Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune

Størrelse: px
Begynne med side:

Download "Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune"

Transkript

1 Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/858/09/ / /ABE 30. juni 2009 Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune Det vises til Datatilsynets kontroll hos kommunen den 24. april 2009 og Datatilsynets varsel om vedtak av 14. mai Vurdering av tilsvar Datatilsynet har i brev av 8. juni 2009 mottatt kommunens merknader til varselet, og har følgende kommentarer til det som fremkommer der: Ad. internkontrollsystemets tilgjengelighet for ansatte Datatilsynets oppfating på tilsynet var at ikke all den utarbeidede internkontrolldokumentasjonen var tilgjengelig for alle ansatte. Kommunen viser i sitt tilsvar til at styrende internkontrolldokumenter er tilgjengelig for alle ansatte på kommunens fellesområde (dokumentarkivet). Det vises videre til omtale av tilgjengeligheten i rapporten under punkt 5.1.2, og der også styrende dokumenter for informasjonssikkerheten samt gjennomførende internkontrolldokumenter omtales. Datatilsynet forstår merknaden slik at også denne dokumentasjonen i all hovedsak er tilgjengelig for de ansatte i tråd med regelverkets krav. Vi har derfor endret rapporten i samsvar med merknaden fra kommunen. Datatilsynets inntrykk av det nye kvalitetsstyringssystemet er for øvrig at dette vil gi en god oversikt over de aktuelle dokumentene for de ansatte. Ad. rutiner for publisering på Internett Datatilsynet ba på kontrollen om å få ettersendt diverse dokumentasjon. Brev med varsel om vedtak ble sendt før Datatilsynet mottok brevet med rutinene for publisering på Internett. Datatilsynet har imidlertid gjennomgått de oversendte rutinene og har justert kontrollrapporten i samsvar med dette. Ad. fremdriftsplan for lukking av avvik Datatilsynet legger kommunens fremdriftsplan til grunn for lukking av de varslede avvikene. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Kommunen må etablere og dokumentere internkontroll i samsvar med personopplysningslovens 14 jf. personopplysningsforskriftens kapittel 3. Det vises til tilsynsrapportens pkt. 5.1 og Som er ledd i dette arbeidet må: Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt OSLO

2 a. kommunen oppdatere sine rutiner for innsyn, sletting og informasjon i henhold til personopplysningslovens 14 jf. personopplysningsforskriftens 3-1. Det vises til tilsynsrapportens 5.1.2, 5.1.3, og b. kommunen gjennomgå skjemaene for opptak i barnehage slik at det ikke bes om unødvendige personopplysninger. Det vises til tilsynsrapportens Kommunen må etablere og dokumentere tilfredstillende informasjonssikkerhet i samsvar med personopplysningslovens 13, jf. personopplysningsforskriftens kapittel 2. Dette innebærer at kommunen må a. dokumentere risikovurdering i samsvar med personopplysningsforskriftens 2-4. Det vises til tilsynsrapportens pkt b. gjennomføre sikkerhetsrevisjon i samsvar med personopplysningsforskriftens 2-5. Det vises til tilsynsrapportens pkt Kommune må etablere databehandleravtale med sine leverandører slik at de oppfyller kravene til databehandleravtale i personopplysningslovens 15 og 13. Databehandleravtalen oversendes til Datatilsynet. Det vises til tilsynsrapportens punkt 5.2 og Datatilsynet legger kommunens egne frister til grunn for lukking av avvikene, jf. brev fra kommunen av 8. juni Det siste avviket gjennomføring av sikkerhetsrevisjon - skal lukkes innen 1. desember Kommunen må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen fire uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at kommunen har rett til innsyn i sakens dokumenter, jf. forvaltningslovens 18. Datatilsynet ber om tilbakemelding innen 13. juli 2009 på om kommunen på grunn av ferieavvikling har behov for en noe lengre klagefrist. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med hilsen 2

3 Leif T. Aanensen avdelingsdirektør Aslaug Bendiksen seniorrådgiver Vedlegg: Endelig kontrollrapport 3

4 Saksnummer: 09/ Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Sted: Utarbeidet av: Renate Thoreid Aslaug Bendiksen 1 Innledning Datatilsynet gjennomførte kontroll hos kommunen 23. april Kontrollen ble gjennomført i medhold av personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med kommunens plikter til å føre internkontroll og sørge for tilfredsstillende informasjonssikkerhet. Kontrollen ble gjennomført i virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra Datatilsynet: - Renate Thoreid, senioringeniør - Aslaug Bendiksen, seniorrådgiver 3 Generelt Kommunen endret sin administrative organisering fra 1. januar Rådmannens ledergruppe består for tiden av rådmann, økonomisjef og to kommunalsjefer. Ledergruppen utgjør kommunens strategiske ledelse. Antall virksomheter er redusert fra 11 til 9, virksomhetslederne utgjør kommunes operative ledelse. Sektor Barnehager inngår i kommunens administrative organisering. Kommunen hadde på kontrolltidspunktet 5249 innbyggere. Det var ca 500 ansatte i kommunen. Dette utgjorde ca 320 årsverk Kommunen oppga under tilsynet at de disponerer 415 plasser til 330 barn i seks kommunale og en private barnehage. (Barn under to år disponerte to plasser.) Kommunen har full barnehagedekning. Kommunen hadde et utstrakt samarbeid med andre kommuner i Vestfold. 12k er et interkommunalt samarbeid med 12 Vestfoldkommuner. Formålet med samarbeidet er bl.a. å utvikle tjenestetilbudet, samordne kommunens plan-, areal- og næringspolitikk samt være 1 av 11

5 talerør for kommunale fellesinteresser i Vestfold. 12k har et styre bestående av samtlige ordførere og rådmenn. Organisasjonen har ingen formell beslutningsmyndighet. I desember 2008 besluttet kommunen å innføre et elektronisk kvalitetssystem - Kvalitetslosen. Arbeidet med å ta dette i bruk er startet og er planlagt avsluttet innen I dette arbeidet pågår det en vurdering av alle kommunes rutiner, kvalitetsnormer og styringsdokumenter. Målet er at all ansatte skal kjenne til og ha tilgang til rutiner i systemet. Kommunen orienterte om kvalitetssystemet og arbeidet under tilsynet. Kommunen har i tillegg etablert et samarbeid om felles interkommunal driftsentral for sensitive fagsystemer på samme maskin og samme database for tre kommuner. Det er utarbeidet en Service Leverings Avtale, SLA som beskriver bl.a. felles drift av Pleie- og omsorgssystem, Gerica, Barnevernet, BvPro, Sosialtjenesten, Socio og PP-tjenesten, PPI. Avtalen ble iverksatt Avtalen ble presentert for Datatilsynet. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av kommunens plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Kommuner har en omfattende behandling av personopplysninger. Personopplysningenes sensitivitet og omfang varierer i de ulike ansvarsområdene og på ulike lokasjoner til kommunen. Dette er nærmere beskrevet i IKT plan for kommunen for og i kommunens kvalitetssystem for informasjonssikkerhet. Under kontrollen ble kommunens internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå i tillegg til at det ble undersøkt hvordan internkontrollbestemmelsene var implementert ved søknad om opptak i barnehage. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Internkontroll Generelt om personopplysningslovens 14 Virksomheten har etter personopplysningslovens 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt under 5.3. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak kommunen hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal bl.a. være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. 2 av 11

6 Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. Gitt kommunenes kompleksitet vil enkelte deler av internkontrollen være mer aktuelle på noen områder enn andre; rutiner for innhenting av samtykke vil for eksempel kun være aktuelt på områder der det er aktuelt å innhente slikt samtykke. Videre vil implementering av de enkelte kravene i loven kunne variere fra saksområde til saksområde, og det kan derfor være hensiktsmessig å spesialtilpasse enkelte gjennomførende dokumenter til det enkelte saksområdet. Bestemmelsene om sletting av elektroniske søknadsskjema til barnehagene vil for eksempel se annerledes ut enn sletting av informasjon i personalmapper Ansvarsforhold etter loven Behandlingsansvar defineres i personopplysningslovens 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Kommunen opplyste om at rådmannen er å anse som behandlingsansvarlig. Kommunen har videre delegert omfattende kompetanse om internkontroll og informasjonssikkerhet til virksomhetsledere (VL) som også er definert som systemeiere for de ulike fagsystemer. Kommunens har definert rollen som sikkerhetsansvarlig. Dette fremkommer av Service Leverings Avtale, SLA kap. 5 Ansvar og myndighet og i kommunens kvalitetssystem for informasjonssikkerhet. Ansvarsforholdene var synlig for alle de ansatte gjennom kommunens dokumentarkiv. Delkonklusjon: Behandlingsansvarlig fremkommer av de styrende dokumentene. Ansvarsforholdene vil bli enda bedre synlig for de ansatte i forbindelse med den pågående implementeringen av kommunens elektronisk kvalitetssystem - Kvalitetslosen Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må kommunen ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningslovens 11 er oppfylt og danner grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved risikovurderinger. Kravet til oversikt over behandlinger følger også av personopplysningsforskriftens 2-4. Oversikten må bl.a. omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningslovens 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkommet et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet overleverte på kontrollen. Her fremkommer bl.a. et eksempel på hvordan oversikten kan utformes. 3 av 11

7 Oversikten skal foreligge på overordnet nivå i de styrende dokumentene som skal være tilgjengelig for de ansatte. I og med at virksomhetene og virksomhetsledere(vl) best kjenner til sine behandlinger av personopplysninger anbefales det at oversikten også foreligger der. Det fremgår av tilsendt dokumentasjon kommunen og kvalitetssystem for informasjonssikkerhet av , kap. 3.2 Oversikt over informasjonssystemet en oversikt over hvilke system kommunen hadde. Denne kan benyttes som utgangspunkt for en oversikt over behandlinger og behandlingsgrunnlag. Datatilsynet understreker at det innenfor hvert system kan være flere typer behandlinger og at oversikten manglet formål, behandlingsgrunnlag og klassifikasjon. Delkonklusjon: Kommunen må utarbeide en samlet oversikt over alle behandlinger av personopplysninger med behandlingens formål og behandlingsgrunnlag Øvrige plikter etter personopplysningslovens 14 jf. personopplysningsforskriftens 3-1 Behandlingsansvarlige må generelt kartlegge de plikter i personopplysningsloven som er knyttet til behandlingene i kommunen. Denne kartleggingen vil være nødvendig for å kunne oppfylle regelverkets krav. Aktuelle plikter vil bl.a. omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, retteplikt etter 27 og sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for utlegging av postlister og saksdokumenter på Internett. I veilederen Internkontroll og informasjonssikkerhet er kravene til identifisering av plikter og utarbeidelse av rutiner bl.a. omtalt i kapitlene 3.8 og 4. På kontrollen ble i hovedsak retten til innsyn etter 18 gjennomgått. Kommunen hadde så fremt de fremmøtte kjente til ikke mottatt noen forespørsler om innsyn etter denne bestemmelsen. Kommunen hadde ikke utarbeidet rutiner for å ivareta den allmenne retten til innsyn ( 18 første ledd) og den registrertes rett til innsyn ( 18 annet ledd). Kommunen opplyste om at slike rutiner skulle inn i Kvalitetslosen. Kommunen publiserte inngående brev og postlister på Internett. For publisering av postlister opplyste kommunen om at de tar en manuell kontroll av disse før de legges ut. Inngående brev legges ut etter tre dager. Det tas også her en manuell kontroll av disse før de legges ut. Datatilsynet ba på tilsynet om å få oversendt de skriftlige rutinene for hva som skulle publiseres på Internett samt rutinene som skulle sikre at ikke annet enn dette ble publisert. Datatilsynet har mottatt dokumentasjon for Innføringsprosjekt innsyn/drum. Dokumentet omhandler blant annet rutiner for ovennevnte og viser til momenter det må tas stilling til før en går i gang med ACOS Innsyn. Dette omfatter blant annet konsekvenser av å legge saker og dokumenter ut på Internett samt gjennomgang av hvilke lover som kommer til anvendelse for slik publisering (punkt 2.2). Selv om sistnevnte vurderinger ikke er oversendt legger 4 av 11

8 Datatilsynet til grunn at kommunen har foretatt en vurdering av hva som kan publiseres på Internett og hvordan dette skal gjøres. Delkonklusjon: Kommunen må kartlegge sine plikter etter personopplysningsloven. Videre må kommunen etablere og bekjentgjøre for de ansatte rutiner for etterlevelse av bestemmelsen om rett til innsyn etter personopplysningslovens 18. Kontrollen ga ikke grunnlag for å konstatere om øvrige plikter var ivaretatt. Dersom dette ikke er tilfelle understreker Datatilsynet at det for hver av disse også må etableres og bekjentgjøres rutiner for ivaretakelse av lovens krav Konklusjon Kommunen har ikke etablert internkontrollsystem etter personopplysningslovens 14 jf. personopplysningsforskriftens kapittel 3. Datatilsynet ser behov for at kommunen på generelt grunnlag gjennomfører en revisjon av sitt internkontrollsystem. Datatilsynet understreker at sentral del av etableringen av et internkontrollsystem er å gjøre dette kjent for de ansatte, jf 14 annet ledd. Det er derfor viktig at endringene i internkontrollsystemet også gjøres kjent for de ansatte i kommunen. Datatilsynet legger til grunn at denne dokumentasjonen skal inn i Kvalitetslosen. 5.2 Kommunens databehandlere Regelverkets krav En databehandler er i personopplysningslovens 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom utenforstående får tilgang til kommunens personopplysninger, må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningslovens 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningslovens Funn Kommunen har inngått en Service leverings avtale, SLA om sensitiv driftssentral med to andre kommuner. Avtalen ble overlevert under tilsynet. Databehandleravtalen ble ikke undersøkt nærmere. Kommunen kunne videre opplyste om at de hadde flere serviceavtaler med ulike leverandører. Kommunen hadde også to innleide IKT konsulenter som bisto kommunen med drift av infrastruktur. Da kommunen ikke hadde disse dokumentene tilgjengelig under kontrollen, ba Datatilsynet om at disse skulle ettersendes. Datatilsynet minner imidlertid om at de inngåtte avtalene må oppfylle kravene i personopplysningslovens 15 jf. 13. Datatilsynet har på tidspunktet for rapport ikke mottatt de etterspurte avtaler. Det legges derfor til grunn at det ikke foreligger tilstrekkelig databehandleravtaler jf. personopplysningslovens av 11

9 Datatilsynet har under utarbeidelse en mal for inngåelse av databehandleravtaler. Denne kan ettersendes ved forespørsel Konklusjon Kommunen må sørge for databehandleravtaler med sine leverandører og at disse tilfredsstiller kravene i personopplysningslovens 15 jf Krav om informasjonssikkerhet Regelverkets krav I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, og veiledningsmateriale som ble overrakt under kontrollen Funn Datatilsynet ba i varsel om kontroll at virksomheten oversendte styrende dokumenter for informasjonssikkerhet for kommunen. Dokumentasjon kommunen og kvalitetssystem for informasjonssikkerhet ble oversendt. Håndboken inneholdt deler av styrende, gjennomførende og kontrollerende dokumenter for informasjonssikkerhet. Men tilsynet avdekket enkelte mangler iht. etterlevelse av kravene i personopplysningsforskriftens kapittel 2. som gjennomgås i det følgende. Det ble under tilsynet opplyst om at kommunen besluttet i desember 2008 å innføre et elektronisk kvalitetssystem- Kvalitetslosen. Arbeidet med å ta dette i bruk er startet og er planlagt avsluttet innen 31. desember I dette arbeidet pågår det en vurdering av alle kommunes rutiner, kvalitetsnormer og styringsdokumenter. Dokumentasjon av kommunens kvalitetssystem for informasjonssikkerhet inngår i dette arbeidet men er foreløpig ikke implementert og tilgjengelig for alle ansatte fra det elektroniske kvalitetssystemet. Foreløpig er den dokumentasjonen som er utarbeidet tilgjengelig på kommunens nettsider for alle med nett-tilgang Risikovurdering I henhold til personopplysningsforskriftens 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. 6 av 11

10 Det ble under kontrollen opplyst at virksomheten hadde fastlagt akseptkriterier men ikke gjennomført risikovurdering som beskrevet i kommunens kvalitetssystem for informasjonssikkerhet kap. 4 Prosedyre for risikovurderinger med hensyn til behandling av personopplysninger. Datatilsynet påpekte under tilsynet viktigheten av å gjennomføre risikovurderinger av tiltak beskrevet i IKT plan for kommunen 2009 og Det anses som brudd på personopplysningsforskriftens 2-4 at kommunen ikke har gjennomført risikovurderinger Sikkerhetsrevisjoner Virksomheten plikter i henhold til personopplysningsforskriftens 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang. Virksomheten erkjente under kontrollen at det ikke forelå etterlevelse av bestemmelsene om sikkerhetsrevisjoner slik beskrevet i kommunens kvalitetssystem for informasjonssikkerhet kap. 6 Prosedyre for sikkerhetsrevisjon. Kravene i 2-5 kan dermed ikke anses som oppfylt Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriftens 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter personopplysningslovens 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet meddeleses resultatet. Det fremlå av tilsendt dokumentasjon kommunens kvalitetssystem for informasjonssikkerhet kap. 5 at prosedyre for avviksbehandling er etablert. Tilsynet ble imidlertid informert om at det ikke var rapportert avvik iht. ovennevnte krav. Tilsynet antar da at rutiner for avviksbehandling er lite kjent blant de ansatte i virksomheten. Datatilsynets kontroll gav derfor grunnlag for å minne om etterlevelse av nevnte bestemmelse Opplæring I henhold til personopplysningsforskriftens 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. 7 av 11

11 Under kontrollen erkjente kommunen at rutinene ikke var tilstrekkelig implementert i virksomheten. Men tilsynet ble orientert om at dette arbeidet inngår i innføringen av det elektronisk kvalitetssystem- Kvalitetslosen. Datatilsynets kontroll gav derfor grunnlag for å minne om etterlevelse av nevnte bestemmelse og at kravene i 2-8 tas med i kommunens videre arbeid med implementering av elektronisk kvalitetssystem- Kvalitetslosen. 5.4 Spesielt om konfidensialitet, integritet og tilgjengelighet Tilgang til personopplysninger i sensitive fagsystemer i kommunen slik som Gerica, Socio, PPI og BvPro vil gjennomgående inneholde opplysninger som oppleves som svært følsomme for den det gjelder. Det er blant annet av stor viktighet at det opprettes klare skriftlige rutiner for hvem som skal ha tilgang på opplysningene, knyttet opp mot et tjenestelig behov og at disse gjeving revideres. Videre ser tilsynet behov for at kommunen går gjennom tilgangene til de ulike ansatte og sørger for at disse er korrekte. Datatilsynet minner om bestemmelsene i personopplysningsforskriftens 2-10 om fysisk sikring, 2-11 om konfidensialitet, 2-12 om tilgjengelighet, 2-13 om integritet og 2-14 om sikkerhetstiltak. 5.5 Internkontroll knyttet til samordnet opptak i barnehage Om søknadsprosessen Søknad om plass i barnehage sendes kommunen innen gitte frister. Søknad kan sendes på papir eller elektronisk. Kommunene benytter et søknadsskjema utarbeidet av Acos. Søknadene sendes kommunen via Acos og vil følgelig være tilgjengelig hos Acos i en mellomperiode. Søknadene anses som arkiveringspliktige og alle søknadene importeres til Websak(kommunens elektroniske saksbehandlings- og arkivsystem). Alle søknadene importeres til Websak og enkelte opplysninger overføres videre til barnehagesystemet der søkerne prioriteres. Kommunen var usikker på om de elektroniske søknadsskjemaene slettes samtidig fra Acos søknadssenteret. Alle styrerne hadde tilgang til barnehageprogrammet (også de private). Styrerne hadde ikke tilgang til selve søknadsskjemaet, men prioriteringer fremkommer av listen. (De ulike prioriterte plassene gis en bestemt poengsum.) Når listen er ferdig møtes alle styrerne til et drøftingsmøte der plassene fordeles. Barnehagene sender selv brev om tilbud om plass Innholdet i søknadsskjemaet Papirbasert søknadsskjema I søknadsskjemaet bes det om følgende opplysninger: Dette søknadsskjemaet var ikke tilgjengelig på Internett og ble kun benyttet som nødløsning. Barnets personalia: Navn, adresse, kjønn, personnummer (fødselsnummer?) Foresatte: - Mors navn, adresse, personnummer, yrke/arbeidssted, telefonnummer - Fars navn, adresse, fødseldato, yrke/arbeidssted, telefonnummer 8 av 11

12 - Sivilstand for de/den barnet bor hos, hvilke(n) av foreldrene barnet bor hos, opplysninger om barnet bor hos andre enn foreldrene Annet: - Antall søsken og alder - Fritekstfelt andre nødvendige opplysninger - Om barnet er allergisk/asmatisk - Ønsket oppholdstid i barnehage og prioritering i barnehage. - Fritekstfelt om hvorfor det søkes plass i barnehage Elektronisk søknadsskjema Barnet personalia: - Fødselsinformasjon (for eksempel norsk), fødselsnummer, navn og adresse, dagligspråk i hjemmet, om barnet behersker norsk. Om barnehagen mv: - Ønsket startddato, de fire barnehagene det søkes på, oppholdstid i % og oppholdstid. Foresatte: - Om barnet har to foresatte, om begge foresatte bor på samme adresse, hvem barnet eventuelt bor sammen med, følgende informasjon om begge foresatte: Fødselsinformasjon (for eksempel norsk), fødselsnummer (eventuelt fødselsdato og kjønn dersom personen ikke er norsk), navn, bostedsland, adresse, telefon, e- postadresse, statsborgerskap, arbeidssted, stilling, sivilstand. - Det oversendte søknadsskjemaet ga ikke grunnlag for å verifisere om også opplysninger om ny partner skulle oppgis. Annet: - Søsken: navn, fødselsdato, barnehage - Opplysninger om det er noe ved barnets helse eller sosiale forhold som er av betydning for (opptak i) barnehage. Fritekstfelt der dette beskrives. Uttalelser fra ulike instanser som er vedlagt søknaden i forhold til for eksempel at barnet har nedsatt funksjonsevne. - Fritekstfelt der det kan oppgis eventuelle andre forhold som foresatt mener har betydning for søknaden - Mulighet for å laste opp vedlegg Datatilsynets vurdering og delkonklusjon I henhold til personopplysningslovens 11 første ledd d) skal det kun bes om relevante personopplysninger. Dette innebærer at opplysningene det bes om må være nødvendige for å vurdere om barnet skal gis plass eller ikke og eventuelt hvilken barnehage barnet gis plass i og hvilken oppholdstid barnet skal få. Kommunen må gjennomgå søknadsskjemat med tanke på hvilke personopplysninger som er nødvendig i opptaksprosessen. Alle opplysningene som kommunen ber om må være relevante. Datatilsynet stiller for eksempel spørsmål ved hvorfor det kategorisk er behov for å 9 av 11

13 samle inn opplysninger om sivilstand, arbeidsplass, statsborgerskap og stilling allerede i opptaksprosessen. Slike opplysninger vil etter Datatilsynets oppfatning kun være aktuelt i søknadsprosessen dersom opplysningene gir grunnlag for å prioritere søknaden. For bruk av fødselsnummer stilles det ytterligere krav i personopplysningslovens 12: Fødselsnummer skal bare benyttes når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering. Dette innebærer at barnets fødselsnummer neppe kan innhentes for barn over kontantstøttealder. Opplysninger som ikke er nødvendig i opptaksprosessen, men som er nødvendig for tilrettelegging og oppfølging av barnet i barnehagen, bør som hovedregel ikke innhentes i opptaksprosessen. En slik etterfølgende innhenting vil også begrense muligheten for at andre enn dem som har behov for opplysningene får tilgang til disse. Enkelte av opplysningene det bes om er definert som sensitive. Dette er for eksempel opplysning om at det søkes om prioritert plass fordi barnet har nedsatt funksjonsevne. Dersom slike opplysninger skal fremkomme må det settes i verk særskilte sikkerhetstiltak, jf. nedenfor. Bruk av fritekstfelt og mulighet for opplasting av filer kan lett føre til at kommunen samler inn personopplysninger som ikke er relevante. Dette vil særlig være tilfellet der det ikke spesifiseres nærmere hva kommunen ønsker i feltet. Datatilsynet viser til at selv om kommunen har full barnehagedekning vil trolig foresatte lett komme til å informere om irrelevante forhold for å maksimere sjansene for å få tildelt en bestemt barnehageplass. Det å legge til rette for en slik løsning vil lett komme i konflikt med personopplysningslovens 11 om relevans. Datatilsynet viser til at bruken av åpne felt og mulighet for opplasting av filer lett kan komme i konflikt med personopplysningslovens sikkerhetsbestemmelser. Selv om det opplyses om at det ikke skal oppgis sensitiv informasjon, innformerers det ikke nærmere om hva som ligger i dette. Videre gis det ingen informasjon om at også taushetsbelagte opplysninger krever egne sikkerhetstiltak. Hva som er taushetsbelagt og hva som er sensitivt vil ofte men ikke alltid være sammenfallende. En løsning med åpne felt og mulighet for opplastning av filer vil følgelig lett kunne føre til at sensitive og taushetsbelagte personopplysninger kan bli sendt uten tilstrekkelig sikkerhet. En slik oversendelse vil være i strid med personopplysningsforskriftens 2-11 om sikring av konfidensialitet og eforvaltningsforskriftens 5, første ledd. Datatilsynet siterer fra sistnevnte bestemmelse: Når et forvaltningsorgan legger til rette for bruk av elektronisk kommunikasjon for mottak av opplysninger som på forvaltningens hånd kan være underlagt taushetsplikt, eller som kan være underlagt krav til sikring etter reglene om behandling av personopplysninger eller tilsvarende regler, skal risiko for uberettiget innsyn i opplysningene være forebygget på tilfredsstillende måte. Datatilsynet understreker imidlertid at sikkerhet av løsningen ikke var tema på kontrollen, og tilsynet begrenser seg følgelig til å påpeke at kommunen må undersøke dette punktet nærmere. 10 av 11

14 5.5.3 Tilgangsstyring I tillegg til virksomhetsleder for barnehage hadde alle styrerne tilgang til barnehageprogrammet. Barnehageprogrammet ga kun en skjematisk oversikt og ikke tilgang til selve søknadsskjemaet. Utenfor barnehageprogrammet hadde alle styrerne tilgang til søknadsskjemaene til dem som hadde søkt på deres barnehage. I forkant av tilbud om barnehageplass møttes styrerne og virksomhetslederen for barnehage og fordelte plasser seg imellom. Styrerne hadde kun tilgang til søknadspapirer for søkere til deres barnehage. Delkonklusjon: Datatilsynet anser tilgangsstyringen til søkerne til barnehagen som tilfredsstillende Sletting Opplysninger som ikke lenger er nødvendig etter sitt formål skal slettes, jf. personopplysningslovens 28 Kommunen anser søknadsskjemaene med vedlegg for arkiveringspliktigs slik at opplysningene ikke kan slettes. Datatilsynet stiller spørsmål ved om dette gjelder all søknadsinformasjonen. Etter at opplysningene er overført til Websak vil uansett ikke opplysningene være nødvendig hos Acos eller eventuelt andre steder opplysningene er mellomlagret. Kommunen bekreftet at søknadene ble slettet hos Acos ved overføring til Websak, men kunne ikke bekrefte at opplysningene ble slettet der opplysningene var mellomlagret. Delkonklusjon: Rutinene for sletting anses for tilfredsstillende, forutsatt at det bekreftes at søknadsopplysningene slettes ved overføring til WebSak. Datatilsynet savner imidlertid en skriftlig rutine som beskriver når sletting skal foretas og hvem som har ansvar for dette. Datatilsynet ber kommunen foreta en nærmere vurdering omfanget av arkiveringsplikten for søknadsopplysninger Konklusjon Kommunen må vurdere hvilke opplysninger de har behov for i opptaksprosessen og tilpasse søknadsskjemaene til dette. Det må foretas en risikovurdering av sannsynligheten for å få inn irrelevant informasjon dersom kommunen ønsker å beholde muligheten for å laste opp filer. Kommunen bør også tilpasse sletterutinene til dette området og nedfelle dette skriftlig. 5.6 Avslutning Vedtak om pålegg som følge av kontrollen følger i brev. 11 av 11

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009. Avslutning av sak - kontroll hos kommune - Internkontroll og informasjonssikkerhet Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av

Detaljer

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009.

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009. Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/42637 09/00173-7 /RTH 11. september 2009 Vedtak om pålegg - endelig kontrollrapport fra kommune Det vises til Datatilsynets kontroll hos kommunen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/30431 12/01044-8/MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet Statens Havarikommisjon for Transport Postboks 213 2001 LILLESTRØM Deres referanse Vår referanse (bes oppgitt ved svar) 12/611-6 12/01022-8/HHU 28. februar 2013 Dato Vedtak om pålegg Endelig kontrollrapport

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Saksnummer: 13/00933 Dato for kontroll: 15.10.2013 Foreløpig rapport: 19.12.2013 Endelig rapport: 07.07.2014 Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av:

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011 Boots Norge AS Postboks 413 Skøyen 0213 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00938-7/SEV 28. februar 2012 Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00139 Dato for kontroll: 18.03.2014 Foreløpig rapport: 22.04.2014 Endelig rapport: 14.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Kongsberg kommune, Skrim ungdomsskole Sted: Kongsberg

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Saksnummer: 16/00326 Dato for kontroll: 10.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011. Eniro Norge AS avd Trondheim Postboks 2333 7004 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00721-5/MHN 29. august 2011 Vedtak - endelig kontrollrapport for Eniro Norge AS Det

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00118 Dato for kontroll: 6.3.2014 Foreløpig rapport: 29.4.2014 Endelig rapport: 8.8.2014 Endelig kontrollrapport Kontrollobjekt: Bjerkås barnehage Sted: Vollen, Asker Utarbeidet av: Martha

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Smart Club AS v/ Advokatene Kjetil Bull og Bjørn Tore Flaatten Postboks 1173 Sentrum 0107 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00831-9/HVE 21. desember 2011 Vedtak om pålegg

Detaljer

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak Vestre Viken HF c/o Sykehuset Buskerud 3004 Drammen Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01080-5/MEP 19. april 2013 Avslutning av sak - Foreløpig kontrollapport for Vestre Viken

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 30.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Oslo kommune, Foss videregående skole Sted:

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester

Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester TV 2 AS Postboks 2 Sentrum 0101 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Adv. Theo Jordahl 11/00258-7/FUE 4. august 2011 Dato Kontroll hos TV2 Sumo 28042011 - Internettbaserte TV-tjenester

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) NorgesGruppen ASA Postboks 2775 Solli 0203 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00832-9/MAB 1. februar 2012 Vedtak om pålegg - Endelig kontrollrapport for Trumf AS Det vises

Detaljer

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport Oppegård Kommune Postboks 510 1411 KOLBOTN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/137-11 13/01092-10/MEP 21. mai 2014 Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar

Detaljer

Kontroll av reseptformidleren 11122013 endelig kontrollrapport

Kontroll av reseptformidleren 11122013 endelig kontrollrapport Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 13/00939 Dato for kontroll: 05.11.2013 Foreløpig rapport: 26.02.2014 Endelig rapport: 11.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Elverum kommune, Elverum ungdomsskole Sted: Elverum

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00119 Dato for kontroll: 24.02.2014 Foreløpig rapport: 11.04.2014 Endelig rapport: 07.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Norlandiabarnehagene, Myrertoppen barnehage Sted:

Detaljer

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre. Treningssenter AS Postboks OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00001-34/KBK 10. september 2013 Konsesjon til å behandle personopplysninger - Treningssenter - Dopingkontroll

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00138 Dato for kontroll: 14.03.2014 Foreløpig rapport: 11.04.14 Endelig rapport: 15.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Hamar kommune, Ajer ungdomsskole Sted: Hamar Utarbeidet

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00122 Dato for kontroll: 7.3.2014 Foreløpig rapport: 16.5.2014 Endelig rapport: 12.8.2014 Endelig kontrollrapport Kontrollobjekt: Espira Gruppen AS Sted: Blåveisbakken barnehage Utarbeidet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Vedtak om pålegg kameraovervåking hos Move treningssenter

Vedtak om pålegg kameraovervåking hos Move treningssenter Move Treningssenter AS Arnemannsveien 5 3510 HØNEFOSS Deres referanse Vår referanse Dato 14/01089-7/YMA 05.06.2015 Vedtak om pålegg kameraovervåking hos Move treningssenter Datatilsynet viser til kontroll

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som Fornyings- administrasjons- og kirkedepartementet Postboks 8004 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/1249 13/00654-2/HHU 20. september 2013 Dato Høring - Endringer i eforvaltningsforskriften

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato

Deres ref Vår ref (bes oppgitt ved svar) Dato Datatilsynet TELE AS Deres ref Vår ref (bes oppgitt ved svar) Dato XXXX XXXXXX KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER BEHANDLING AV OPPLYSNINGER OM ABONNENTERS BRUK AV TELETJENESTER I medhold av Lov

Detaljer

Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat etterforskningsvirksomhet

Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat etterforskningsvirksomhet AS Scan Detect Postboks 54 1330 FORNEBU Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00327-14/MEP 12. november 2013 Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kjøpmannshuset Norge AS Postboks 330 Skøyen 0213 Oslo Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00852-9/BSO 25. juni 2013 Vedtak om pålegg - Endelig kontrollrapport Den 19. oktober 2012

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10

Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10 SANDNES KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : S. Haugen Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10 RAPPORT ETTER FORVALTNINGSREVISJON - ELEKTRONISK

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kiwi Norge AS Postboks 551 3412 LIERSTRANDA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00853-13/BSO 21. juni 2013 Vedtak om pålegg Den 10. oktober 2012 gjennomførte Datatilsynet en kontroll

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Elkotek Sikkerhet AS (databehandler) Og ---------------------------------------------------

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00140 Dato for kontroll: 19.03.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Akershus fylkeskommune, Skedsmo videregående skole

Detaljer

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger BEST Helse Nordstrand Postboks 104 Bekkelagshøgda 1109 Oslo Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/01093-10/CGN 8. april 2014 BEST Helse Nordstrand pålegg om avslutning av urettmessig

Detaljer

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført

Detaljer