Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Størrelse: px
Begynne med side:

Download "Lovgivningens krav til sikkerhet ved outsourcing - offshoring"

Transkript

1 Lovgivningens krav til sikkerhet ved outsourcing - offshoring Advokat Arve Føyen FØYEN Advokatfirma DA

2 Introduksjon Et konglomerat av lovgivning stiller rammer for outsourcing og offshoring av IKT tjenester Personvernlovgivning Taushetsplikt, Krav til konfidensiell behandling av informasjon Krav til risikovurderinger og datasikkerhet Krav til lokal lagring f. eks av bokføringsopplysninger og bilag for kontrollformål, eller for arkivformål Jeg vil gjennomgå noen sentrale bestemmelser der lovgivningen stiller krav til sikkerhet Langt fra uttømmende 2

3 Bakgrunn forretningsmessige drivere Effektiv bruk av IKT er grunnleggende for å fremme Økonomisk vekst, Høy sysselsetting i Norge Globaliseringen av verdensøkonomien gjør det mulig for høykostland å utnytte fordelen ved leveranseplattformer som består av kombinasjoner av ressurser i lavkostland, og ressurser i høykostland som Norge 3

4 Bakgrunn forretningsmessige drivere Leveransemodeller basert på en kombinasjon av nasjonale og offshore baserte ressurser Er kostnadseffektivt Bidrar til å holde ITkostnadene lavere enn ved bruk av rent nasjonale ressurser Samtidig som man bevarer en lokal touch og forankring av leverandør/- kundeforholdet 4

5 Norge og global sourcing En hovedutfordring i Norge vil i overskuelig fremtid være Tilgang på ressurser i Norge Mangel på menneskelige ressurser Høye personalkostnader Kun ca 3,000 IT ressurser uteksamineres årlig fra universitetene Betydningen av IT vil bare øke i tiden som kommer

6 Norge og global sourcing Fokus på leveransemodeller med lokal forankring av Kundeforhold Kunnskap om rammebetingelser og interaksjon med omverdenen Arkitektur og integrasjon Prosjektledelse Kombinert med ressurser i lavkostland «Nearshoring» Ukraina India og Kina blir (er) supermakter grunnet Den store befolkningen, En massiv satsing på teknisk og realfagorientert utdannelse Afrika og Sør-Amerika er de nye vekstkontinentene for offshoring av tjenester

7 Økt globalisering og behandling av data på tvers av landegrenser har økt utfordringene med etablering av tilstrekkelig datasikkerhet og håndtering av personvern. Ytterligere et nivå av kompleksitet oppstår når data overføres til flere jurisdiksjoner som et ledd i tjenesteyting og databehandling, som f. eks ved sourcing av driftstjenester i lavkostland eller i en cloudløsning

8 Outsourcing hva er rollene? Selskap som sourcer sin databehandling utenfor egen organisasjon, f. eks i the Cloud er gjerne Databehandlingsansvarlige De har ansvar for oppfyllelse av personvern-lovgivningen og andre rammebetingelser Hvilke lands lover Hvordan overholde restriktivt Europeisk personvernregime Fragmentarisk oppbygget Leverandører vil oftest være Databehandlere Hvor er data Hvem kontrollerer data Hvem har rettigheter til data Hvor godt sikret er data Er flytting av data til Outsourcing- leverandør gjort i overensstemmelse med Personvern-lovgivningen og annen relevant lovgivning? 8

9 Manglende compliance - stor risiko Eksponerer virksomheten for økonomisk risiko F.eks forsinket gjennomføring og ekstra kostnader ved å skulle gjøre løsningen compliant i etterhånd Kan føre til tap av eller skade på omdømme Regulatører/tilsyn er raske til å bekjentgjøre brudd på rammebetingelser i media, og det kan skade overtreder Kan føre til pålegg fra kontrollmyndighet Prosjekt kan bli stanset, eller det blir stillet krav til endringer i leveransmodell mv. Kan utsette virksomheten for straff Gebyr eller bøter ilagt av kontrollmyndigheten Straffesak reist av politi/påtalemyndigheter

10 Outsourcing livsløp

11 Lovgivning knyttet til bank og finans På bank og finansområdet har lovgivningen en rekke krav til risikovurderinger og sikkerhet Betalingssystemloven (LOV nr 95: Lov om betalingssystemer m.v.) inneholder i 3-2 et krav om meldeplikt til Finanstilynet om etablering og drift av system for betalingstjenester Denne meldeplikten innebærer også en plikt til å melde fra ved outsourcing av oppgaver knyttet til slik etablering og drift Verdipapirregisterloven 5-1medfører et krav om godkjennelse fra Finanstilsynet ved Outsourcing av tjenester knyttet til drift av verdipapirregister 11

12 Lovgivning knyttet til bank og finans Hvitvaskingsloven 12 inneholder detaljerte krav om outsourcing av kundekontroll Bokføringsloven 13 pålegger krav om hvor data kan lagres Regnskapsmateriale som nevnt i første ledd nr. 1 til 4 skal oppbevares i Norge i ti år etter regnskapsårets slutt. Unntak er gjort for lagring i land Norge har bilateral avtale om kontroll med skatteopplysninger med. Sverige, Danmark, Island og Finland 12

13 Lovgivning knyttet til bank og finans IKT-forskriften forvaltes av Finanstilsynet ( nr 630: Forskrift om bruk av informasjonsog kommunikasjonsteknologi (IKT)) Inneholder viktige krav vedr bruk av IKT- teknologi i virksomheter som Finanstilsynet er tilsynsmyndighet for Eksempler på sentrale bestemmelser er 2 om planlegging og organisering av IKTvirksomheten, 3 om Risikoanalyse 12 om Utkontraktering (Outsourcing) 13

14 IKT-Forskriften 2 Planlegging og organisering Foretaket skal fastsette overordnede mål, strategier og sikkerhetskrav for IKT-virksomheten. Det skal foreligge beskrivelse av den enkelte prosess og hvordan ansvaret for administrasjon, anskaffelse, utvikling, drift, systemvedlikehold, sikring av informasjon og avvikling utføres på en betryggende måte. Ved utkontraktering av deler eller hele IKT-virksomheten skal foretaket ha egne retningslinjer som skal sikre leveransen. Det skal oppnevnes en ansvarlig i foretaket for de ulike deler av IKT-virksomheten. Med ansvarlig menes en funksjon eller stilling. 14

15 IKT-Forskriften 3 Risikoanalyse Foretaket skal fastsette kriterier for akseptabel risiko forbundet med bruk av IKT-systemene. Foretaket skal ha en dokumentert prosess for gjennomføring av risikoanalyser av IKT-virksomheten. Prosessen skal blant annet definere klare ansvarsforhold og omfatte oppfølging av tiltak som iverksettes som et resultat av den gjennomførte risikoanalysen. Foretaket skal minst en gang årlig, eller ved endringer som har betydning for IKT-sikkerheten, gjennomføre risikoanalyser for å påse at risiko styres innenfor akseptable grenser i forhold til foretakets virksomhet. Resultatet av risikoanalysen skal dokumenteres. 15

16 IKT-Forskriften 12 Utkontraktering - Ansvar Foretaket har ansvar for at IKT-virksomheten oppfyller alle krav som stilles etter denne forskrift. Dette gjelder også der hele eller deler av IKT-virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretak under tilsyn også gis rett til å inspisere og kontrollere de av leverandørens aktiviteter som er knyttet til avtalen. Avtalen skal også sikre håndtering av taushetsbelagt informasjon. Avtalen skal videre sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn hos IKT-leverandøren der Finanstilsynet finner det nødvendig som et ledd i tilsynet med foretaket. Foretaket skal sikre, i egen regi eller gjennom et formalisert samarbeid med andre foretak enn IKT-leverandøren, at organisasjonen besitter tilstrekkelig kompetanse til å forvalte utkontrakteringsavtalen. 16

17 Internkontrollforskriften nr 1080: Forskrift om risikostyring og internkontroll Utkontraktering Foretaket har ansvar for risikostyring og internkontroll også der deler av virksomheten er utkontraktert Det skal foreligge en skriftlig avtale som sikrer dette Avtalen må sikre at foretaket gis rett til innsyn i og kontroll med utkontraktert virksomhet Avtalen skal sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn med virksomheten der Finanstilsynet finner det nødvendig Foretaket skal sørge for at organisasjonen besitter tilstrekkelig kompetanse til å håndtere utkontrakteringsavtalen 17

18 Personopplysningsloven (POL) kommer til anvendelse Når et norsk offentlig organ eller et privat foretak som er etablert i Norge, behandler personopplysninger Også ved sourcing og offshoring Det organet eller foretaket som kjøper tjenesten, er juridisk ansvarlig «Databehandlingsansvarlig»

19 Behandlingsansvar Behandling av personopplysninger ved outsourcede tjenester, cloud computing og offshoring omfattes alle av reglene i POL Hvis tjenesten gjennomfører en behandling på vegne av den behandlings-ansvarlige, er de å anse som en databehandler. En leverandør av nettskytjenester som omfatter behandling av Personopplysninger, er således en databehandler, uavhengig av hvilken tjeneste som leveres.

20 Krav om «Databehandleravtale» Dersom et foretak behandler personopplysninger på vegne av et annet, slik at det førstnevnte blir å regne som det andre foretakets databehandler, jf. lovens 2 nr. 5, følger det av lovens 15 at selskapene må inngå en databehandleravtale. En databehandler kan ikke behandle personopplysninger på annen måte enn det som er avtalt med den behandlingsansvarlige, jf. personopplysningsloven 15. Databehandleren plikter i tillegg å gjennomføre sikringstiltak som følger av personopplysningsloven 13 og forskriftens kapittel 2. En databehandleravtale fritar ikke behandlingsansvarlig for lovfestet juridisk ansvar. 20

21 POL 15 - Databehandleravtale En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av

22 POL 13 Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. 22

23 POL 13 Informasjonssikkerhet (forts) En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd. Kongen kan gi forskrift om informasjonssikkerhet ved behandling av personopplysninger, herunder nærmere regler om organisatoriske og tekniske sikkerhetstiltak. 23

24 Informasjonssikkerhet (POL-forskriften kapittel 2) 2-5 Bestemmelse om sikkerhetsrevisjon: Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf Resultatet fra sikkerhetsrevisjon skal dokumenteres.

25 Datatilsynet krever jfr Microsoft 365 i Moss Kommune: Databehandleren må kunne legge frem dokumentasjon for informasjonssystemets utforming og sikkerhetsløsninger, slik at den behandlingssansvarlige kan forvisse seg om at løsningen har tilfredsstillende informasjonssikkerhet sett opp mot risikovurdering og akseptkriterier Databehandleren ikke kan endre informasjonssikkerhetstiltak uten at den behandlingsansvarlige er blitt informert skriftlig og har godkjent endringen 25

26 Risikovurdering og informasjonssikkerhet (Datatilsynet) Den behandlingsansvarlige skal gjennomføre en risikovurdering for sin behandling av personopplysninger. Risikovurderingen må ses i sammenheng med etablerte akseptkriterier for risiko, og den behandlingsansvarlige skal iverksette nødvendige tiltak for å oppnå en tilfredsstillende informasjonssikkerhet. For å oppnå tilfredsstillende informasjonssikkerhet må den behandlingsansvarlige kunne forvisse seg om at tjenesten som blir tatt i bruk møter de kravene som er fastlagt under arbeidet med akseptkriteriene og risikovurderingen. Vurderingen må tillegges større vekt når man går fra egen drift til nettskybaserte løsninger, siden personopplysningene vil ligge utenfor den behandlingsansvarliges direkte kontroll. Hvordan skal den behandlingsansvarlige forvisse seg at informasjonssikkerheten faktisk er tilfredsstillende?

27 Databehandleravtalen Skal inneholde en del som omhandler informasjonssikkerhet, og det er viktig at den behandlingsansvarlige går grundig gjennom denne Avtalen i seg selv er ingen forsikring for at leverandøren har en tilfredsstillende informasjonssikkerhet

28 Informasjonsplikt Det følger av personopplysningsloven 19 at den registrerte skal ha informasjon fra den behandlingsansvarlige om: Navn og adresse på den behandlingsansvarlige, Formålet med behandlingen, Opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, Det er frivillig å gi fra seg opplysningene, og Annet som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven.

29 Særlige problemstillinger Leverandører av nettskytjenester har i utgangspunktet noen fordeler i forhold til tradisjonelle leverandører av servertjenester, f. eks i form av mer fleksible og integrerte løsninger. Men slike fordeler fører også med seg noen særlige problemstillinger

30 Sikkerhetskopiering/Speiling Hvordan fungerer løsningen? Overføres personopplysningene til et annet land for redundans, eksempelvis fra Irland til USA eller fra Tyskland til India? Er en slik redundans regulert og beskrevet i de avtaler som er inngått? Hvordan behandles personopplysningene etter at de er overført?

31 Segmentering Datatilsynet har uttalt at den behandlingsansvarliges personopplysninger ikke skal sammenblandes med personopplysninger fra en annen behandlingsansvarlig. Hvordan vil dette bli håndtert i en cloudløsning Noe uklart hva Datatilsynet mener med «Sammenblanding»

32 Tilgangsstyring Hvem hos leverandøren har tilgang til personopplysningene som behandles? Er tilgangstyring i samsvar med lovpålagte krav og egen internkontroll? Hvordan håndteres risikovurdering og informasjonssikkerhet.

33 Autorisert og uautorisert bruk Tar løsningen høyde for registrering av autorisert og uautorisert bruk i henhold til personopplysningsfor skriften 2-14 Dokumentasjon Er løsningen tilstrekkelig dokumentert med hensyn til kontroll fra offentlige myndigheter?

34 The End Arve Føyen Advokat - Partner Mobile: Internet: 34

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Advokat Arve Føyen Advokatfirmaet FØYEN Torkildsen

Advokat Arve Føyen Advokatfirmaet FØYEN Torkildsen 1_Tittellysbilde Advokat Arve Føyen Advokatfirmaet FØYEN Torkildsen 1 Tema - bakgrunnsteppe Behovet for global sourcing og bruk av Skytjenester Rollene ved bruk av Skytjenester Krav til internkontroll

Detaljer

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Arve Føyen Advokatfirma Føyen Torkildsen AS

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Arve Føyen Advokatfirma Føyen Torkildsen AS Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie Advokat Arve Føyen Advokatfirma Føyen Torkildsen AS 1 Tema - bakgrunnsteppe Behovet for global sourcing og bruk av

Detaljer

Tjenester i skyen hva må vi tenke på?

Tjenester i skyen hva må vi tenke på? Tjenester i skyen hva må vi tenke på? Renate Thoreid, senioringeniør Datatilsynet, Tilsyn og sikkerhetsavdeling Side 1 Visjon: Datatilsynet i front for retten til selvbestemmelse, integritet og verdighet

Detaljer

Arkivet i skyen Serveren på månen

Arkivet i skyen Serveren på månen Arkivet i skyen Serveren på månen EDOK 2012, onsdag 23. mai 2012 Anne Mette Dørum, Riksarkivet 1 Kort om Riksarkivet hovedbølet i Arkivverket Arkivverket består av Riksarkivet, åtte statsarkiver, Samisk

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn

Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn Har du kontroll med din databehandler? En utro elsker Annikken Seip Seniorrådgiver IT-tilsyn DIFI 1.9 2011 Det jeg skal snakke om Tilsyn etter 5, 3 og 12/ regelverk Vi har regelverk som påpeker kontroll

Detaljer

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011 Cloud computing og offshoring Juridiske sjekkpunkter for overføring av data til utlandet Espen Werring, 1. desember 2011 Er dette noe å bry seg om? Betydelig vekst innen offshoring de seneste årene Alle

Detaljer

Arkiv og lagring i skyen Rettslige skranker. Malin Tønseth og Nicolai Halbo 18. Mars 2015 www.svw.no

Arkiv og lagring i skyen Rettslige skranker. Malin Tønseth og Nicolai Halbo 18. Mars 2015 www.svw.no Arkiv og lagring i skyen Rettslige skranker Malin Tønseth og Nicolai Halbo 18. Mars 2015 www.svw.no Hvorfor arkiv / lagring i skyen? Gammel teknologi - dyr å vedlikeholde/drifte Brukergrensesnitt Vanskelig

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Skytjenester regler, sårbarheter, tiltak i finanssektoren. v/ Atle Dingsør

Skytjenester regler, sårbarheter, tiltak i finanssektoren. v/ Atle Dingsør Skytjenester regler, sårbarheter, tiltak i finanssektoren v/ Atle Dingsør Skytjenester regler, risiko, tiltak Skytjenester regler, risiko, tiltak Atle Dingsør, Tilsynsrådgiver, seksjon for tilsyn med IT

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. mars 2015 Utgangspunktet Det er Datatilsynets utgangspunkt at det er mulig

Detaljer

Oppbevaring og sletting av kundeopplysninger. Complianceseminar VFF 1. september 2015 Cecilie Kvalheim

Oppbevaring og sletting av kundeopplysninger. Complianceseminar VFF 1. september 2015 Cecilie Kvalheim Oppbevaring og sletting av kundeopplysninger Complianceseminar VFF 1. september 2015 Cecilie Kvalheim 1 Hvem og hva snakker vi om? Fondsforvaltningsselskaper samt AIF-forvaltere Med og uten konsesjon til

Detaljer

Standard leveransevilkår for CS. regnskapsføringsoppdrag

Standard leveransevilkår for CS. regnskapsføringsoppdrag Standard leveransevilkår for regnskapsføringsoppdrag Innholdsfortegnelse 1. Etablering av oppdrag... 1 2. Partenes representanter... 1 3. Informasjonsplikt og regnskapsansvar... 2 4. Oppbevaring... 2 5.

Detaljer

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01. Virksomhetens kontroll og ansvar - Når den ansatte går i skyen Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.2014 Samme data Store data - nye formål Aller først - vårt

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Skytjenester bruk dem gjerne, men bruk dem riktig

Skytjenester bruk dem gjerne, men bruk dem riktig Skytjenester bruk dem gjerne, men bruk dem riktig 29.10.2014 Dagens tema Bruk av skytjenester, og bevisst(løs) bruk Skytjenester og informasjonssikkerhet Datatilsynets krav til skytjenester Hvor trykker

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Innledning Hva er cloud computing? IaaS, PaaS, SaaS osv Skyen er en forretningsmodell som bygger på noen prinsipper: Standardisering (tjenester,

Detaljer

Public 360 Online Datasikkerhet

Public 360 Online Datasikkerhet Public 360 Online Datasikkerhet Ver. 1.0 Mars 2014 Public 360 Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft Windows Azure. Azure er valgt som skyplattform ettersom

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

DATO: 15. juni 2015. NUMMER: 14/8978 m.fl. markedstilsyn

DATO: 15. juni 2015. NUMMER: 14/8978 m.fl. markedstilsyn Fellesrapport Tilsyn med regnskapsførerselskaper som utfører regnskapstjenester for foretak av allmenn interesse Tematilsyn 2014 DATO: 15. juni 2015 NUMMER: 14/8978 m.fl. Seksjon/avdeling: Revisjon og

Detaljer

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Veileder 25.11.2010 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Advokaters bruk av Cloud-tjenester. Veiledning

Advokaters bruk av Cloud-tjenester. Veiledning Advokaters bruk av Cloud-tjenester Veiledning Juni 2014 Innhold 1 Bakgrunn og mandat 2 2 Cloud computing - hva det er og hvilke tjenester som omfattes 3 3 kategorier av personinformasjon og andre typer

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler. 27.10.2011 Advokat Herman Valen

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler. 27.10.2011 Advokat Herman Valen Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler 27.10.2011 Advokat Herman Valen 2 Innledning Regelverket for offentlige anskaffelser Kjennetegnet ved cloud-tjenester Standardiserte

Detaljer

Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og Høringsnotat og forskriftsforslag DATO: 16.06.2015 1. Innledning Etter finanstilsynsloven er det

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

www.pwc.no Utfordringer innen IKTområdet PwC 20. september 2011

www.pwc.no Utfordringer innen IKTområdet PwC 20. september 2011 www.pwc.no Utfordringer innen IKTområdet 20. september 2011 Innhold 1. Risiko i betalingsformidling 2. Kontinuitetsplaner 3. Bankenes ansvar ved utkontraktering 4. Oppsummering 2 Risiko i betalingsformidling

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

PACS 2005. IT-sikkerhet i foretakene - ansvar og roller. Trondheim. Helse Nord-Trøndelag HF. Helge Gundersen. IKT-rådgiver / IT-sikkerhetsansvarlig

PACS 2005. IT-sikkerhet i foretakene - ansvar og roller. Trondheim. Helse Nord-Trøndelag HF. Helge Gundersen. IKT-rådgiver / IT-sikkerhetsansvarlig IT-sikkerhet i foretakene - ansvar og roller Helge Gundersen IKT-rådgiver / IT-sikkerhetsansvarlig Historisk: PACS 2005 Regionalt samarbeid innefor IT Formalisert samarbeid mellom 3 fylkeskommuner Felles

Detaljer

HØRINGSNOTAT MELDEPLIKT VED UTKONTRAKTERING AV VIRKSOMHET FRA FORETAK UNDER TILSYN

HØRINGSNOTAT MELDEPLIKT VED UTKONTRAKTERING AV VIRKSOMHET FRA FORETAK UNDER TILSYN 01.10.2014 HØRINGSNOTAT MELDEPLIKT VED UTKONTRAKTERING AV VIRKSOMHET FRA FORETAK UNDER TILSYN 1. Innledning Finanstilsynsloven har med virkning fra 1. juli 2014 fått en ny bestemmelse om utkontraktering.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS) AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN Felles Studentsystem (FS) 1. Avtalens parter 1.1 Parter Avtalen inngås mellom, Org.nr: (heretter kalt behandlingsansvarlig)

Detaljer

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Rettslige krav til informasjonssikkerhet i offentlig forvaltning Rettslige krav til informasjonssikkerhet i offentlig forvaltning Advokat dr. juris Rolf Riisnæs WIKBORG REIN rri@wr.no DRI1010 11. mars 2010 1 Informasjonssikkerhet Hvem, hva og hvorfor Det velkjente og

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og

Detaljer

Hvordan lykkes med Offshoring av IT- tjenester

Hvordan lykkes med Offshoring av IT- tjenester Hvordan lykkes med Offshoring av IT- tjenester Presentasjon på Sikkerhet og sårbarhet 2012 Trondheim 9. Mai 2012 Svein Hilding Aasen og Trond Ericson 1 COPYRIGHT Kort om Devoteam Consulting AS Etablert

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Arkivet i skyen Serveren på månen

Arkivet i skyen Serveren på månen Arkivet i skyen Serveren på månen ekommunekonferansen 2012, 24.09.2012 Anne Mette Dørum, Riksarkivet 1 Kort om Riksarkivet hovedbølet i Arkivverket Arkivverket består av Riksarkivet, åtte statsarkiver,

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Arkiv skal ikkje førast ut or landet

Arkiv skal ikkje førast ut or landet Arkiv skal ikkje førast ut or landet Advokat Siv Owing Maanum Copyright 2015 Foyen Torkildsen All Right Reserved 1 Arkivloven 9 b) «Utan i samsvar med føresegner gjevne i medhald av 12 i denne lova eller

Detaljer

Høring - forslag til forskrift om meldeplikt ved utkontraktering

Høring - forslag til forskrift om meldeplikt ved utkontraktering Finanstilsynet Postboks 1187 Sentrum 0107 Oslo Dato: 14.11.2014 Vår ref.: 14-1647 Deres ref.: 14/9445 Høring - forslag til forskrift om meldeplikt ved utkontraktering Det vises til Finanstilsynets høringsbrev

Detaljer

Veiledning i etterlevelse av IKT-forskriften for mindre foretak

Veiledning i etterlevelse av IKT-forskriften for mindre foretak Veiledning i etterlevelse av IKT-forskriften for mindre foretak Kredittilsynet v1.0 01.10.2006 Side 1 av 19 INNLEDNING Med bakgrunn i finansforetakenes økte bruk og avhengighet av IKT, utarbeidet Kredittilsynet

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Elkotek Sikkerhet AS (databehandler) Og ---------------------------------------------------

Detaljer

Cloud og nettsky - IKT-kontrakter og anskaffelser/anbud. Mai 2014

Cloud og nettsky - IKT-kontrakter og anskaffelser/anbud. Mai 2014 Cloud og nettsky - IKT-kontrakter og anskaffelser/anbud Mai 2014 Evas «briller» Advokat, partner i Lynx Advokatfirma DA Arbeider for offentlig sektor og private leverandører Leder i Personvernnemnda Partner

Detaljer

Skytjenester 1, Andre regler for skytjenester enn personvernreglene 2, Eksempel: Narvik

Skytjenester 1, Andre regler for skytjenester enn personvernreglene 2, Eksempel: Narvik Skytjenester 1, Andre regler for skytjenester enn personvernreglene 2, Eksempel: Narvik edocs brukerkonferanse 7. mars 2013 Anne MeEe Dørum, KS Men ærre så nøye a? Det ER nødvendig å vite 1. Hvor står

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0 Evalueringsskjema Foretakets nettbankvirksomhet Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Proff behandling av personopplysninger. Bjørn Erik Thon direktør i Data=lsynet @bjornerikthon personvernbloggen.no

Proff behandling av personopplysninger. Bjørn Erik Thon direktør i Data=lsynet @bjornerikthon personvernbloggen.no Proff behandling av personopplysninger Bjørn Erik Thon direktør i Data=lsynet @bjornerikthon personvernbloggen.no 1 01.11.14 Side 2 01.11.14 Side 3 01.11.14 Side 4 01.11.14 Side 5 01.11.14 Side 6 01.11.14

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

REGIONRÅDET I VÆRNESREGIONEN MØTE 1. DESEMBER 2010 KL. 09.00 15.00 PÅ KIRKEBYFJELLET KONFERANSESENTER I MERÅKER.

REGIONRÅDET I VÆRNESREGIONEN MØTE 1. DESEMBER 2010 KL. 09.00 15.00 PÅ KIRKEBYFJELLET KONFERANSESENTER I MERÅKER. REGIONRÅDET I VÆRNESREGIONEN MØTE 1. DESEMBER 2010 KL. 09.00 15.00 PÅ KIRKEBYFJELLET KONFERANSESENTER I MERÅKER. RAMMEPROGRAM 09:00 09:10 Godkjenning av innkalling og referat fra møte 11.10.10 09:10 10:00

Detaljer

Arkivering i skyen Faggruppe arkiv, Fagforbundets fagdager 2014. 15.00-15.45 onsdag 3. september 2014 Anne Mette Dørum, spesialrådgiver, KS

Arkivering i skyen Faggruppe arkiv, Fagforbundets fagdager 2014. 15.00-15.45 onsdag 3. september 2014 Anne Mette Dørum, spesialrådgiver, KS Arkivering i skyen Faggruppe arkiv, Fagforbundets fagdager 2014 15.00-15.45 onsdag 3. september 2014 Anne Mette Dørum, spesialrådgiver, KS Visjon: En selvstendig og nyskapende kommunesektor Hva er KS?

Detaljer

Mislighetsrisiko ved utkontraktering. NIRF nettverksmøte februar 2008 Lars Erik Fjørtoft og Dag Eidsvik

Mislighetsrisiko ved utkontraktering. NIRF nettverksmøte februar 2008 Lars Erik Fjørtoft og Dag Eidsvik Mislighetsrisiko ved utkontraktering NIRF nettverksmøte februar 2008 Lars Erik Fjørtoft og Dag Eidsvik Agenda Hva innebærer utkontraktering Ansvarsforhold og tiltak Internrevisors rolle og tilnærming Spørsmål

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

Oslo kommune Utdanningsetaten

Oslo kommune Utdanningsetaten Utdanningsetaten P. Reinholdsen Dato: 22.03.2016 Deres ref: Vår ref (saksnr): Saksbeh: Arkivkode: 16/02641-2 Rohan Fininger, 95754230 Innsynshenvendelse etter Offentlighetslova - Konsekvenser ved valg

Detaljer

1.6 Sentrale lover og forskrifter

1.6 Sentrale lover og forskrifter 1.6 Sentrale lover og forskrifter Innledning For Midt-Telemarkkommunenes informasjonssikkerhet gjelder en rekke lover og bestemmelser som blant annet tar sikte på å hindre at noen uten lovlig hjemmel får

Detaljer

Bruk av sporingsteknologi i virksomheters kjøretøy (april 2016)

Bruk av sporingsteknologi i virksomheters kjøretøy (april 2016) Bruk av sporingsteknologi i virksomheters kjøretøy (april 2016) Innhold 1. Innledning... 2 2. Regelverk... 2 2.1. Arbeidsmiljøloven... 2 2.2. Personopplysningsloven... 3 2.2.1. Behandlingsgrunnlag... 3

Detaljer

Skytjenester i skolen

Skytjenester i skolen Skytjenester i skolen NKUL 2012 Tommy Tranvik og Harald Torbjørnsen Agenda 1. Skytjenester fordeler og ulemper 2. Rettslige reguleringer personopplysningsloven med forskrift 3. Praktiske eksempel fra skolesektoren

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010 Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010 Møtedato: 14.-15.12.10 Møtested: Mo i Rana I oppdragsdokumentet 2010 heter det i pkt 8.1.2 Risikostyring og intern kontroll, at styret skal

Detaljer

Avtale mellom. om elektronisk utveksling av opplysninger

Avtale mellom. om elektronisk utveksling av opplysninger Avtale mellom og.. om elektronisk utveksling av opplysninger INNHOLD 1. AVTALENS PARTER 3 2. AVTALENS GJENSTAND OG AVTALENS DOKUMENTER 3 3. HJEMMEL FOR UTLEVERING, INNHENTING OG BEHANDLING AV OPPLYSNINGENE

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer