kan også bruke maskin de har fra før. Skolen legger ingenting på de maskinene. De får en brukerident i AD for tilgang til nett. Behandlingsansvaret er plassert. Det gjøres sentrale beslutninger ved Akershus fylkeskommune, men som kan initieres lokalt ved skolene. Oversikt over behandlinger gjøres i fylkeskommunen. Personopplysningsforskriften 2-3 understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Det er fylkesrådmannen i Akershus fylkeskommune som er å anse som behandlingsansvarlig for den behandlingen av personopplysninger som foretas på Skedsmo videregående skole. Sikkerhetsansvarlig er assisterende fylkesdirektør IT og service. Det er altså ledelsen i fylkeskommunen som skal sørge for en sikkerhetsorganisering med klare roller, ansvar og myndighet. Ansvaret for lokale behandlinger er delegert videre til virksomhetsleder, hvilket er rektor ved Skedsmo videregående skole. Datatilsynet har ikke konstatert avvik Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. 5 av 15

6 Akershus fylkeskommune har utarbeidet en oversikt over behandlinger av personopplysninger. Denne oversikten inneholder imidlertid ikke nettbaserte læringsressurser som lagrer personopplysninger. Oversikten over behandlinger inneholder alle elementer som er nødvendige etter personopplysningslovens krav. Vi har imidlertid fått oversikt over hvilke tjenester som er tilgjengelig gjennom Feide, og kan konstatere at oversikten over behandlinger ikke inkluderer digitale læringsressurser som behandler personopplysninger i oversikten. Dette er en mangel ved oversikten. Mangelfull oversikt over behandlinger av personopplysninger som foretas innenfor fylkeskommunens virksomhet er et avvik fra personopplysningsloven 14 og 13, jf. personopplysningsforskriften Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til personopplysningsloven 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis Rett til innsyn Det følger av personopplysningsloven 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. : Akershus fylkeskommune har generelle rutiner for å gi den registrerte innsyn i hvilke personopplysninger som behandles av kommunen. Denne rutinen gjelder generelt for alle kommunens tjenester, og det er ikke laget en egen rutine for skolesektoren. 6 av 15

7 Formålet med å ha en rutine for innsyn i personopplysninger er å sørge for at den som er berettiget innsyn i personopplysninger som virksomheten har får utlevert opplysningene. For å kunne gjøre dette på en forsvarlig måte må de ansatte, som skal levere ut opplysningene, ha klare retningslinjer for hvordan dette skal skje. I utgangspunktet er det ikke noe i veien for å ha en innsynsrutine som er felles for alle tjenestene i fylkeskommunen. Dette fordrer imidlertid at den innsynsrutinen som gjelder er dekkende for de tilfellene av innsynsbegjæringer som er typiske for hver tjeneste. Virksomheter som behandler opplysninger om barn og unge må forholde seg til at begjæringer om innsyn oftest blir gjort av andre enn den registrerte (eleven/barnet). For eksempel kan dette være foresatte (foreldre, bonusmor/far, fosterforeldre, verge, etc), advokat eller forsikringsselskap. Det er da viktig å forsikre seg om for det første at den som ber om innsyn er den vedkommende hevder å være og for det andre har en rett til innsyn i opplysningene. Akershus fylkeskommune har rutiner for innsyn, men disse bør bearbeides til å inkludere henvendelser fra andre enn den registrerte (f.eks. foresatte, advokater, forsikringsselskap), etter den registrerte/foresattes fullmakt. Verken Akershus fylkeskommune eller Skedsmo videregående skole har spesifikke rutiner for å verifisere at den som ber om innsyn er den de sier å være eller for å verifisere at vedkommende har rett til innsyn i opplysningene. Skolen har imidlertid et elevregistreringsskjema som inneholder opplysninger om hvem som har foreldreansvar, og hvem som er berettiget helseopplysninger om eleven. Når en innsynsbegjæring skal håndteres ved skolen vil være naturlig at rutinen viser til elevregistreringsskjemaet for kontroll av hvem som er berettiget informasjon om den aktuelle eleven. Skoleledelsen opplyser at det er praksis for å sjekke elevregistreringsskjemaet når innsynsbegjæringer skal behandles. Denne praksisen er imidlertid ikke skriftliggjort. Når det gjelder begjæring om innsyn fra andre enn foresatte bør det inkluderes en rutine for å innhente skriftlig fullmakt fra foresatte som viser at den som henvender seg er gitt rett til opplysninger om eleven. Samlet sett mener vi at den rutinen som finnes for å gi innsyn i personopplysninger er for generell til å være dekkende for de særskilte typetilfellene av innsynsbegjæringer som kan komme til skolen. Delkonklusjon Mangelfullt dokumenterte rutiner for innsynsbegjæringer er et avvik, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d. 7 av 15

8 Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av personopplysningsloven 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Akershus fylkeskommune har utarbeidet informasjonsskriv om behandling av personopplysninger i Itslearning til elever, foresatte og ansatte. Akershus fylkeskommune har nylig oppdatert og lagt ut en personvernerklæring som ligger på fylkeskommunens nettsider. Lenke til denne finnes fra skolens nettside under Regler og rutiner / Personopplysninger. Personvernerklæringen inneholder informasjon om skolens behandlinger av elevopplysninger i skolens systemer, med informasjon type opplysninger. Det er informasjon om innsyn, retting og sletting. Videre er det informasjon om lagring og sikkerhetskopiering av data, formidling av data til tredjepart, nettverkslogger og fagsystemlogger, og sletting av logger. Alle tilkoblinger til fylkeskommunens nettverk registreres. Videre registreres all datatrafikk fra alle enheter/virksomheter i en egen logg. Denne informasjonen er kun tilgjengelig for sentrale administratorer av nettverket, og benyttes utover administrasjon og sikkerhetsoppfølging til anonym statistikk over bruk av nettverket. I personvernerklæringen står det alle nettverkslogger slettes regelmessig. Ved kontrollen ble det opplyst at de slettes etter 7 dager. Fylkeskommunen logger ikke spesifikke brukere, kun trafikken. De er midt i mellom to leverandører. Den nye leverandøren vil tilby bedre styring på angrepskontroll. Tidligere har de mottatt henvendelser fra politiet om trafikk fra skolen. De klarte ikke da å finne noe i loggene. 8 av 15

9 Det er ikke laget noe skriv for digitale læringsressurser. Det brukes ingen klassestyringsverktøy og alle elevene har private PC er som skolen ikke installerer programvare på. De får en brukerident i AD for tilgang til nett. Ved eksamen settes elevene i en spesiell gruppe i AD. Det trådløse nettverket begrenser da alle enheter som er koblet til denne identen. Det gis noe informasjon om logging av nettverkstrafikk i IKT-reglementet. Det står ikke her noe om når loggene slettes. Det står ingenting om det foregår overvåking av den enkelte. Skriftlig informasjon om de digitale læringsressursene må forbedres. Skolen kan bruke flere kanaler for å gi informasjon til elever og foresatte: personvernerklæringen og Itslearning. Skolen må gi mer informasjon til elevene om hva slags type logging som gjøres, og hvor lenge de lagres. Det kan også være positivt om skolen forteller hva de ikke bruker loggene til. Samlet sett er den informasjonen som gis for mangelfull til at den oppfyller kravene som stilles i personopplysningsloven og personopplysningsforskriften. Delkonklusjon Mangelfullt dokumenterte rutiner for informasjon til den registrerte/foresatte er et avvik, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d Sletting I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter personopplysningsforskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Akershus fylkeskommune har skriftlige rutiner for retting og sletting av personopplysninger. I personvernerklæringen står det at personopplysninger som ikke skal beholdes etter arkivloven slettes ca 3 måneder etter at elev har avsluttet opplæring eller ansatt har sluttet. Dokumenter og annet som lagres på private områder av fylkeskommunens lagringsområder slettes tilsvarende ca 3 måneder etter at elev har avsluttet opplæring eller ansatt har sluttet. Når en elev eller tilsatt slutter på en skole vil brukeren bli satt som passiv i det skoleadministrative systemet. Informasjon om dette vil komme med i synkroniseringsfilen 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 15

10 som hver ettermiddag overføres fra fylkeskommunen til Itslearning. Brukere i Itslearning blir ikke slettet uten videre. De blir umiddelbart stengt for pålogging dersom de ikke har tilknytning til andre skoler i fylkeskommunen. De blir kun søkbare for de som har rollen Itslearning-administratorer i en periode i det som i Itslearning kalles Søppelbøtten. Permanent sletting av identer/personer kan utføres manuelt av systemadministrator etter at valgt karantenetid er utløpt (normalt 30 dager). Selv om en person slettes permanent fra Itslearning vil opplysningene fremdeles være lagret på backup i tre år etter at personen er slettet. Slike opplysninger kan kun gjenopprettes etter forespørsel fra fylkeskommunen. Verken Akershus fylkeskommune eller Skedsmo videregående skole har rutiner for å sørge for sletting av personopplysninger i nettbaserte læringsressurser. Nettverkslogger slettes etter 7 dager. Vi kan ikke finne noen begrunnelse for at backupen i Itslearning skal være lagret i 3 år. Lagringstiden må forkortes til det som er nødvendig for formålet med å ta backup. Akershus fylkeskommune må få klarhet i om det fortsatt ligger personopplysninger i nettbaserte læringsressurser etter at identer er slettet. Personopplysningsloven med forskrift stiller dessuten krav om at det skal finnes skriftlige rutiner for sletting av personopplysninger. Vi mener at fylkeskommunens og skolens rutiner for sletting i digitale læringsressurser er mangelfulle fordi de ikke er skriftliggjort. Delkonklusjon Mangelfullt dokumenterte rutiner for sletting av personopplysninger er et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c Mangelfullt dokumenterte rutiner for innsyn, informasjon til den registrerte og sletting, er avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d og c. 5.2 Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, 10 av 15

11 5.2.2 Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Akershus fylkeskommune har oversendt Strategi for informasjonssikkerhet i Akershus fylkeskommune, Håndbok for informasjonssikkerhet i Akershus fylkeskommune, og Sikkerhetshåndbok for Skedsmo videregående skole. Dokumentene beskriver sikkerhetsmål og sikkerhetsstrategi, sikkerhetsrevisjon og rutiner for informasjonssikkerhet. Datatilsynet har ikke konstatert avvik. Sikkerhetsorganisasjon Ansvaret for sikkerhetsarbeidet er tydelig plassert i organisasjonen. Dette fremgikk i dokumentasjonen og under kontrollen. Akershus fylkeskommune har etablert en sikkerhetsorganisasjon og en egen enhet som skal ivareta sikkerhetsmål og sikkerhetsstrategi i skolesektoren. Skedsmo videregående skole er også kjent med denne sikkerhetsorganisasjonen. Datatilsynet har ikke konstatert avvik Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. 11 av 15

12 Akershus fylkeskommune har sendt over Håndbok for informasjonssikkerhet i Akershus fylkeskommune hvor det står skrevet at risikovurderinger skal gjennomføres årlig etter en oppsatt plan, og ved endringer som har betydning for informasjonssikkerheten og behandling av personopplysninger. I Sikkerhetshåndbok for Skedsmo videregående skole står det samme. Det står i tillegg her at skolen har foretatt risikoanalyser i forbindelse med brannsikring og beredskapsplan. Det ble ikke sendt over noen mal for risikovurdering og heller ingen dokumentasjon på at risikovurderinger er utført. Ved kontrollen ble vi informert om at det mangler gjennomførte skriftlige vurderinger. Manglende gjennomføring og dokumentasjon av risikovurdering er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-4 og Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. personopplysningsforskriften 2-3. Datatilsynet ble informert om at sikkerhetsrevisjon av skolen gjennomføres jevnlig. De har hatt årlige samlinger med informasjonssikkerhetsansvarlige på skolen med årlig rapportering. En sentral oppfølging mangler fra fylkeskommunen. De har manglet en overordnet informasjonssikkerhetsansvarlig og jobber med å bli bedre på sikkerhetsrevisjon. Akershus fylkeskommune har ikke gjennomført sikkerhetsrevisjon slik det fremgår av kravene i personopplysningsforskriften. Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften av 15

13 5.2.5 Sikkerhetstiltak Personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger personopplysningsforskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Datatilsynet har fått tilsendt dokumentasjon på etablerte sikkerhetstiltak. Hver elev har sin egen PC hvor ingenting blir installert av skolen eller fylkeskommunen. De får en brukerident i AD og har Feide-pålogging til læringsplattform og de digitale læringsressursene. Det er etablert et eget trådløst nettverk for elever. Det er etablert driftsrutiner for å ivareta sikkerheten på skolens IKT-utstyr og nett, og det blir logget autorisert og uautorisert bruk. Det finnes system for avvikshåndtering. Vi fikk utdelt et konfigurasjonskart over fylkeskommunens soneinndeling og brannmurer. Det finnes ikke noe konfigurasjonskart over tilgangen til de digitale læringsressursene. Å beslutte sikkerhetstiltak er en helt sentral del av informasjonssikkerhetsarbeidet i en virksomhet. Akershus fylkeskommune og Skedsmo videregående skole har enkelte sikkerhetstiltak på plass, slik som brannmur, segmentering av nettverk, tilgangsstyring, logging av autorisert og uautorisert bruk, og avvikshåndtering. Det at Akershus fylkeskommune og Skedsmo videregående skole ikke har gjennomført og dokumentert risikovurdering av informasjonssystemet, kan tyde på at det kan finnes trusler og tiltak det ikke er tatt høyde for når informasjonssystemet er satt opp og under drift. Datatilsynet mener at fylkeskommunen og skolen må gjøre en risikovurdering av informasjonssystemet for å komme frem til hvilke sikkerhetstiltak som skal dokumenteres og innføres. Kapittel 2 i personopplysningsforskriften inneholder en del minimumskrav til konkrete sikkerhetstiltak alle virksomheter som behandler personopplysninger skal oppfylle. Mangelfull dokumentasjon av sikkerhetstiltak er avvik fra personopplysningsloven 13, jf. personopplysningsforskriften av 15

14 5.3 Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Akershus fylkeskommune har inngått avtale for bruk av Itslearning, Kartleggeren, VOKAL, Eplehuset og Atea. Akershus fylkeskommune har tatt i bruk følgende tjenester uten at det er avklart om disse tjenestene forutsetter behandling av personopplysninger og inngåelse av databehandleravtale: Cappelen Deutch Drei, CD-ORD, Creaza, Lokus, Lokus lærer, PULS, Smartbok og Viten.no. Databehandleravtalen med Fagbokforlaget for bruk av Kartleggeren er mangelfull og må revideres. Under Sikkerhetsrevisjoner står det «Servere og brannmur blir av underleverandør fortløpende patchet med nye sikkerhetsoppdateringer og logger blir gjennomgått for bl.a. å avdekke mulige forsøk på sikkerhetsbrudd». Dette har ingenting med sikkerhetsrevisjon å gjøre og må erstattes med et innhold som beskriver at den behandlingsansvarlige skal avtale med databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer og lignende som omfattes av denne avtalen. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. Akershus fylkeskommune må etablere en rutine for å avdekke om programvare de tar i bruk lagrer eller ikke lagrer personopplysninger. I de tilfellene hvor personopplysninger behandles av avtalepart må databehandleravtale inngås. Mangelfull databehandleravtale for bruk av Kartleggeren er et avvik, jf. personopplysningsloven 15 og 13, jf. personopplysningsforskriften 2-15 Manglende vurdering og avklaring av om bruk av Cappelen Deutch Drei, CD-ORD, Creaza, Lokus, Lokus lærer, PULS, Smartbok og Viten.no forutsetter behandling av personopplysninger og inngåelse av databehandleravtale, er et avvik, jf. personopplysningsloven 14 og 15, jf. personopplysningsforskriften 3-1 og av 15

15 På generelt grunnlag vil Datatilsynet påpeke plikten til å avklare om de digitale læringsressursene som skolen tar i bruk på Internett behandler personopplysninger og om en slik bruk i så fall krever at det inngås databehandleravtale. Avtalen med virksomhetens databehandlere skal ivareta kravene som oppstilles i personopplysningsloven 15. Veiledere på hvordan slike avtaler bør se ut ligger på Datatilsynets hjemmesider, 15 av 15

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00139 Dato for kontroll: 18.03.2014 Foreløpig rapport: 22.04.2014 Endelig rapport: 14.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Kongsberg kommune, Skrim ungdomsskole Sted: Kongsberg

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00138 Dato for kontroll: 14.03.2014 Foreløpig rapport: 11.04.14 Endelig rapport: 15.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Hamar kommune, Ajer ungdomsskole Sted: Hamar Utarbeidet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Saksnummer: 13/00933 Dato for kontroll: 15.10.2013 Foreløpig rapport: 19.12.2013 Endelig rapport: 07.07.2014 Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av:

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 30.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Oslo kommune, Foss videregående skole Sted:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00118 Dato for kontroll: 6.3.2014 Foreløpig rapport: 29.4.2014 Endelig rapport: 8.8.2014 Endelig kontrollrapport Kontrollobjekt: Bjerkås barnehage Sted: Vollen, Asker Utarbeidet av: Martha

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 13/00939 Dato for kontroll: 05.11.2013 Foreløpig rapport: 26.02.2014 Endelig rapport: 11.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Elverum kommune, Elverum ungdomsskole Sted: Elverum

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00119 Dato for kontroll: 24.02.2014 Foreløpig rapport: 11.04.2014 Endelig rapport: 07.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Norlandiabarnehagene, Myrertoppen barnehage Sted:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/30431 12/01044-8/MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00122 Dato for kontroll: 7.3.2014 Foreløpig rapport: 16.5.2014 Endelig rapport: 12.8.2014 Endelig kontrollrapport Kontrollobjekt: Espira Gruppen AS Sted: Blåveisbakken barnehage Utarbeidet

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00137 Dato for kontroll: 12.03.2014 Foreløpig rapport: 02.07.2014 Endelig rapport: 05.11.2014 Endelig kontrollrapport Kontrollobjekt: Vestfold fylkeskommune, Sandefjord videregående skole

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet Statens Havarikommisjon for Transport Postboks 213 2001 LILLESTRØM Deres referanse Vår referanse (bes oppgitt ved svar) 12/611-6 12/01022-8/HHU 28. februar 2013 Dato Vedtak om pålegg Endelig kontrollrapport

Detaljer

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Saksnummer: 16/00326 Dato for kontroll: 10.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00941 Dato for kontroll: 03.12.2013 Foreløpig rapport: 11.03.2014 Endelig rapport: 04.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Bergen kommune, Møhlenpris skole Sted:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 17.12.2013 Foreløpig rapport: 11.03.2014 Endelig rapport: 07.08.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Drammen kommune, Aronsløkka skole Sted:

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009. Avslutning av sak - kontroll hos kommune - Internkontroll og informasjonssikkerhet Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Bedre personvern i skole og barnehage

Bedre personvern i skole og barnehage Bedre personvern i skole og barnehage NOKIOS, 28. oktober 2014 Eirin Oda Lauvset, seniorrådgiver i Datatilsynet Martha Eike, senioringeniør i Datatilsynet Datatilsynet Uavhengig forvaltningsorgan Tilsyn

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/858/09/5428 09/00171-8 /ABE 30. juni 2009 Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune Det vises til Datatilsynets

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009.

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009. Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/42637 09/00173-7 /RTH 11. september 2009 Vedtak om pålegg - endelig kontrollrapport fra kommune Det vises til Datatilsynets kontroll hos kommunen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00259 Dato for kontroll: 08.04.2014 Rapportdato: 28.07.2014 Endelig kontrollrapport Kontrollobjekt: Sogn og Fjordane fylkeskommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)

Detaljer

Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat etterforskningsvirksomhet

Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat etterforskningsvirksomhet AS Scan Detect Postboks 54 1330 FORNEBU Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00327-14/MEP 12. november 2013 Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Feide i Akershus fylkeskommune

Feide i Akershus fylkeskommune Feide i Akershus fylkeskommune Akershus fylkeskommune (AFK) benytter Feide (Felles Elektronisk IDEntitet) for pålogging til mange nettbaserte tjenester, for eksempel It s Learning og Kikora. Når du begynner

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Smart Club AS v/ Advokatene Kjetil Bull og Bjørn Tore Flaatten Postboks 1173 Sentrum 0107 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00831-9/HVE 21. desember 2011 Vedtak om pålegg

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Veileder 25.11.2010 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01. Virksomhetens kontroll og ansvar - Når den ansatte går i skyen Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.2014 Samme data Store data - nye formål Aller først - vårt

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) NorgesGruppen ASA Postboks 2775 Solli 0203 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00832-9/MAB 1. februar 2012 Vedtak om pålegg - Endelig kontrollrapport for Trumf AS Det vises

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011. Eniro Norge AS avd Trondheim Postboks 2333 7004 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00721-5/MHN 29. august 2011 Vedtak - endelig kontrollrapport for Eniro Norge AS Det

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Skytjenester bruk dem gjerne, men bruk dem riktig

Skytjenester bruk dem gjerne, men bruk dem riktig Skytjenester bruk dem gjerne, men bruk dem riktig 29.10.2014 Dagens tema Bruk av skytjenester, og bevisst(løs) bruk Skytjenester og informasjonssikkerhet Datatilsynets krav til skytjenester Hvor trykker

Detaljer

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kjøpmannshuset Norge AS Postboks 330 Skøyen 0213 Oslo Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00852-9/BSO 25. juni 2013 Vedtak om pålegg - Endelig kontrollrapport Den 19. oktober 2012

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester

Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester TV 2 AS Postboks 2 Sentrum 0101 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Adv. Theo Jordahl 11/00258-7/FUE 4. august 2011 Dato Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer