IT-sikkerheit. - Kviteseid kommune - Forvaltningsrevisjonsrapport nr: Telemark kommunerevisjon IKS

Størrelse: px
Begynne med side:

Download "IT-sikkerheit. - Kviteseid kommune - Forvaltningsrevisjonsrapport nr: 729 007. Telemark kommunerevisjon IKS"

Transkript

1 IT-sikkerheit - Kviteseid kommune - Forvaltningsrevisjonsrapport nr: Telemark kommunerevisjon IKS

2 Innhald Samandrag...iv 1 Innleiing Bakgrunn Problemstillingar Avgrensing Metode Val av metode Kvalitetssikring Er risikoen vurdert ved ein systematisk gjennomgang for å identifisere truslar og etablere tilstrekkelege sikkerheitstiltak? Revisjonskriterium Funn og fakta Revisor sine vurderingar Tilråding Er alle relevante lovar og kontraktmessige krav tydeleg definert og dokumentert for kvart enkelt informasjonssystem? Revisjonskriterium Funn og fakta Revisor sine vurderingar Tilråding Er kommunen sin sikkerheitsstrategi, -mål og aktivitetar reflektert i verksemda sine mål?...10 a) Har leiinga utarbeidd eit overordna dokument for kommunen sin sikkerheitsstrategi? Revisjonskriterium Funn og fakta Revisor sine vurderingar Tilråding...12 b) Er det klare ansvars og myndeforhold? Revisjonskriterium Funn og fakta Revisor sine vurderingar Tilråding...13 c) Er det etablert sikkerheitstiltak? Revisjonskriterium Funn og fakta Revisor sine vurderingar Tilråding...18 Telemark kommunerevisjon IKS ii

3 d) Er det etablert sikkerheit i høve til tredjepartar? Revisjonskriterium Funn og fakta Revisor sine vurderingar Oppsummering og totalkonklusjon...19 Litteratur og kjeldereferansar...20 Vedlegg...22 Telemark kommunerevisjon IKS iii

4 Samandrag Rapporten IT-sikkerheit er gjennomført som forvaltningsrevisjon og er ein del av vedtatt plan for forvaltningsrevisjon Bakgrunnen for prosjektet er at kommunen hadde eit innbrot der mellom anna edb-utstyr blei stole. Formålet med prosjektet er å undersøke om sikkerheita omkring IT er tilstrekkeleg god. Prosjektet kan medverke til at eventuelle manglar i systemet blir avdekka. Vi har med bakgrunn i bestillinga utforma ei overordna problemstilling: Har kommunen etablert tilfredstillande IT-sikkerheit, ved at informasjonen er sikra konfidensialitet, integritet og tilgjengelegheit? Den overordna problemstillinga blei delt i fleire underproblemstillingar. Problemstillingane er basert på NS-ISO/IEC (Informasjonsteknologi: administrasjon av informasjonssikkerhet) og er ein standard fastsett av Norges Standardiseringsforbund. Revisor har i all hovudsak henta inn opplysningar gjennom intervju og dokumentanalyse. Vi har hatt intervju med IT-ansvarlege i Kviteseid, Tokke og Vinje kommunar. Vi har og intervjua systemansvarlege for IT-systema i Kviteseid kommune, samt ein medarbeidar i Nissedal kommune. Våre undersøkingar viser at konfidensialiteten er delvis sikra. Det vil seie at det manglar overordna sikkerheitsdokument, at det til dels er uklare myndeforhold og at det ikkje er avviksrapportering. Men det er gode tilgangskontrollar og tryggleiken i samband med underleverandørar er tilstrekkeleg. Kontraktsmessige krav er overhalde, men vi meiner at ansvarsdelinga i samband med pliktig melding til datatilsynet er noko uklar. Integriteten er delvis sikra. Manglande overordna sikkerheitsdokument og avviksrapportering gjer at vi ikkje kan konkludere med at integriteten heilt ut er sikra. Tilgjengelegheita er delvis sikra. Det vil seie at det manglar overordna sikkerheitsdokument, risikovurderingane er ikkje dokumentert og den fysiske sikringa er ikkje tilstrekkeleg. Derimot er rutinar for sikkerheitskopiering og samarbeid med underleverandørar god. Vår konklusjon er derfor at kommunen delvis har etablert tilfredstillande IT-sikkerheit, men bør utvikle overordna dokument for IT-sikkerheit. Samarbeid med andre kommunar gjev god utnytting av knappe ressursar, både med tanke på økonomi og kompetanse. Telemark kommunerevisjon IKS iv

5 Vi har følgjande tilrådingar til kommunen: Kommunen bør utarbeide ei risikovurdering for dei einskilde fagapplikasjonar som kommunen nyttar i si sakshandsaming. I dokumentasjonen bør det kome fram eit resultat av vurderinga som samsvarer med gjeldande krav/reglar og kva som er akseptabel risiko. Kommunen bør samtidig utarbeide ei rutine for når ei risikovurdering skal gjennomførast. Kommunen bør utarbeide eit overordna dokument som inneheld sikkerheitsmål, strategi og organisering. Dokumentet bør og innehalde beredskapsplanar som dekker katastrofesituasjonar. Kommunen bør utvikle rutinebeskrivingar som er tilpassa IT-systemet i eigen kommune. Serverrom bør sikrast slik at det blir brannsikkert. Kommunen bør utarbeide ei fullstendig oversikt over fagsystema som synar kva slags lovheimel for sakshandsaming den einskilde sektor nyttar, om det trengs konsesjon eller melding, type lisens og tal på brukarar. Kommunen bør og avklare om meldeplikta til datatilsynet er overhalde. Kommunen bør klargjere ansvarsfordelinga/oppgåvefordelinga i kommunen. Dei tilsette bør delta i prosessar med omlegging/val av nye system. Skien, 4. mars 2008 Telemark kommunerevisjon IKS Alf Olav Uldal forvaltningsrevisor Marianne Rogn revisor Telemark kommunerevisjon IKS v

6 1 Innleiing Rapporten IT-sikkerheit er gjennomført som forvaltningsrevisjon. Heimel for forvaltningsrevisjon er gjeve i kommunelova 77 nr. 4, med nærare vilkår i forskrift om kontrollutval kap. 5 og forskrift om revisjon kap Dette prosjektet er gjennomført etter vedtatt plan for forvaltningsrevisjon Rapporten blir oversendt kontrollutvalet som vidare skal gje rapport til kommunestyret om kva for forvaltningsrevisjonar som er gjennomført og om resultata av desse, jf. forskrift om kontrollutval 11, og forskrift om revisjon Bakgrunn Bakgrunnen for prosjektet var at kommunen hadde eit innbrot der mellom anna edb-utstyr blei stole. Formålet med prosjektet er å undersøke om sikkerheita omkring IT er tilstrekkeleg god. Prosjektet kan medverke til at eventuelle manglar i systemet blir avdekka. 1.2 Problemstillingar Vi har med bakgrunn i bestillinga utforma ei overordna problemstilling: Har kommunen etablert tilfredstillande IT-sikkerheit, ved at informasjonen er sikra konfidensialitet, integritet og tilgjengelegheit? For å kunne svare på dette spørsmålet, har vi utforma følgjande problemstillingar: 1) Er risikoen vurdert ved ein systematisk gjennomgang for å identifisere truslar og etablere sikkerheitstiltak? 2) Er alle relevante lovar og kontraktmessige krav tydeleg definert og dokumentert for kvart enkelt informasjonssystem? 3) Er kommunen sin sikkerheitsstrategi, -mål og aktivitetar reflektert i verksemda sine mål? a) Har leiinga utarbeidd eit overordna dokument for kommunen sin sikkerheitsstrategi? b) Er det klare ansvars og myndeforhold? c) Er det etablert sikkerheitstiltak? d) Er det etablert sikkerheit i høve til tredjepartar? I denne forvaltningsrevisjonsrapporten er revisjonskriteria satt opp for kvar problemstilling og dei kan i mange tilfelle oppfattast som overlappande. Problemstillingane er basert på NS-ISO/IEC (Informasjonsteknologi: administrasjon av informasjonssikkerhet) og er ein standard fastsett av Norges Standardiseringsforbund. 1.3 Avgrensing Prosjektet er tidsmessig avgrensa til Vi har ikkje evaluert dei einskilde tekniske løysingane, men har vald å sjå korleis rutinar og styrande dokument kring IT fungerar. 1 Jf. forskrifter av 15. juni Telemark kommunerevisjon IKS 1

7 2 Metode 2.1 Val av metode Før arbeidet starta, hadde vi møte med økonomisjef og IT-ansvarleg i kommunen for å innhente bakgrunnsinformasjon og faktaopplysningar, og orientere nærare om gjennomføringa av prosjektet. Revisor har i all hovudsak henta inn opplysningar gjennom intervju. Vi har hatt intervju med IT-ansvarlege i Kviteseid, Tokke og Vinje kommunar. Vi har og intervjua systemansvarlege for IT-systema i kommunen sektorleiar helse og oppvekst (per telefon og e-post), sosialleiar, einingsleiar heimetenesta, arkivansvarleg, systemansvarleg for Profdoc og Winmed helse. Vi har og snakka med medarbeidar i Nissedal kommune som er ansvarleg for lønssystemet i Kviteseid kommune. På førehand utarbeida vi intervjuguidar 2 for å standardisere spørsmåla, sjå vedlegg 1. Intervjua blei likevel gjennomført slik at kvar einskild respondent 3 kunne koma med tilleggsopplysningar. Styrken ved denne intervjuforma er at ein held seg til tema og får ein viss struktur i intervjuet, samtidig som det opnar for individuelle skilnader. Vi har hatt ein generell gjennomgang av aktuelle dokument i saka for å innhente naudsynte opplysningar. Dette gjeld interne dokument som til dømes retningsliner og relevant regelverk. Vi har inspisert serverrom og andre rom der data blir handsama og lagra i Kviteseid, Tokke og Vinje kommunar. 2.2 Kvalitetssikring Rapporten er sendt til Kviteseid kommune v/ rådmannen som ei kvalitetssikring i høve til faktaopplysningar og som ein moglegheit for administrasjonen til å gje kommentarar til innhaldet før politisk handsaming. Kommentarane frå rådmannen følgjer rapporten som vedlegg 6. Revisjonen sin kommentar til attendemeldinga frå administrasjonen: Vi baserte det vi skreiv i bakgrunnen for revisjonen på kva som stod i bestillinga frå kontrollutvalet. Vi har likevel forandra på ordlyden slik at den er i samsvar med administrasjonen sine ønskjer, og slik at det ikkje blir nokon mistydingar. 2 Hugseliste over tema som skal tas opp i eit intervju 3 Deltakar i ei spørjeundersøking/intervju Telemark kommunerevisjon IKS 2

8 3 Er risikoen vurdert ved ein systematisk gjennomgang for å identifisere truslar og etablere tilstrekkelege sikkerheitstiltak? Risikovurdering er utgangspunktet for eitkvart arbeid med å sikre tryggleiken. Det er ein føresetnad for å avdekkje sårbare punkt og setje i verk sikringstiltak. Formålet med risikovurdering er å undersøke hvorvidt den risiko som avdekkes er innenfor de akseptkriterier virksomheten har fastlagt. Risikovurderingen danner grunnlag for iverksetting av nødvendige sikkerhetstiltak, og inngår i underlaget for ledelsens gjennomgang av informasjonssystemet og informasjonssikkerheten. 4 Nokre opplysningar i datasystemet krev særskilde sikringstiltak, som til dømes personopplysningar. Jf. personopplysningsloven 5 13, 1.ledd står det: Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Jf. 2-4, 2. og 5. ledd: Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal dokumenteres. Risiko kan målast i to storleikar: kor sannsynleg det er at noko skjer og kva slags konsekvensar denne hendinga kan få. Ei risikovurdering skal resultere i: - oversikt over identifiserte truslar - vurdering av kor sannsynleg det er at ei uønska hending skal skje - vurdering av konsekvensar av ei uønska hending - vurdering av kva slags effekt sikkerheitstiltaka vil ha i høve til risiko - vurdering av kva slags sikkerheitstiltak kommunen treng for det einskilde informasjonssystem Ei risikovurdering skal vere eit styringsreiskap for den som har ansvaret for informasjonstryggleiken. 3.1 Revisjonskriterium Det bør vere dokumentasjon på at det er utført ei systematisk risikovurdering. Risikovurderinga skal beskrive risiko som vert avdekka og samanlikne dette med det som er definert som akseptabelt risikonivå. Restrisiko skal handterast ved hjelp av sikkerheitstiltak, anten for å redusere konsekvensane eller sannsynet for uønska hendingar. Revisjonskriterium er ei samlenemning på reglar og normer som gjeld innafor det området som blir undersøkt. Kriteria ligg til grunn for dei vurderingar og konklusjonar som vert gjort. 3.2 Funn og fakta Kviteseid kommune har ikkje utarbeidd eit eige dokument for vurdering av risiko og vurdert kva som er akseptabel risiko for dei einskilde fagapplikasjonane. Kommunen har heller ikkje 4 Datatilsynet, Veiledning i informasjonssikkerhet for kommuner og fylker, Datatilsynet 5 Lov nr. 31 om behandling av personopplysninger Telemark kommunerevisjon IKS 3

9 utarbeidd beredskapsplanar der IT-tryggleik er integrert. I dokumentet Datasikkerhet rutinebeskrivelser 6 er det eit eige punkt som omhandlar driftsavbrot, men retningslinene dekkjer ikkje katastrofesituasjonar og er heller ikkje tilpassa eigen kommune. Kva slags tryggingstiltak kommunen og deira underleverandørar har sett i verk blir omtala under punkt 5 c. Det er utarbeidd dokumentasjon på sikkerheitsløysingar i kommunen sitt nettverk. Dokumentasjonen er frå Om det seinare er gjort endringar som kan ha konsekvensar for dokumentasjonen og som burde vore innarbeidd, veit vi ikkje. I vedtekter (samarbeidsavtale) for samarbeid om drift av datasystem mellom kommunane Vinje, Tokke og Kviteseid står det at: Ein skal leggje vekt på å samordne og utnytte ressursar, dele kunnskapar og sikre datatryggleiken i samsvar med gjeldande regelverk (personopplysningslova, kommunelova, arkivlova og Datatilsynets retningslinjer m.m.) Det er i tilknyting til samarbeidet utpeika eit styre der rådmannen frå kvar kommune eller den rådmannen peiker ut, sit. Styret sitt mandat er i høve til avtala. Vedtak som går lengre enn mandatet må godkjennast av dei respektive kommunestyra. I tillegg til organisering og mandatet i avtala, beskriv avtala deltakarkommunane sitt ansvar, praktisk oppgåveløysing, fordeling av kostnader, oppløysing av samarbeidet m.m. Kommunen tek i bruk ein ny applikasjon, Profil, innanfor pleie- og omsorgssektoren. Fagsystemet vil innehalde sensitive personopplysningar. Det er ingen skriftleg dokumentasjon på kva slags personopplysningar som vil bli lagt inn, men vi fekk opplyst at det vil vere nødvendig å legge generelle helseopplysingar inn i systemet. I dokumentet Datasikkerhet rutinebeskrivelser er det retningsliner for klassifisering av personopplysningar. Retningslinene kan nyttast utan særskild tilpassing for kommunen. Det er heller ikkje utarbeidd risikovurdering for dette fagsystemet. Kommunen har og tatt i bruk ein ny versjon av applikasjonen ephorte. Versjonen gjev tilgang til elektronisk arkivering. Det inneber at det ikkje lenger er nødvendig å arkivere dokument i papirversjon, dvs. ei vesentleg endring frå tidlegare versjonar. Det er ikkje gjennomført ei ny risikovurdering ved implementering av denne nye versjonen. 3.3 Revisor sine vurderingar Omgrepet IKT-tryggleik byggjer på desse tre basiseigenskapane: - Integritet at systemet er sikra mot manipulering med systemets funksjon og informasjon. - Tilgjengelegheit at systemet er sikra mot avbrot i den forventa funksjonen og at systemet har tilgang til nødvendig datainnhald. - Konfidensialitet at systemets funksjon og datainnhald er sikra mot innsyn. Tilfeldig svikt eller eit tilsikta angrep mot informasjonen innan ein infrastruktur, vil bestå av eit sett med verkemiddel retta mot ein eller fleire av desse eigenskapane. 7 6 Seltveit, G., Datasikkerhet - rutinebeskrivelser, Tokke kommune 7 Stortingsmelding nr. 17 ( ) Eit informasjonssamfunn for alle, Stortinget, side 146 Telemark kommunerevisjon IKS 4

10 Kva slags truslar kan ein kommune bli utsett for? Trusselbiletet kan vere omfattande med tanke på angrep og andre uønska hendingar. Angrep frå internett er lett å sjå for seg og ofte er desse angrepa ikkje retta mot nokon spesielle mål. Det gjeld til dømes virus, ormar, spionprogram og phishing. 8 Desse søkjer automatisk etter system som er dårleg sikra. Det er difor ingen grunn til å tru at ein liten kommune ikkje kan blir råka av eit slikt angrep. Antivirusprogram, brannmurar og snokvarslingssystem er verktøy som ofte blir nytta for å hindre slike angrep. Dokumentasjonen som er utarbeidd for kommunen sitt nettverk i 2005 er kan hende tilstrekkeleg, men det er avhengig av om det berre har vore mindre endringar i ettertid. Har det vore større endringar burde dokumentasjonen vore gjennomgått og oppdatert. Andre truslar som tjuveri, brann og vasslekkasjar kan føre til både driftsavbrot og at informasjon kjem på avvege. Kven kan vere interessert i den informasjonen som ligg i systemet? Kva slags tilfeldige svikt kan vi sikra oss mot og kor lenge kan vi tole eit avbrot? I ei vurdering av risiko bør kommunen skildre dei uønska hendingane som kan skje og kor sannsynleg det er at det skjer. Tekniske løysingar aleine er ikkje alltid godt nok for å sikra seg mot uønska hendingar. Kanskje må ei eller anna form for overvaking til, slik som gjennomgang av tryggingsloggar. Ei vurdering av kor sannsynleg det er at dette kan skje heng samen med nødvendige tryggingstiltak og eventuell beredskapsplan. Dette bør vere beskrive i eit dokument. Det kan og vere aktuelt å utarbeide ein beredskapsplan for å klargjere kva som må til for å gjenopprette drift av nettverk og kva slags fagsystem som fyrst vert prioritert. Personopplysingslova inneheld reglar om informasjonssikring og internkontroll. Leiinga er ansvarleg for å etterkomme sikkerheitskrava. Internkontrollbestemmelsen i 14 innebærer en plikt for den behandlingsansvarlige til å vurdere om det er behov for iverksette tiltak for å oppfylle de krav til behandlingen av personopplysninger som er fastsatt i eller i medhold av lov. Tiltakene skal være planlagte, dvs. de må foreligge på forhånd, primært før behandlingen starter. Tiltakene skal videre være systematiske, noe som innebærer at de skal være resultat av en helhetlig tilnærming og ikke ha karakter av å være tilfeldige. Tiltakene skal ikke minst være dokumenterte, dvs. de må foreligge i en form som gjør det mulig å tilegne seg kunnskap om dem (skrift, tegning, bilder m.v.). 9 Det same gjeld i høve til helseregisterlova. 10 I faktaark 7 11 heiter det; Virksomhetens ledelse er ansvarlig for å gjennomføre risikovurdering av behandling av helse- og personopplysninger. Risikovurdering skal gjennomføres før behandling av helse- og personopplysninger startes, og ved endringer av behandlinger som kan påvirke sikkerheten. I dette faktaarket finn vi mellom anna tilrådingar om korleis risikovurdering av personopplysningar bør gjennomførast. Å gjennomføre ei risikovurdering 12 er ein aktivitet som er avhengig av tilhøva, dvs. at arbeidet settast i gang ved behov. Da kommunen vedtok å innføre eit nytt databasert program innan pleie- og omsorg burde arbeidet med å dokumentere vurdering av risiko starta forholdsvis tidleg. Ved innføring av ny programvare eller versjonar som er vesentleg endra, vil kommunen sannsynlegvis dra nytte av samarbeidsavtala dei har med andre kommunar slik 8 Sjå vedlegg 2 for forklaring av omgrep. 9 Schartum, D.W Lov om behandling av personopplysninger, Lov og rett, s Lov nr 24 om helseregistre og behandling av helseopplysninger, kapittel Sosial- og helsedirektoratet, Norm for informasjonssikkerhet i helsesektoren, Sosial- og helsedirektoratet 12 Sjå vedlegg 4 for døme på skjema for risikovurdering.. Sosial- og helsedirektoratet, Norm for informasjonssikkerhet i helsesektoren, (støttedokument) Faktaark nr. 7: Risikovurderinger, Sosial- og helsedirektoratet Telemark kommunerevisjon IKS 5

11 at arbeidet med dokumentasjonen blir så effektiv som mogleg. Vi meiner at dette samarbeidet og bør kunne utnyttast for å få på plass manglande og pliktig dokumentasjon. 3.4 Tilråding Kommunen bør utarbeide ei risikovurdering for dei einskilde fagapplikasjonar som kommunen nyttar i si sakshandsaming. I dokumentasjonen bør det kome fram eit resultat av vurderinga som samsvarer med gjeldande krav/reglar og kva som er akseptabel risiko. Kommunen bør samtidig utarbeide ei rutine for når ei risikovurdering skal gjennomførast. 4 Er alle relevante lovar og kontraktmessige krav tydeleg definert og dokumentert for kvart enkelt informasjonssystem? Kva slags lovar som er relevante er avhengig av kva slags informasjon som skal handsamast. Personopplysningar skal handsamast i samsvar med personopplysningslova og evt. Helseregisterlova, jf forskrift om behandling av personopplysningar 2-4, 1. ledd, 1.setning står det: Det skal føres oversikt over hva slags personopplysninger som behandles. Om kommunen treng konsesjon på einskilde elektroniske personopplysningsregister må vurderast i kvart enkelt høve. Nokre elektroniske register kan opprettast med heimel i lov, som til dømes sosialtenestelova og kommunehelsetenestelova. Kommunen har i alle høve meldeplikt til Datatilsynet når kommunen opprettar eit elektronisk register med heimel i lov. Jf. forskrift om behandling av personopplysninger 3-1, 3.ledd bokstav f, skal kommunen ha rutinar for oppfylling av sine plikter i samband med personopplysningslova sine reglar om melde- og konsesjonsplikt. Kontraktsmessige krav er mellom anna krav i samband med opphavsrett og grense for kopiering av proprietært 13 materiell. Til vanleg blir proprietære programvareprodukt 14 levert med ein lisensavtale. Kontraktsmessige krav kan og vere krav i samband med avtala kommunen har med sine underleverandørar, til dømes om leverandøren si teieplikt. 4.1 Revisjonskriterium Det bør vere dokumentasjon som viser ei oversikt over kva slags opplysningar som blir handsama i det einskilde datasystem og kva slags lovar som er knytt til opplysningane. I samband med oversikta bør det vere ei vurdering av om det er krav til konsesjon eller melding til Datatilsynet for behandling av dei opplysningar som kan finnast i datasystemet. Det bør vere dokumentasjon på at kommunen sitt datasystem/programvare er i samsvar med aktuell lisensavtale, konsesjonsplikt eller meldeplikt. 13 Eit format som ikkje er fritt, men som er eigd av eit selskap ved at selskapet eig spesifikasjonen av formatet og kontrollerar den vidare utviklinga av det, kallast proprietært. 14 Systemprogramvare omfattar mellom anna operativsystemet, drivarar, og anna som er nødvendig for å kunne køyre applikasjonar. Telemark kommunerevisjon IKS 6

12 4.2 Funn og fakta Kommunen har fleire applikasjonar 15 som dei nyttar i si sakshandsaming som inneheld opplysningar som ikkje kan gjerast offentlege. I nokre applikasjonar ligg det og sensitive personopplysningar. Det var ikkje utarbeidd ein fullstendig oversikt over kva slags applikasjonar kommunen nyttar, men på vår førespurnad blei det laga ei oversikt over kva slags fagsystem kommunen nyttar og kven som hadde ansvaret for dei. Applikasjonen Profdoc blir nytta av legekontoret. Applikasjonen på helsestasjonen heiter Winmed helse. Profil er ein applikasjon som blir nytta av pleie og omsorg, og sosialtenesta nyttar Velferd. Alle desse applikasjonane er lagt i ei lukka sone og kan innehalde sensitive personopplysningar. 16 Andre applikasjonar som til dømes Ephorte sak/journal og Agresso økonomi og lønn ligg i ei open sone. Desse applikasjonane kan innehalde personopplysningar, men bør ikkje innehalde sensitive personopplysningar. Ephorte sak/journal kan likevel innehalde sensitive personopplysningar i følgje arkivansvarleg. Tabell 1 viser ein oversikt over dei fagsystema kommunen nyttar i sakshandsaminga. Tab. 1:Oversikt over fagsystem nytta i lokal sakshandsaming Fagsystem som er nytta i den lokale sakshandsaminga Konsesjonsplikt eller meldeplikt Sensitive personopplysningar Open eller lukka sone Intern eller ekstern server 17 Ephorte sak journal Uklart O E Agresso økonomi Nei O E Skatt Nei O E Kartsystem Nei O E Kommunegab Nei O E Norkap Nei O E Profdoc Ja Ja L I Winmed helse Ja Ja L I Profil Ja Ja L E Velferd Ja Ja L E Det er uklart kven som har ansvaret for at det blir gjeve melding til datatilsynet når applikasjonar som kan innehalde sensitive personopplysningar blir tatt i bruk. Det er og uklart om slik melding er gjeve for dei applikasjonar som kan innehelde sensitive personopplysningar og som allerede er i bruk. Active Direktory Design er eit dokument som syner korleis ein datamodell for implementering av intern og sikker sone er nytta i same server. Dokumentet syner og kven som har opphavsretten. Dokumentet er basert på Microsoft Best Practice og tilfredsstiller krav og tilrådingar frå Datatilsynet. Dokumentet skildrar administrasjon, design, nettverkstenester, 15 Applikasjon er ei programvare som nyttar seg av datamaskina sine ressursar til ei oppgåve som brukaren ønskjer utført. 16 Sjå vedlegg 2 for definisjon på sensitive opplysninger. 17 Omgrepet tener/server er ofte brukt om maskinvara som programmet (eller programma) køyrast frå. Til dømes kan ein og same datamaskin tilby fleire tenester samtidig, om maskina har kapasitet til å utføre alle oppgåvene. Telemark kommunerevisjon IKS 7

13 namnestandard, sameksistens med andre tenester og operativsystem, printerløysingar og diverse sikkerheitsløysingar. Dokumentet er å oppfatte som kommunen sin standard. Det er ikkje utarbeidd ei samla oversikt over applikasjonar med lisensar, tal på brukarar og om lisensen gjeld absolutte brukarar eller samtidige brukarar. I følgje sektorleiar har Profil 95 brukarar, Profdoc 10 brukarar, Winmed helse 3 brukarar og Velferd 3 brukarar. På terminalserver er det installert 20 stk CAL lisensar, jf. Ny løsning i sikker sone utarbeidet av Itum system i Talet på lisensar er installert med bakgrunn i utskifting av legar og at tilgangen til legar som sluttar i kommunen ikkje blir sletta frå applikasjonen. Fleire aktiverte lisensar er dokumentert, jf. Terminalserver utarbeidd av Itum system i IT-ansvarleg gjorde oss merksam på at det kan vere knytt restriksjonar til einskilde dokument i samband med kopiering. Itum system AS har copyright på dokument som skildrar deira installasjon av terminalserver (Citrix02). Rapporten Active Direktory Design har avgrensa rettar, dvs. dokumentet kan ikkje seljast eller nyttast kommersielt utan skriftleg avtale. Datamodellen og dokumentasjonsmalen er beskytta av åndsverklova. Driftsavtalane mellom Tokke og Kviteseid kommunar på programma Profil og Velferd pålegg Kviteseid kommune å ha nødvendige bruksrettar. Rettane skal vere dokumentert. 4.3 Revisor sine vurderingar Kommunen må sjølv vurdere når behandlinga av personopplysningar er meldepliktige og når behandlingar er konsesjonspliktige. Datatilsynet gjev rettleiing i når kommunane må søke konsesjon eller gje melding i samband med personopplysningar. Konsesjonsplikten gjelder for elektronisk behandling av sensitive opplysningar. Meldeplikten gjelder for elektronisk behandling av ikke-sensitive personopplysninger. Kommunene har unntak fra konsesjonsplikt for behandlinger av personopplysninger som har hjemmel i egen lov. Når behandlingen er unntatt konsesjonsplikt, skal den meldes til Datatilsynet i stede. 18 Datatilsynet har i samband med rettleiinga gjeve ut ei liste med nokre eksempel over kva slags etatar/verksemder i kommunen som har fritak frå konsesjon med heimel i lov, sjå tabell 2. Tabell 2: Datatilsynet si liste over kva slags lovheimel som berre krev melding. Lista er ikkje uttømmande. Etat/verksemd Heimel i lov Barnevern Barnevernlova 3-1(jf. kap. 4) Sosialtenesten Sosialtenestelova 2-1 (jf. kap. 4, 5 og 6) Rusmiddeletaten Sosialtenestelova kap. 6 PP-tenesten Opplæringslova 13-5, 1.ledd, jf. 5-6 Familievernkontor Familievernkontorlova 11, jf. Kontantstøtte-register: Kommunen sitt register over barn som oppfyller vilkåra for kontantstøtte. 1 Barnehagelova 8a 18 Datatilsynet, Konsesjons- eller meldeplikt for kommunene (artikkel), Datatilsynet Telemark kommunerevisjon IKS 8

14 Kommunehelsetenesta sine behandlingsretta register Helsepersonellova 26 og 39 (journal)/pasientadministrasjon innan ramma av helsepersonellova 26. Unntaket frå konsesjonsplikta gjeld berre så langt behandlingane skjer innanfor ramma i dei einskilde lovane. Med bakgrunn i informasjon vi har motteke, antek vi at kommunen ikkje har tilstrekkeleg oversikt over kva slags personopplysningar dei handsamar. Vi kan heller ikkje stadfeste at meldeplikta til Datatilsynet er overhalde. Dei fleste programvarene i kommunen er lisensbaserte. Ei lisensavtale er eit bevis på at kommunen har rett til å bruke programvara. Nokre av lisensavtalane har krav om tal på brukarar av programvara, anten samtidige brukarar eller absolutte brukarar. Kommunen bør difor ha ei oversikt over kor mange brukarar det er som har tilgang til programvara. Visst det er krav til absolutte brukarar av ei programvare, bør den dataansvarlege anten nekte å gje tilgang til fleire brukarar eller utvide lisensen for tal på brukarar. Det siste kan føre til auka lisenskostnader. Vi har ikkje gått gjennom kommunen sine lisensavtaler, men meiner på bakgrunn av den informasjon vi har motteke, at kommunen har nødvendige lisensar for deira datasystem/programvarer. Det synast som at kommunen er klar over og tek omsyn til opphavsrettar, både når det gjeld programvare og når det gjeld dokument. På bakgrunn av dette kan vi konkludere med at kommunen overheld kontraktsmessige krav, men vi tilrår likevel at kommunen utarbeider ei fullstendig oversikt over lisensavtaler og brukarar. Dette kan også lette arbeidet med administrasjonen av avtalene. 4.4 Tilråding Kommunen bør utarbeide ei fullstendig oversikt over fagsystema som synar kva slags lovheimel for sakshandsaming den einskilde sektor nyttar, om det trengs konsesjon eller melding, type lisens og tal på brukarar. Kommunen bør avklare om meldeplikta til datatilsynet er overhalde. Telemark kommunerevisjon IKS 9

15 5 Er kommunen sin sikkerheitsstrategi, -mål og aktivitetar reflektert i verksemda sine mål? Følgjande gjeld generelt for problemstilling 5a, 5b, 5c og 5d: Kva som er kommunen sin politikk når det gjeld informasjonstryggleik bør vere kjent for alle tilsette i kommunen. Kommunen bør utarbeide klare retningsliner for informasjonssikkerheit. Handsaminga av personopplysningar er for kommunar regulert i personopplysningslova og helseregisterlova, der høvesvis 13 og 16 stiller krav til sikring av personopplysningar. Den som har ansvaret for handsaming av opplysningane er normalt representert ved administrativ leiing. Ansvaret inneber og at det settast av tilstrekkelege ressursar, både med tanke på personell og økonomi, slik at tilfredsstillande informasjonstryggleik vert oppretthalde. Samarbeid mellom partar og leige av personell som utfører oppgåver kommunen ikkje kan utføre sjølve, bør vere regulert i ei avtale. Gjennom arbeidet med risikovurdering bør kommunen dokumentere kva slags tryggingstiltak som er gjennomført og kva slags tryggingstiltak som bør gjennomførast. Det er verksemda si leiing som har ansvaret for utarbeiding av ei risikovurdering. Leiinga har og ansvaret for at det gjennomførast sikkerheitsrevisjon kvart år. Formålet med sikkerheitsrevisjon er å sikre at vedtekne sikkerheitsmål, -strategiar og organisering vert følgd. Resultatet av revisjonen dannar grunnlaget for eventuelle endringar. Informasjonssystemet skal nyttast i samsvar med faste rutinar. I den grad det er nødvendig for å oppnå tilfredsstillande informasjonstryggleik, skal det vere skriftlege rutinar for bruk, drift og vedlikehald av det einskilde utstyr eller program. Dette for å sikre at alle aktivitetar som er viktige for tryggleiken gjennomførast og at arbeidsoppgåvene blir utført likt kvar gong. Rutinane skal ha ein detaljeringsgrad som er tilpassa kommunen sitt behov og skal vise: - ansvar for at arbeidsoppgåva blir utført - ansvar for utarbeiding og vedlikehald av rutinen - tidspunkt for utføring av arbeidsoppgåva - kva slags aktivitet som skal gjennomførast - kva slags resultat ein skal oppnå og korleis dette blir rapportert i organisasjonen a) Har leiinga utarbeidd eit overordna dokument for kommunen sin sikkerheitsstrategi? 5.1 Revisjonskriterium Val og prioriteringar i sikkerheitsarbeidet skal kome fram i eit strategidokument. Kommunen skal utarbeide mål for informasjonssikkerheita. Sikkerheitsmåla skal mellom anna vise overordna krav til konfidensialitet, integritet og tilgjengelegheit for personopplysningar. Sikkerheitsmåla skal ta utgangspunkt i lovpålagte krav til informasjonssikkerheit. Kravet til kommunen om utarbeiding av skriftlege strategidokument finn vi i personopplysningsforskrifta , 2. og 3.ledd kor står det at: 19 Forskrift: nr om behandling av personopplysninger Telemark kommunerevisjon IKS 10

16 Formålet med behandling av personopplysningar og overordna føringar for bruk av informasjonsteknologi, skal beskrives i sikkerheitsmål. Val og prioriteringar i sikkerheitsarbeidet skal beskrives i ein sikkerheitsstrategi. I same forskrift 2-5, 1. og 2.ledd står det at: Sikkerheitsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkehetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Og i 5.ledd: Resultatet av sikkerhetsrevisjon skal dokumenteres. 5.2 Funn og fakta Kommunen har ikkje utarbeidd eit overordna (strategi-)dokument der IT-sikkerheit er inkludert. I følgje IT-ansvarleg brukar kommunen same sikkerheitsdokument som Tokke kommune brukar. Dette er ei beskriving av rutinar og kan ikkje sjåast som eit overordna dokument. Det er ikkje tilpassa Kviteseid kommune og er ikkje vedtatt av kommunestyret. Dokumentet er ikkje distribuert/publisert på intranett, og viktige rutinar som avviksbehandling, sikker sletting av informasjon på elektronisk format og viruskontroll er derfor ikkje kjent for alle tilsette. Dokumentet seier ikkje noko om kva for målsettingar, val og prioriteringar kommunen har gjort i sin IT-strategi. Det seier ikkje noko om eventuelle beredskapsplanar. Det er skissert retningsliner for eigenkontroll og sikkerheitsrevisjon. Gjennom våre kontrollar kan vi ikkje sjå at slike rutinar vert etterlevd i praksis. 5.3 Revisor sine vurderingar Sikkerheitsstrategien gjev premissane for kva som er akseptabel risiko i kommunen. Kva som er akseptabel risiko og om dei valde tryggleikstiltaka gjev tilfredsstillande sikkerheit skal kome fram gjennom risikovurderingane, jf. punkt 3.1. Sikkerheitsstrategien bør vedtas av kommunestyret. I følgje forskrifta skal dei vala og prioriteringane som kommunen gjer, kome fram i ein sikkerheitsstrategi. Dette er eit viktig dokument som må vedtas og handsamast av kommunen si øvste administrative leiing og bør vere i samsvar med politiske avgjerder. Formålet med beredskapsplanlegging er å sikre nødvendig handsaming av opplysningar ved avbrott i normal drift. I riksrevisjonen si undersøking står det: Undersøkelsen viser videre at oppdaterte beredskapsplaner for IT-systemer bare foreligger i et mindre antall virksomheter i statlig, kommunal og privat sektor. 20 Det er like fullt viktig for kommunen å ha ein plan visst ein katastrofesituasjon skulle oppstå. Det er viktig at strategidokumentet reviderast jamleg og oppdaterast på område som ikkje fungerar optimalt. Innanfor IT- sektoren vil det vere ei stadig utvikling med nye utfordringar som bør inkorporerast i dokumentet. 20 Riksrevisjonen, Dokument nr. 3:4 ( ) Riksrevisjonens undersøkelse av myndighetenes arbeid med å sikre IT-infrastruktur, Riksrevisjonen, s. 15 Telemark kommunerevisjon IKS 11

17 5.4 Tilråding Kommunen bør utarbeide eit overordna dokument som inneheld sikkerheitsmål, strategi og organisering. Dokumentet bør også innehalde beredskapsplanar som dekker katastrofesituasjonar. b) Er det klare ansvars og myndeforhold? 5.5 Revisjonskriterium Kommunen må etablere klare ansvars- og myndeforhold slik at det kjem klart fram kven som har fått delegert kva slags oppgåver. 21 Dette bør vere dokumentert slik at dei tilsette kjenner og følgjer faste rutinar for bruk av informasjonssystemet, og gjennomføring av dei tryggingstiltaka den tilsette sjølv er ansvarleg for. Same gjeld og for tilsette og personell som er leigd inn for å utføre drift og vedlikehald, dvs. at dei utfører arbeidet i samsvar med faste rutinar. Ansvaret for utarbeiding av rutinar kan delegerast til den som er best kjent med arbeidsoppgåvene. I følgje datatilsynet 22, kan døme på organisatoriske tiltak vere å etablere klare ansvars- og myndeforhold i organisasjonen, sørgje for tilfredsstillande kompetanse blant dei tilsette, og bare gje tilgang til personopplysningar i den grad det er nødvendig for å utføre pålagte oppgåver. Det bør lagast rutinar for korleis tiltaka skal evaluerast. Arbeidsdeling er eit av dei viktigaste tiltaka ein kan gjere for å motverke mislighald. 23 Det er og viktig å ha klare ansvarsliner slik at alle leiarar og medarbeidarar veit kven som har ansvaret for dei forskjellige funksjonane. 5.6 Funn og fakta På førespurnad utarbeidde IT-ansvarleg ein oversikt over kva slags IT-system kommunen har og kven som er ansvarlege for dei, jf Oversikta viser ikkje ansvarsdeling og inneheld nokre manglar. Ved gjennomgang av kommunen si årsmelding for 2006 finn vi til dømes at programmet Classfronter (elevprogam) og Aleph (for biblioteket) er i bruk. Kven som har ansvaret for desse går ikkje fram av oversikta, men i årsmeldinga går det fram at biblioteksjefen er koordinator for den lokale tilpassinga av heile basen (Aleph), og for utviklinga av webtenestene. Sektorleiar, rådmann eller næraste fagsjef har oftast hovudansvaret for systemet, mens systemansvaret er delegera til ein medarbeidar/leiar som jobbar med systemet til dagleg. Organisasjonskart (vedlegg 5) viser korleis kommunen er organisert. Ansvaret er delegert i tråd med organisasjonsstrukturen. Sektor for omsorg og opplæring er svært stor og det er sannsynleg at denne vert delt i to. I våre undersøkingar har det vore tilfelle der dei systemansvarlege ikkje har vore klar over at det er dei som står som hovudbrukar/systemansvarlege. 21 Datatilsynet, Veiledning i informasjonssikkerhet for kommuner og fylker, Datatilsynet, s Ot.prp.nr. 92 ( ) om behandling av personopplysninger kapittel 2 Til 13 Informasjonssikkerhet 23 Døssland, E. og Olsen, A.B., 17./ Forebygging av misligheter, Norges interne revisorers forening, (Kursmateriell) Telemark kommunerevisjon IKS 12

18 Ved innføringa av ephorte er arkivansvarleg den einaste som er delegert ansvaret for systemet. Arkivansvarleg lærer no opp ein tilsett, slik at han kan fordele/registrere posten i arkivansvarleg sitt fråvær. Arkivansvarleg vil framleis vere den einaste med full tilgang i systemet. Dei tilsette er i varierande grad tatt med i prosessen med å velje kva for program kommunen skal bruke. Ofte er denne avgjerda tatt sentralt, t.d. i Vest-Telemark Rådet/ Tinget. Det veljast ofte program som dei andre kommunane i Vest-Telemark har frå før, noko som er praktisk for samarbeid og utveksling av informasjon mellom kommunane. 5.7 Revisor sine vurderingar Delegering av ansvar følgjer ansvarshierarkiet og er naturleg fordelt etter kva slags oppgåver dei tilsette har i kvardagen. Det er likevel eit problem at systemansvarlege i nokre tilfelle ikkje er klar over kva ansvarsdelegeringa inneber, jf. 4.3 om meldeplikt til Datatilsynet er overhalde. Her har det vore uklart om det er fagansvarleg eller IT-ansvarleg som har ansvaret for å gje melding til Datatilsynet. Det kan tyde på at kva delegasjon av ansvar inneber ikkje er godt nok kommunisert til dei tilsette i organisasjonen. Vi har ikkje sett dokumentasjon utarbeidd på forhånd vedkommande ansvarsdeling og oppgåvedeling. Dette burde kanskje vore ein del av ansvaret til rådmannsgruppa i samband med avgjerder om å ta i bruk nye program/system. Kommunen må overhalde lov-/forskriftsmessige krav til forsvarleg drift. Eit viktig grep for å motvirke misleghald er arbeidsdeling. Det kan diskuterast om dagens organisering oppmuntrar til arbeidsdeling. Sektor for oppvekst og omsorg er stor med stort spenn i arbeidsoppgåver, og skal no delast i to sektorar. Det kan vere riktig å delegere arbeidsoppgåver i større grad i nokre system, til dømes i ephorte. Det vil vere ein fordel at ikkje ein person sitt med oversikt over heile sakshandsaminga i kommunen. Det vil også gjere kommunen mindre sårbar ved sjukdom. Vi vil understreke at vi ikkje har nokon mistanke om misleghald. Ansvaret for tildeling av ressursar til forsvarleg drift ligg hos leiinga i kommunen. Det er viktig at dei tilsette og einingsleiarane har moglegheit til å delta og kome med innspel i samband med val av IT-program. For å oppnå semje blant dei tilsette om avgjerder, er det viktig at medarbeidarane føler at prosessen rundt avgjerdene skjer på ein riktig og rettferdig måte at prosedyrane oppfattast som rettferdige. Dette vil føre til at dei tilsette blir tilfreds med avgjerder som vert teke Tilråding Kommunen bør klargjere ansvarsfordelinga/oppgåvefordelinga i kommunen. Dei tilsette bør delta i prosessar med omlegging/val av nye system. 24 Kim, W. C. og Mauborgne, R Procedural Justice Decision Making and the Knowledge Economy. Strategic Management Journal, 19, Telemark kommunerevisjon IKS 13

19 c) Er det etablert sikkerheitstiltak? 5.9 Revisjonskriterium Det bør vere etablerte rutinar for tilgangskontroll, sikkerheitskopiering, konfigurasjonskontroll, avviksbehandling, leverandørar/partar/konsulentoppdrag. Det bør vere krav til kompetanse hos dei som arbeider med IT i kommunen. Det bør vidare vere rutinar for vedlikehald og for oppdatering av programvare som handterar viruskontroll. I personopplysningsforskrifta 2-14 og 2-16 står det: Sikkerheitstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Forsøk på uautorisert bruk av informasjonssystemet skal registrerast. Sikkerheitstiltak skal omfatte tiltak som ikkje kan påverkast eller omgås av medarbeidarane, og ikkje være avgrensa til handlingar som den enkelte forutsettes å utføre. Sikkerheitstiltak skal dokumenteras. Rutinar for bruk av informasjonssystemet og annen informasjon av betyding for informasjonssikkerheita, skal dokumenterast. Datatilsynet si rettleiing for tynne klientar 25 tilrår at det konfigurerast soner og sikkerheitsbarrierar. Følgjande avsnitt er henta frå rettleiinga 26 : Soner nyttes som et grunnleggande prinsipp i sikkerheitsarkitekturen. Ei sone utgjer ein del av et informasjonssystem og deles for eksempel opp etter behov for skjerming av ulike personopplysningar. Soner opprettes også basert på behovet for tilgangsstyring og segmentering av brukarane. Trafikk frå sikker sone skal alltid være initiert frå innsida av barrieren. For å avgrense tilgangen til personopplysningar, kan det være hensiktsmessig å nytte fylgjande soner internt i ei verksemd: Sikra/lukka sone; kor sensitive personopplysningar handsamast(ved behov opprettes fleire sikra soner i verksemda, for eksempel dersom dette betre understøtter taushetsplikt). Den enkelte sikra sone er teknisk avskilt frå resten av det interne nettverk og eventuelle andre sikra soner, forutan mot eksterne nettverk. Intern/open sone; kor ikkje-sensitive personopplysningar handsamast. Denne kan også omfatte andre opplysningar i verksemda som ikkje skal eksponerast eksternt. Mellom eksternt nettverk og sikra sone kor sensitive opplysningar handsamast skal det vere fleire sikkerheitsbarrierar. Sikkerheitsbarrierane skal innehalde funksjoner for: Nettverkskontroll; som regulerer informasjonsflyten mellom eksternt nettverk og verksemda sine ulike soner, herunder kva slags nettverks- og applikasjonsprotokollar som kan nyttes. Tilgangskontroll; som muliggjør kontroll og avgrensing på applikasjonsnivå med det formål å: o Verifisere at det er den tilatte tenesta som faktisk nyttes o Hindre at tenesta for initiering av aktivitetar som ikkje er tillatt og ikkje er del av tenesta sjølv 25 Teknisk sikkerheitsløysning hos brukaren skal bidra til å hindre uautorisert utlevering av sensitive personopplysningar ved utilsikta overføring av data mellom program, eksempelvis ved bruk av klipp og lim - funksjon. 26 Datatilsynet, Veileder for bruk av tynne klienter, Datatilsynet Telemark kommunerevisjon IKS 14

20 o Kontrollere og avgrense funksjonaliteten i tenestene etter behov o Forhindre utnytting av kjente svakheiter i tenestene Det skal ikkje vere mogleg for medarbeidarar å endre konfigurasjonen utan autorisasjon. Dette skal vere dokumentert. Det bør vere ei hensiktsmessig delegering av ansvaret for sikkerheita, inkludert tilgangskontroll, overvaking, opplæring mm. Brukarane bør tildelast tilgang etter behov Funn og fakta Tilgangskontroll Kommunen har installert brannmurar for å førebyggje uautorisert tilgang. Unaturleg trafikk, det vil seie forsøk på angrep utanfrå, blir handsama av den ytre brannmuren. Det er ikkje rutinar for gjennomgang av hendelsesregister. Hendelsesregister omfattar områda tilgang, datakommunikasjon og forsøk på uautorisert bruk. Innafor det lokale nettverket (LAN) blir virus stoppa av antivirusprogrammet Trend. Trend vert oppdatert automatisk. Visst ein brukar har med seg eit infisert eksternt lagringsmedium (minnepenn), så frys Trend det mediet (til dømes ein tynn klient/pc) som pennen blir kopla til. Hovudsakleg brukast det tynne klientar i kommunen. Det er to USB-inngangar 27 på dei fleste tynne klientane, men IT- ansvarleg må gje tilgang for å kunne bruke USB-inngangane. Det er innført sikkerheitsbarrierar for dei brukarane som arbeider med program i lukka sone. Det er ikkje mogleg å nytta program i open og lukka sone samtidig, heller ikkje kopiering mellom sonene. Anna sensitiv informasjon om pasientar/klientar som skal formidlast mellom einingane skjer via post eller munnleg beskjed. Sensitiv informasjon vert ikkje sendt via e- post. Korleis dei einskilde fagsystema har organisert tilgangen varierar, men tilgang blir gjeve i samsvar med kompetanse og arbeidsplassen til brukar. Det er ikkje utarbeidd rutinar for manuell handsaming av saksopplysningar, visst fagsystemet skulle vere ute av drift. Det er ikkje utarbeidd skriftlege rutinar for avvikshåndtering. Systemansvarleg gjev dei tilsette den tilgangen dei treng i systemet. Ved endring av arbeidsoppgåver er det rutine å endre tilgangen etter behov. Det har ikkje vore gode rutinar for melding til IT-ansvarleg om sletting av ein tilgang. Ansvaret for kven som skal gje ITansvarleg beskjed om sletting av tilgang er noko uklart. Rutinebeskrivingane i dokumentet frå Tokke kommune er ikkje følgd, men vi får opplyst av personalkonsulent i kommunen at einingsleiarane skal gje beskjed til IT- ansvarleg, slik at dei aktuelle tilgangane kan fjernes. Skjema for dette ligg på intranettet. Det skal vere sendt ut eit skriv til alle einingsleiarane om den nye rutina, men revisor har ikkje fått dette dokumentet. Vi kjenner til at det framleis er brukaridentar på tidlegare tilsette ved legekontoret i Profdoc. Desse er ikkje deaktiverte, men Profdoc er ein del av lukka sone, slik at det ikkje kan hentast informasjon dersom ein ikkje er fysisk tilstades på legekontoret. Alle tilsette har ein eigen profil i nettverket til kommunen. Denne profilen er passordbeskytta. For å komme inn på eit av fagsystema må dei tilsette ha tilgang og bruke eit eige passord, samt bytte passordet fyrste gong dei loggar seg på. 28. Brukarane blir kasta ut av systemet 27 USB (universell seriebuss) er ein standard for å kople einingar til ei datamaskin. 28 Andersen, B.T., Ny løsning i sikker sone Kviteseid kommune, Itum System AS Telemark kommunerevisjon IKS 15

21 dersom dei ikkje har vore aktive i 30 minutt. I dei fleste systema blir brukaren bedt om å forandre passord etter ein periode. Det har ikkje vore ein generell diskusjon om bruk og oppbevaring av passord i kommunen, men nokre av leiarane har tilrådd å ikkje skrive ned passordet, og om ein må skrive det ned, oppbevare det på ein trygg plass. Fysisk sikring Tilgang til serverrom og kabelrom var tilstrekkeleg sikra da vi kontrollerte dei. Romma er ikkje brannsikre og det er opne vassrør i kabelrommet. Safen med back-up tape, var bolta til golvet og godt sikra. Safen var brannsikker. Plassering av skriverar, rutinar for henting av dokument og tilgang til kontor gjev tilstrekkeleg tilgangskontroll. Ved vår kontroll og våre intervju var det bare ved sosialkontoret at revisor blei bedt om å vise legitimasjon. Sikkerheitskopiering Rutinar for sikkerheitskopiering er tilstrekkelege, men rutinane er ikkje skriftlege. Systemet for oppbevaring av sikkerheitskopiar er tilstrekkeleg. Konfigurasjonskontroll Det er ein dokumentert konfigurasjon på nettverket. 29 Dei tilsette kan ikkje installere noko på dei tynne klientane eller endre på konfigurasjonane, det må gjerast av dei IT-tilsette i profilen til den einskilde. Active Directory Design gjev og føringar for mellom anna konfigurasjon av brannmurar. Avvikshandsaming I sikkerheitsrutinane for Tokke er det skissert føringar for avvikshandsaming. Desse brukast ikkje i Kviteseid og er ikkje kjent blant dei tilsette. Pleie og omsorg har eigne rutinar for avvikshandsaming, men desse er einingsspesifikke og er ikkje direkte overførbare til resten av kommunen. Det er gjeve opplæring i bruk av systema. Ein skal til dømes ikkje låne brukarnamn og passord av kvarandre. Feil bruk av system, lån av brukarnamn og passord bør føre til avviksrapportering. For nokre fagsystem er det særskilte rutinar for overstyring av tilgang til opplysningar i systemet. Det loggførast kva brukarane gjer i systemet og eventuelle overtramp vil kunne sporast tilbake til personen gjennom brukarnamnet. Rutinane er strenge og brot kan medføre oppseiing. Leverandørar/partar Datamodellen i Active Directory Design beskriv arbeidsfunksjonane til kommunen sin ITmedarbeidar. Den beskriv og dei rettar som administrator har for Kviteseid, Tokke og Vinje kommunar. Rett til å delegere rettar til brukarane i kommunen ligg hos den einskilde administrator i samsvar med standarden. Standarden syner og korleis det heile er organisert. Sjå 4.2 for meir informasjon. 29 Haugholt, H., Nettverks dokumentasjon Kviteseid kommune, Itum System AS Telemark kommunerevisjon IKS 16

22 5.11 Revisor sine vurderingar Tilgangskontroll, fysisk sikring, sikkerheitskopiering og konfigurasjonskontroll Rutinebeskrivingane som brukast i Tokke kommune er omfattande, men er tilpassa systema som brukast der.. Kviteseid kommune brukar mange av dei same systema og applikasjonane, men rutinane bør likevel tilpassast kvar einskild kommune, slik at dei blir anvendelege for kommunen. Det er til dømes ulike fysiske løysingar for sikkerheitskopiering i kommunane. Kommunen har ein del rutinar på plass, men dei er ikkje nedfelt i dokument. Til dømes har kommunen gode rutinar for sikkerheitskopiering. Skriftleg rutine for sikkerheitskopiering bør utarbeidast. I rutina bør det beskrivast: - korleis sikkerheitskopiering skal utførast - kven som har ansvaret for kopieringa - kva slags data som skal kopierast - kopieringstidspunkt og intervall - lagring av reservekopi og skildring av lagringsmedium og sikring av dette - metode for gjenoppretting av normal drift ved bruk av sikkerheitskopiar. Andre sikringstiltak er og på plass. Kommunen har fleire brannmurar, strenge tilgangskontrollar for brukarar i lukka sone, etablerte og offentleg godkjente programvarer. IT-ansvarleg har eit bevisst forhold til tilgangskontroll og sikring av systema for indre og ytre truslar. Men det at kommunen ikkje har rutinar for gjennomgang av hendelsesregister, sjå tidlegare kommentar, er eit brot på Datatilsynet sin Veiledning i informasjonssikkerhet for kommuner og fylker. Den seier: Det skal utarbeides rutine for gjennomgang av hendelsesregistre som omfatter: hvem som skal ha ansvar for å gjennomgå registreringene hvor hyppig registreringene skal gjennomgås beskrivelsene av unormale aktiivitetsmønstre som bør understrekes hvordan etterkontroll av unormale aktivitetsmønstre bør foretas hvordan eventuelle sikkerhetsbrudd eller mistanke om slikt skal følges opp hvem som har ansvar for sletting av registreringer ved lagringstidens utløp. Det er ein alvorleg sikkerheitsrisiko at serverrom ikkje er brannsikkert og at det er opne vassrør i rommet. Ei utbetring av serverrom vil sannsynlegvis vere kostbart, men bør vurderast. Avvikshandsaming Formålet med avvikshandsaming er å lukke avvik, gjenopprette normal tilstand/drift, og hindre gjentaking. Visst det ikkje er samsvar mellom faste rutinar og korleis informasjonssystemet nyttast, skal resultatet frå avviksbehandlinga nyttast som grunnlag ved gjennomgang og endring i dei aktuelle rutinar. Den som oppdagar avvik har plikt til å rapportere dette skriftleg. Kommunen bør derfor ha ei rutine for handsaming av avvik, samt ein sikkerheitsrevisjon jamleg for å forbetre område som ikkje fungerar og ta tak i nye utfordringar innanfor IT. Oppsummering Kort oppsummera er rutinane for tilgangskontroll, sikkerheitskopiering og konfigurasjonskontroll jamt over god, men det manglar ein del dokumentasjon. Den fysiske sikringa er noko svak og det bør innførast avvikshandsaming innanfor IT.. Telemark kommunerevisjon IKS 17

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt

Detaljer

Tilgangskontroll i arbeidslivet

Tilgangskontroll i arbeidslivet - Feil! Det er ingen tekst med den angitte stilen i dokumentet. Tilgangskontroll i arbeidslivet Rettleiar frå Datatilsynet Juli 2010 Tilgangskontroll i arbeidslivet Elektroniske tilgangskontrollar for

Detaljer

IT-sikkerhet. - Sauherad kommune - Forvaltningsrevisjonsrapport nr: 722 008. Telemark kommunerevisjon IKS

IT-sikkerhet. - Sauherad kommune - Forvaltningsrevisjonsrapport nr: 722 008. Telemark kommunerevisjon IKS IT-sikkerhet - Sauherad kommune - Forvaltningsrevisjonsrapport nr: 722 008 2009 Telemark kommunerevisjon IKS Innhold Sammendrag...iv 1 Innledning...1 1.1 Bakgrunn...1 1.2 Formål og problemstillinger...1

Detaljer

F E L L E S I K T - S T R A T E G I K O M M U N A N E F Y R E S D A L, K V I T E S E I D, 2012-2015 FOR

F E L L E S I K T - S T R A T E G I K O M M U N A N E F Y R E S D A L, K V I T E S E I D, 2012-2015 FOR F E L L E S I K T - S T R A T E G I FOR K O M M U N A N E F Y R E S D A L, K V I T E S E I D, N I S S E D A L, S E L J O R D, T O K K E O G V I N J E 2012-2015 30.03. 2012 - INNHALD - 1 SAMANDRAG 3 1.1

Detaljer

«ANNONSERING I MØRE OG ROMSDAL FYLKESKOMMUNE»

«ANNONSERING I MØRE OG ROMSDAL FYLKESKOMMUNE» «ANNONSERING I MØRE OG ROMSDAL FYLKESKOMMUNE» FYLKESREVISJONEN Møre og Romsdal fylkeskommune RAPPORT, FORVALTNINGSREVISJONSPROSJEKT NR. 4-2000 INNHALDSREGISTER 1. INNLEIING I 2. FORMÅL 1 3. METODE OG DATAGRUNNLAG

Detaljer

Skjema for medarbeidarsamtalar i Radøy kommune

Skjema for medarbeidarsamtalar i Radøy kommune Skjema for medarbeidarsamtalar i Radøy kommune 1 Bedriftspedagogisk Senter A.S bps@bps.as Medarbeidarsamtalar i Radøy kommune - slik gjer vi det Leiar har ansvar for å gjennomføra samtalane sine slik det

Detaljer

Plan for forvaltningsrevisjon

Plan for forvaltningsrevisjon Plan for forvaltningsrevisjon 2008-2012 Stord kommune Revidert 2010 Member of Deloitte Touche Tohmatsu Innhald 1. Innleiing... 3 1.1 Plan for forvaltningsrevisjon 3 1.2 Risiko- og vesentleganalyse 3 2.

Detaljer

Den nye seksjon for applikasjonar

Den nye seksjon for applikasjonar Nye IT-avdelinga Den nye seksjon for applikasjonar Ei kort innleiing om prosessar basert på ITIL som eg brukar litt i presentasjonen Seksjonen sine ansvarsområde 3 av mange områder som seksjonen skal handtera

Detaljer

Plan for forvaltningsrevisjon

Plan for forvaltningsrevisjon Plan for forvaltningsrevisjon 2009-2012 Øygarden kommune Member of Deloitte Touche Tohmatsu Medlemmer av Den Norske Revisorforening org.nr: 980 211 282 Innhald 1. Innleiing... 3 1.1 Plan for forvaltningsrevisjon

Detaljer

UTKAST PLAN FOR FORVALTNINGSREVISJON

UTKAST PLAN FOR FORVALTNINGSREVISJON UTKAST PLAN FOR FORVALTNINGSREVISJON SOGNDAL KOMMUNE 2012-2015 Bakgrunn Kommunestyret har det øvste ansvaret for internt tilsyn og kontroll i kommunane, og skal etter 77 velja eit kontrollutval til å stå

Detaljer

Årsrapport frå opplæringskontor i Hordaland om opplæring av lærlingar og lærekandidatar (Lærebedriftene skal bruka eit eige skjema.

Årsrapport frå opplæringskontor i Hordaland om opplæring av lærlingar og lærekandidatar (Lærebedriftene skal bruka eit eige skjema. 1 Oppdatert 16.05.09 Årsrapport frå opplæringskontor i Hordaland om opplæring av lærlingar og lærekandidatar (Lærebedriftene skal bruka eit eige skjema.) Velkommen til Hordaland fylkeskommune sin portal

Detaljer

Aurland kommune Rådmannen

Aurland kommune Rådmannen Aurland kommune Rådmannen Kontrollutvalet i Aurland kommune v/ sekretriatet Aurland, 07.10.2013 Vår ref. Dykkar ref. Sakshandsamar Arkiv 13/510-3 Steinar Søgaard, K1-007, K1-210, K3- &58 Kommentar og innspel

Detaljer

Rogaland Kontrollutvalgssekretariat HJELMELAND KOMMUNE KONTROLLUTVALET PLAN FOR FORVALTNINGSREVISJON

Rogaland Kontrollutvalgssekretariat HJELMELAND KOMMUNE KONTROLLUTVALET PLAN FOR FORVALTNINGSREVISJON Rogaland Kontrollutvalgssekretariat HJELMELAND KOMMUNE KONTROLLUTVALET PLAN FOR FORVALTNINGSREVISJON 2009-2012 Vedtatt av kommunestyret i Hjelmeland 17.12.2008 0 INNHALDSLISTE 1. BAKGRUNN 2 2. LOVHEIMEL

Detaljer

Plan for forvaltningsrevisjon og selskapskontroll

Plan for forvaltningsrevisjon og selskapskontroll Plan for forvaltningsrevisjon og selskapskontroll 2016-2019 Innleiing Kontrollutvalet er kommunestyret sin reiskap for kontrollarbeid med heile den kommunale verksemda. Utvalet sine oppgåver kan forenkla

Detaljer

Tyssevegen 217, 5650 Tysse Tidsrom for tilsynet: 13. og 15. oktober 2015 Kontaktperson i verksemda: Tone Ramsli, rådmann

Tyssevegen 217, 5650 Tysse Tidsrom for tilsynet: 13. og 15. oktober 2015 Kontaktperson i verksemda: Tone Ramsli, rådmann Sakshandsamar, innvalstelefon Hilde Ordemann, 55 57 22 12 Vår dato Dykkar dato Vår referanse 2015/9798 622 Dykkar referanse Rapport frå tilsyn med Nav Samnanger kommune Adressa til verksemda: Tyssevegen

Detaljer

Databrukara vtale. for. Rauma kommune

Databrukara vtale. for. Rauma kommune Databrukara vtale for Rauma kommune IT- sikkerheitsreglar for Rauma kommune Mål IT skal brukast til å dokumentere, dele og utveksle informasjon for å fremje effektiv informasjonsbehandling og sikre god

Detaljer

Rettleiing ved mistanke om vald i nære relasjonar - barn

Rettleiing ved mistanke om vald i nære relasjonar - barn Rettleiing ved mistanke om vald i nære relasjonar - barn Når det gjeld barn som vert utsett for vald eller som er vitne til vald, vert dei ofte utrygge. Ved å førebygge og oppdage vald, kan me gje barna

Detaljer

Fylkesmannen i Oppland. Rapport frå tilsyn med rettstryggleiken ved bruk av tvang og makt overfor psykisk utviklingshemma.

Fylkesmannen i Oppland. Rapport frå tilsyn med rettstryggleiken ved bruk av tvang og makt overfor psykisk utviklingshemma. Fylkesmannen i Oppland Rapport frå tilsyn med rettstryggleiken ved bruk av tvang og makt overfor psykisk utviklingshemma i Skjåk kommune Samandrag Denne rapporten gjer greie for dei avvika og merknadene

Detaljer

Rutine for varsling FORORD. Vedteke i kommunestyret den 11.12.2008

Rutine for varsling FORORD. Vedteke i kommunestyret den 11.12.2008 Rutine for varsling FORORD Vedteke i kommunestyret den 11.12.2008 Rutinar for varsling skal vere ein beredskap når lovstridige, uetiske eller uforsvarlege forhold vert oppdaga og må stoppast. Masfjorden

Detaljer

Plan for forvaltningsrevisjon og selskapskontroll

Plan for forvaltningsrevisjon og selskapskontroll Plan for forvaltningsrevisjon og selskapskontroll Vedteke av kommunestyret i sak 61/16 den 29.9.16 Innleiing Kontrollutvalet er kommunestyret sin reiskap for kontrollarbeid med heile den kommunale verksemda.

Detaljer

for tilsette i Hordaland fylkeskommune

for tilsette i Hordaland fylkeskommune for tilsette i Hordaland fylkeskommune Innleiing Føremål Hordaland fylkeskommune handsamar personopplysingar om m.a. tilsette, elevar i vidaregåande skular, og pasientar i tannhelsetenesta. Hordaland fylkeskommune

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Styresak. Ivar Eriksen Oppfølging av årleg melding frå helseføretaka. Arkivsak 2011/545/ Styresak 051/12 B Styremøte 07.05.2012

Styresak. Ivar Eriksen Oppfølging av årleg melding frå helseføretaka. Arkivsak 2011/545/ Styresak 051/12 B Styremøte 07.05.2012 Styresak Går til: Styremedlemmer Føretak: Helse Vest RHF Dato: 24.04.2012 Sakhandsamar: Saka gjeld: Ivar Eriksen Oppfølging av årleg melding frå helseføretaka Arkivsak 2011/545/ Styresak 051/12 B Styremøte

Detaljer

SØKNAD OM STØTTEKONTAKT

SØKNAD OM STØTTEKONTAKT MASFJORDEN KOMMUNE Sosialtenesta Nav Masfjorden Postboks 14, 5987 Hosteland Tlf 815 81 000/47452171 Unnateke for offentleg innsyn Jf. Offlentleglova 13 SØKNAD OM STØTTEKONTAKT Eg vil ha søknaden handsama

Detaljer

Stryn kommune. Plan for forvaltningsrevisjon og selskapskontroll. Vedteken i kommunestyresak 56/16 den

Stryn kommune. Plan for forvaltningsrevisjon og selskapskontroll. Vedteken i kommunestyresak 56/16 den Stryn kommune Plan for forvaltningsrevisjon og selskapskontroll Vedteken i kommunestyresak 56/16 den 23.6.16 Innleiing Kontrollutvalet er kommunestyret sin reiskap for kontrollarbeid med heile den kommunale

Detaljer

Føretaket vil stille personell til å delta i arbeidet, og vil ta felles mål inn i lokale planar og rapporteringssystem for oppfølging.

Føretaket vil stille personell til å delta i arbeidet, og vil ta felles mål inn i lokale planar og rapporteringssystem for oppfølging. Handlingsplan for Pasientreiser, Helse Fonna Ved Margareth Sørensen, funksjonsleiar Pasientreiser, Svanaug Løkling, seksjonsleiar akuttmottak Haugesund og Anne Hilde Bjøntegård, klinikkdirektør. Oversikt

Detaljer

Reglement for kontrollutvalet i Selje kommune (Vedteke av Selje kommunestyret den 29. april 2009, sak 030/09)

Reglement for kontrollutvalet i Selje kommune (Vedteke av Selje kommunestyret den 29. april 2009, sak 030/09) Reglement for kontrollutvalet i Selje kommune (Vedteke av Selje kommunestyret den 29. april 2009, sak 030/09) 1. Val og samansetjing (kommunelova 77 nr. 1,2 og 3) Medlemane i kontrollutvalet i Selje kommune

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Kontrollutvalet i Suldal kommune

Kontrollutvalet i Suldal kommune Kontrollutvalet i Suldal kommune KONTROLLUTVAL ET SI ÅRSMELDING FOR 2010 1. INNLEIING Kapittel 12 i kommunelova omtalar internt tilsyn og kontroll. Kommunestyret sjølv har det øvste tilsynet med den kommunale

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Fylkesmannen i Hordaland gjennomførte 15. og 17. september 2015 tilsyn med Nav Austrheim kommune.

Fylkesmannen i Hordaland gjennomførte 15. og 17. september 2015 tilsyn med Nav Austrheim kommune. Sakshandsamar, innvalstelefon Vibeke Herskedal, 55 57 22 44 Vår dato 23.9.2015 Dykkar dato Vår referanse 2015/10742 Dykkar referanse Rapport frå tilsyn med Nav Austrheim kommune Adressa til verksemda:

Detaljer

Plan for forvaltningsrevisjon Sogn og Fjordane fylkeskommune

Plan for forvaltningsrevisjon Sogn og Fjordane fylkeskommune Plan for forvaltningsrevisjon 2016 2020 Sogn og Fjordane fylkeskommune Vedteken av fylkestinget 18. oktober 2016 i FT-sak 41/16 Innhald 1. Innleiing... 3 1.1 Plan for forvaltningsrevisjon 3 1.2 Risiko-

Detaljer

Referat frå foreldremøte 06.05.14. Tjødnalio barnehage

Referat frå foreldremøte 06.05.14. Tjødnalio barnehage Referat frå foreldremøte 06.05.14. Tjødnalio barnehage Tilstade: Personalet, foreldre og Nina Helle. Kva er BTI: Stord kommune er ein av 8 kommunar som deltek i eit prosjekt som skal utarbeide ein modell

Detaljer

Plan for selskapskontroll 2012-2016

Plan for selskapskontroll 2012-2016 Forsand Kommune Plan for selskapskontroll 2012-2016 Vedteke av kommunestyret 28. november 2012 Rogaland Kontrollutvalgssekretariat IS Innhaldsliste 1 Innleiing... 3 1.1 Avgrensing organisasjonsformer som

Detaljer

Saksframlegg. Sakshandsamar: Bente Bakke Arkiv: 400 Arkivsaksnr.: 10/401-1. Retningslinjer for uønska deltid. * Tilråding:

Saksframlegg. Sakshandsamar: Bente Bakke Arkiv: 400 Arkivsaksnr.: 10/401-1. Retningslinjer for uønska deltid. * Tilråding: Saksframlegg Sakshandsamar: Bente Bakke Arkiv: 400 Arkivsaksnr.: 10/401-1 Retningslinjer for uønska deltid * Tilråding: Administrasjonsutvalet vedtek retningslinjer for å handsame uønska deltid, dagsett.11.02.2010.

Detaljer

Hyllestad kommune. Plan for forvaltningsrevisjon og selskapskontroll. Vedteke i kommunestyresak 64/16 den

Hyllestad kommune. Plan for forvaltningsrevisjon og selskapskontroll. Vedteke i kommunestyresak 64/16 den Hyllestad kommune Plan for forvaltningsrevisjon og selskapskontroll Vedteke i kommunestyresak 64/16 den 30.6.16 Innleiing Kontrollutvalet er kommunestyret sin reiskap for kontrollarbeid med heile den kommunale

Detaljer

Brukarrettleiing E-post lesar www.kvam.no/epost

Brukarrettleiing E-post lesar www.kvam.no/epost Brukarrettleiing E-post lesar www.kvam.no/epost Kvam herad Bruka e-post lesaren til Kvam herad Alle ansatte i Kvam herad har gratis e-post via heradet sine nettsider. LOGGE INN OG UT AV E-POSTLESAREN TIL

Detaljer

RETNINGSLINJER FOR INDIVIDUELL PLAN I BØMLO KOMMUNE

RETNINGSLINJER FOR INDIVIDUELL PLAN I BØMLO KOMMUNE RETNINGSLINJER FOR INDIVIDUELL PLAN I BØMLO KOMMUNE Me ønskjer felles retningslinjer for bruk av Individuell Plan i Bømlo kommune for å skape føreseie og for å sikre mest mogleg lik behandling av tenestemottakarane.

Detaljer

Naustdal kommune Plan for forvaltningsrevisjon og selskapskontroll

Naustdal kommune Plan for forvaltningsrevisjon og selskapskontroll Naustdal kommune Plan for forvaltningsrevisjon og selskapskontroll Vedteken av kommunestyret i sak 69/16 den 14.12.16 Innleiing Kontrollutvalet er kommunestyret sin reiskap for kontrollarbeid med heile

Detaljer

Saksbehandling kva er no det?

Saksbehandling kva er no det? Saksbehandling kva er no det? Rådgjevar Ole Knut Løstegaard Eforvaltningskonferansen 2012, Oslo, 16/2-2012 Innleiing «Saksbehandling»: ubestemt omgrep Brukt ei rekkje stader i lov- og forskriftsverket

Detaljer

BRANNFØREBYGGANDE TILTAKSPLAN FOR SAGVÅG SKULE

BRANNFØREBYGGANDE TILTAKSPLAN FOR SAGVÅG SKULE BRANNFØREBYGGANDE TILTAKSPLAN FOR SAGVÅG SKULE Utarbeidd av Tekniske tenester (eigar) Rune Hansen Datert: 23.05.2008 Rev: ORGANISERING OG DRIFT AV DRIFT AV EIT SÆRSKILT BRANNOBJEKT ( 13 i Lov om vern mot

Detaljer

SAMNANGER KOMMUNE. IKT-reglement. for tilsette i Samnanger kommune. Vedteke av rådmannen Gjeld frå

SAMNANGER KOMMUNE. IKT-reglement. for tilsette i Samnanger kommune. Vedteke av rådmannen Gjeld frå SAMNANGER KOMMUNE IKT-reglement for tilsette i Samnanger kommune Vedteke av rådmannen 27.01.2010. Gjeld frå 01.02.2010. Innhaldsliste 1 Området for dette reglementet organisering 2 Føremålet med IKT-anlegget

Detaljer

Forvaltningsrevisjon «Pleie og omsorg - årsak til avvik mot budsjett og Kostra-tal»

Forvaltningsrevisjon «Pleie og omsorg - årsak til avvik mot budsjett og Kostra-tal» Notat Til: Kopi: Frå: Kommunestyret og kontrollutvalet Arkivkode Arkivsaknr. Løpenr. Dato 216 13/1449-13 10263/15 28.01.2015 Forvaltningsrevisjon «Pleie og omsorg - årsak til avvik mot budsjett og Kostra-tal»

Detaljer

Innleiing. Obligatoriske planar

Innleiing. Obligatoriske planar Plan for forvaltningsrevisjon og selskapskontroll 2016-2019 Innleiing Kontrollutvalet er kommunestyret sin reiskap for kontrollarbeid med heile den kommunale verksemda. Utvalet sine oppgåver kan forenkla

Detaljer

Samarbeid om IKT-løysingar lokalt

Samarbeid om IKT-løysingar lokalt Delavtale mellom XX kommune og Helse Førde HF Samarbeid om IKT-løysingar lokalt Avtale om samarbeid om IKT-løysingar lokalt 1. Partar Avtalen er inngått mellom XX kommune og Helse Førde HF. 2. Bakgrunn

Detaljer

Plan for forvaltningsrevisjon

Plan for forvaltningsrevisjon Bjerkreim Kommune Plan for forvaltningsrevisjon 2017-2020 Vedtatt av kommunestyret 2016 Rogaland Kontrollutvalgssekretariat IS INNHALD INNHALD... 1 PLAN FOR FORVALTNINGSREVISJON BJERKREIM KOMMUNE... 3

Detaljer

Arbeidsbok (mal for eigenprodusert HMS-dokumentasjon)

Arbeidsbok (mal for eigenprodusert HMS-dokumentasjon) Arbeidsbok (mal for eigenprodusert -dokumentasjon) Lovar, forskrifter, standardar kap 6 Kartlegging Handlingsplan Rapportering kap 3 kap 4 kap 5 Mål kap 1 Organisasjon Ansvar Opplæring Revisjon kap 2 kap

Detaljer

Tokke kommune. Kontrollutvalet. Medlemmar og varamedlemmar Dato 07.05.2015. Tokke kommune - kontrollutvalet. Det vert med dette kalla inn til møte:

Tokke kommune. Kontrollutvalet. Medlemmar og varamedlemmar Dato 07.05.2015. Tokke kommune - kontrollutvalet. Det vert med dette kalla inn til møte: Vår ref. 15/537-2 033 /KASB Medlemmar og varamedlemmar Dato 07.05.2015 Tokke kommune - kontrollutvalet Det vert med dette kalla inn til møte: Dato: 11.05.2015 Tid: kl 10.00 12.00 Sted: Møterom Kultur,

Detaljer

Rettsleg grunnlag grunnskoleopplæring for vaksne

Rettsleg grunnlag grunnskoleopplæring for vaksne Rettsleg grunnlag grunnskoleopplæring for vaksne Rettleie og behandle søknader Rettleie og vurdere rettar Rettleie om retten til grunnskoleopplæring Kommunen skal oppfylle retten til grunnskoleopplæring

Detaljer

Melding om sjukefråvær Den tilsette skal gje melding om sjukefråvær til arbeidsgjevar så tidleg som mogleg.

Melding om sjukefråvær Den tilsette skal gje melding om sjukefråvær til arbeidsgjevar så tidleg som mogleg. Interkontrollhandbok Side: 1 av 5 1. FORMÅL Føremålet med dette kapitlet er å kvalitetssikra oppfølginga av tilsette som vert sjukmelde. Kapitlet gjev derfor oversikt over kva rutinar som skal følgjast

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Tysnes kommune Plan for forvaltningsrevisjon

Tysnes kommune Plan for forvaltningsrevisjon Tysnes kommune Plan for forvaltningsrevisjon 2016 2020 Januar 2017 Member of Deloitte Touche Tohmatsu Limited Innhald 1 Innleiing 5 1.1 Krav til forvaltningsrevisjon 5 1.2 Plan for forvaltningsrevisjon

Detaljer

SAKSFRAMLEGG. Saksbehandler: Odd Arve Rakstad Arkiv: 026 Arkivsaksnr.: 12/153-1. Kommunesamanslåing Leikanger og Sogndal. Spørsmål om utgreiing

SAKSFRAMLEGG. Saksbehandler: Odd Arve Rakstad Arkiv: 026 Arkivsaksnr.: 12/153-1. Kommunesamanslåing Leikanger og Sogndal. Spørsmål om utgreiing SAKSFRAMLEGG Saksbehandler: Odd Arve Rakstad Arkiv: 026 Arkivsaksnr.: 12/153-1 Kommunesamanslåing Leikanger og Sogndal. Spørsmål om utgreiing TILRÅDING: Saka blir lagt fram utan tilråding frå administrasjonen.

Detaljer

Avvik 1: Nav Osterøy sikrar ikkje at tenesta kvalifiseringsprogram er tilgjengeleg for alle aktuelle deltakarar.

Avvik 1: Nav Osterøy sikrar ikkje at tenesta kvalifiseringsprogram er tilgjengeleg for alle aktuelle deltakarar. Sakshandsamar, innvalstelefon Vibeke Herskedal, 55 57 26 01 Vår dato 25.6.2013 Dykkar dato Vår referanse 20/1595 Dykkar referanse Rapport frå tilsyn med Nav Osterøy kommune 2013 Adressa til verksemda:

Detaljer

PLAN FOR SPESIALUNDERVISNING I FYRESDAL KOMMUNE

PLAN FOR SPESIALUNDERVISNING I FYRESDAL KOMMUNE Kultur og oppvekst PLAN FOR SPESIALUNDERVISNING I FYRESDAL KOMMUNE KAP. 1. SØKNADSRUTINER FOR SPESIALUNDERVISNING FOR SKULEN OG SPESIALPEDAGOGISK HJELP BARNEHAGEN. 1.0 INNLEIING Det er viktig å utvikle

Detaljer

TYSNES KOMMUNE RETNINGSLINER FOR INTERN VARSLING AV KRITIKKVERDIGE TILHØVE

TYSNES KOMMUNE RETNINGSLINER FOR INTERN VARSLING AV KRITIKKVERDIGE TILHØVE TYSNES KOMMUNE Rådhuset Uggdalsvegen 301 5685 UGGDAL Telefon 53437014 TYSNES KOMMUNE RETNINGSLINER FOR INTERN VARSLING AV KRITIKKVERDIGE TILHØVE INNHALD 1 FØREMÅL... 3 2 OMFANG... 3 3 DEFINISJONAR... 3

Detaljer

IA-funksjonsvurdering. Ei samtale om arbeid kva er mogleg?

IA-funksjonsvurdering. Ei samtale om arbeid kva er mogleg? IA-funksjonsvurdering Ei samtale om arbeid kva er mogleg? // IA - Funksjonsvurdering Ei samtale om arbeid kva er mogleg? Målet med eit inkluderande arbeidsliv (IA) er å gje plass til alle som kan og vil

Detaljer

Meld forfall snarast råd til sekretær for utvalet Line Bosnes Hegna på mobil 90 65 64 26 eller epost: line.bosnes@temark.no.

Meld forfall snarast råd til sekretær for utvalet Line Bosnes Hegna på mobil 90 65 64 26 eller epost: line.bosnes@temark.no. Møteinnkalling Seljord kontrollutval Dato: 09.09.2015 kl. 09:00 Møtestad: Kommunehuset Arkivsak: 15/09764 Arkivkode: 033 Meld forfall snarast råd til sekretær for utvalet Line Bosnes Hegna på mobil 90

Detaljer

Seljord kommune. kontrollutvalet. Medlemmar og varamedlemmar Dato 13.05.2015. Seljord kommune - kontrollutvalget

Seljord kommune. kontrollutvalet. Medlemmar og varamedlemmar Dato 13.05.2015. Seljord kommune - kontrollutvalget Vår ref. 15/555-2 033 /BOSL Medlemmar og varamedlemmar Dato 13.05.2015 Seljord kommune - kontrollutvalget Det vert med dette kalla inn til møte: Dato: 01.06.2015 Tid: 09:00-12:00 Stad: Kommunehuset, møterommet

Detaljer

Etiske retningslinjer. for. folkevalde og tilsette. i Voss kommune

Etiske retningslinjer. for. folkevalde og tilsette. i Voss kommune Etiske retningslinjer for folkevalde og tilsette i Voss kommune Side 1 av 5 Etiske retningslinjer for folkevalde og tilsette i Voss kommune Versjon : 1.0 godkjend i Kommunestyret 23.06.2005 Dato : 25.

Detaljer

INTERNETTOPPKOPLING VED DEI VIDAREGÅANDE SKOLANE - FORSLAG I OKTOBERTINGET 2010

INTERNETTOPPKOPLING VED DEI VIDAREGÅANDE SKOLANE - FORSLAG I OKTOBERTINGET 2010 HORDALAND FYLKESKOMMUNE Organisasjonsavdelinga IT-seksjonen Arkivsak 201011409-3 Arkivnr. 036 Saksh. Svein Åge Nottveit, Birthe Haugen Saksgang Fylkesutvalet Fylkestinget Møtedato 23.02.2011-24.02.2011

Detaljer

Plan for gjennomføring av selskapskontroll i Balestrand kommune 2012-2015

Plan for gjennomføring av selskapskontroll i Balestrand kommune 2012-2015 Plan for gjennomføring av selskapskontroll i Balestrand kommune 2012-2015 1. Verkeområde, omfang Selskapskontroll i medhald av kommunelova sin 77 nr. 5 og 80 skal utøvast i selskap m.m. der Balestrand

Detaljer

IKT-reglement for kommunane i SING

IKT-reglement for kommunane i SING IKT-reglement for kommunane i SING Det er lagt ned eit stort arbeid, både teknisk og organisatorisk, for å etablere eit godt fundament for ei trygg og god digital forvaltning og tenesteyting i kommunane.

Detaljer

Bokn kommune PLAN FOR FORVALTNINGSREVISJON Vedtatt av kommunestyret i Bokn , sak xx/12

Bokn kommune PLAN FOR FORVALTNINGSREVISJON Vedtatt av kommunestyret i Bokn , sak xx/12 Bokn kommune PLAN FOR FORVALTNINGSREVISJON 2012-2016 Vedtatt av kommunestyret i Bokn 18.12.12, sak xx/12 1 Haugaland Kontrollutvalgssekretariat IKS 30.11.2012 INNHOLDSLISTE Innhald 1. INNLEIING... 3 2.

Detaljer

Informasjonshefte Tuv barnehage

Informasjonshefte Tuv barnehage Informasjonshefte Tuv barnehage Informasjonshefte for Tuv barnehage Barnehagen blir drevet av Hemsedal kommune. Barnehagen er politisk lagt under Hovudutval for livsløp. Hovudutval for livsløp består av

Detaljer

TILSYNSRAPPORT. Kommunen som barnehagemynde

TILSYNSRAPPORT. Kommunen som barnehagemynde Vinje kommune v/ rådmann Vinjevegen 192 3890 Vinje TILSYNSRAPPORT Kommunen som barnehagemynde - Kommunen sine verkemiddel for å sørgje for regelverketterleving, jf. barnehagelova 8 - Kommunen sitt tilsyn

Detaljer

HORNINDAL KOMMUNE. Tilsynsplan. Plan for tilsyn i saker etter plan- og bygningslova. Hornindal kommune 2011

HORNINDAL KOMMUNE. Tilsynsplan. Plan for tilsyn i saker etter plan- og bygningslova. Hornindal kommune 2011 HORNINDAL KOMMUNE Tilsynsplan Plan for tilsyn i saker etter plan- og bygningslova Hornindal kommune 2011 Vedteken av Utviklingsutvalet den 16. mars 2011 Sak: 020/11 Arkivsak: 11/207-1 01.03.2011 Innhald:

Detaljer

Forfall meldas til sekretær for kontrollutvalet på eller e-post eller tlf Møteinnkalling.

Forfall meldas til sekretær for kontrollutvalet på eller e-post eller tlf Møteinnkalling. Møteinnkalling Bø kontrollutval Dato: 25.01.2017 kl. 12:00 Møtestad: Bø kommunehus Arkivsak: 17/00014 Arkivkode: 033 Forfall meldas til sekretær for kontrollutvalet på eller e-post alexander.etsy.jensen@temark.no

Detaljer

UNDERSØKING OM MÅLBRUKEN I NYNORSKKOMMUNAR RAPPORT

UNDERSØKING OM MÅLBRUKEN I NYNORSKKOMMUNAR RAPPORT UNDERSØKING OM MÅLBRUKEN I NYNORSKKOMMUNAR RAPPORT Språkrådet Landssamanslutninga av nynorskkommunar Nynorsk kultursentrum 17. mars 2011 Undersøking om målbruken i nynorskkommunar er eit samarbeid mellom

Detaljer

Fylkesmannen i Rogaland

Fylkesmannen i Rogaland Fylkesmannen i Rogaland Rapport frå tilsyn med Sokndal kommune Adressa til verksemda: Gamleveien 20, 4380 Hauge i Dalane Tidsrom for tilsynet: 17.09.13 - Kontaktperson i verksemda: Nav-leiar Kjell Håland

Detaljer

Lønnsundersøkinga for 2014

Lønnsundersøkinga for 2014 Lønnsundersøkinga for 2014 Sidan 2009 har NFFs forhandlingsseksjon utført ei årleg lønnsundersøking blant medlemane i dei største tariffområda for fysioterapeutar. Resultata av undersøkinga per desember

Detaljer

SAKSFRAMLEGG. Saksnr Utval Møtedato Sakshandsamar 140/11 KOMMUNESTYRE Steinar Hole. Arkiv: FE-030

SAKSFRAMLEGG. Saksnr Utval Møtedato Sakshandsamar 140/11 KOMMUNESTYRE Steinar Hole. Arkiv: FE-030 SAKSFRAMLEGG Saksnr Utval Møtedato Sakshandsamar 140/11 KOMMUNESTYRE 08.11.2011 Steinar Hole Arkivsaknr. 11/313 Arkiv: FE-030 Rapport etter forvaltningsrevisjon vedk. internkontroll i Austevoll kommune

Detaljer

TYSNES KOMMUNE RETNINGSLINER FOR INTERN VARSLING AV KRITIKKVERDIGE TILHØVE

TYSNES KOMMUNE RETNINGSLINER FOR INTERN VARSLING AV KRITIKKVERDIGE TILHØVE TYSNES KOMMUNE RETNINGSLINER FOR INTERN VARSLING AV KRITIKKVERDIGE TILHØVE Vedteke i Tysnes kommunestyre 12. desember 2007 Revidert i Tysnes kommunestyre 16. desember 2010 UGGDAL, 03.01.2011 Saksnr. Dok.nr

Detaljer

Kviteseid kommune. Vedtekter for dei kommunale barnehagane i Kviteseid

Kviteseid kommune. Vedtekter for dei kommunale barnehagane i Kviteseid Kviteseid kommune Vedtekter for dei kommunale barnehagane i Kviteseid Vedteke i Hovudutval for Oppvekst og Omsorg (HOO), den 28.01.2015 1. Eigartilhøve Kviteseid kommune eig, driv og fører tilsyn med desse

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

Plan for forvaltningsrevisjon

Plan for forvaltningsrevisjon Time Kommune Plan for forvaltningsrevisjon 2017-2020 Vedteke av kommunestyret 08. november 2016 Rogaland Kontrollutvalgssekretariat IS INNHALDSOVESIKT Innhaldsovesikt... 1 PLAN FOR FORVALTNINGSREVISJON

Detaljer

Bokn kommune Plan for forvaltningsrevisjon

Bokn kommune Plan for forvaltningsrevisjon Bokn kommune Plan for forvaltningsrevisjon 2016 2020 September 2016 Member of Deloitte Touche Tohmatsu Limited Innhald 1 Innleiing 5 1.1 Krav til forvaltningsrevisjon 5 1.2 Plan for forvaltningsrevisjon

Detaljer

SKODJE KOMMUNE. Reglement for kontrollutvalet jf. Kommunelova kap. 12 med tilhøyrande forskrift og rettleiar

SKODJE KOMMUNE. Reglement for kontrollutvalet jf. Kommunelova kap. 12 med tilhøyrande forskrift og rettleiar SKODJE KOMMUNE Reglement for kontrollutvalet jf. Kommunelova kap. 12 med tilhøyrande forskrift og rettleiar Vedtatt i kommunestyret 24.05.2016 Innhald 1. Føremål... 2 2. Etikk... 2 3. Val og samansetjing...

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

MØTEPROTOKOLL. Personalutvalet. Møtestad: Formannskapssalen Møtedato: 30.11.2009 Frå: 18.00 til 19.30

MØTEPROTOKOLL. Personalutvalet. Møtestad: Formannskapssalen Møtedato: 30.11.2009 Frå: 18.00 til 19.30 OS KOMMUNE Personalavdelinga MØTEPROTOKOLL Personalutvalet Møtestad: Formannskapssalen Møtedato: 30.11.2009 Frå: 18.00 til 19.30 Innkalte: Funksjon Leiar Nestleiar Medlem Tilsette repr Tilsette repr Namn

Detaljer

SAKSFRAMLEGG. Sakshandsamar: Vidar Roseth Arkivsaksnr.: 06/482

SAKSFRAMLEGG. Sakshandsamar: Vidar Roseth Arkivsaksnr.: 06/482 SAKSFRAMLEGG Sakshandsamar: Vidar Roseth Arkivsaksnr.: 06/482 Arkiv: F00 ARBEIDS- OG VELFERDSKONTOR I BALESTRAND KOMMUNE - MÅL, INNHALD OG FRAMDRIFTSPLAN Vedlegg: Bakgrunn: Sak 3/07 i utval for oppvekst

Detaljer

Rapport frå tilsyn med Nav Os kommune 2014

Rapport frå tilsyn med Nav Os kommune 2014 Sakshandsamar, innvalstelefon Hilde Ordemann, 55 57 22 12 Vår dato Dykkar dato Vår referanse 2014/2325 721.0 Dykkar referanse Rapport frå tilsyn med Nav Os kommune 2014 Adressa til verksemda: Postboks

Detaljer

Legge til brukar. Legge til ein lærar Då det er lite utskifting på lærarar så legg eg til dei manuelt 1. Klikk Kontoredigering Legg til Manuelt

Legge til brukar. Legge til ein lærar Då det er lite utskifting på lærarar så legg eg til dei manuelt 1. Klikk Kontoredigering Legg til Manuelt Legge til brukar Legge til ein lærar Då det er lite utskifting på lærarar så legg eg til dei manuelt 1. Klikk Kontoredigering Legg til Manuelt 2. Skriv inn Fornamn, Etternamn og Klasse. Dersom programmet

Detaljer

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

EIGENKONTROLL OPPFØLGING

EIGENKONTROLL OPPFØLGING HORDALAND FYLKESKOMMUNE Organisasjonsavdelinga Arkivsak 201106894-9 SAKNR. Arkivnr. 09 DATO 22. mars 2012 Saksh. Bjørgo, Vigdis Delegasjonsmyndighet Fylkesrådmannen Delegasjonsreglement pkt. 2.9. EIGENKONTROLL

Detaljer

TILSYNSRAPPORT. Kommunen som barnehagemyndigheit. Selje kommune

TILSYNSRAPPORT. Kommunen som barnehagemyndigheit. Selje kommune TILSYNSRAPPORT Kommunen som barnehagemyndigheit Selje kommune 1 Innhald Samadrag... 3 1. Innleiing... 4 2. Om tilsynet med Selje kommune... 4 2.1 Fylkesmannen fører tilsyn med kommunen som barnehagemyndigheit...

Detaljer

SAKSDOKUMENT. Utvalsaksnr Utval Møtedato Formannskapet

SAKSDOKUMENT. Utvalsaksnr Utval Møtedato Formannskapet Fjell kommune Arkiv: Saksmappe: 2014/2350-21542/2014 Sakshandsamar: Grethe Bergsvik Dato: 09.10.2014 SAKSDOKUMENT Utvalsaksnr Utval Møtedato Formannskapet Drøftingssak - Eigarskapsmelding 2015 Samandrag

Detaljer

Postboks 24, 5649 Eikelandsosen Tidsrom for tilsynet: 10. og 12. november 2015 Kontaktperson i verksemda: Hanne Lygre, leiar Nav Fusa

Postboks 24, 5649 Eikelandsosen Tidsrom for tilsynet: 10. og 12. november 2015 Kontaktperson i verksemda: Hanne Lygre, leiar Nav Fusa Sakshandsamar, innvalstelefon Vibeke Herskedal, 55 57 22 44 Vår dato Dykkar dato Vår referanse Dykkar referanse Rapport frå tilsyn med Nav Fusa kommune Adressa til verksemda: Postboks 24, 5649 Eikelandsosen

Detaljer

Saksnr Utval Møtedato Utdanningsutvalet 05.09.2013. I sak Ud-6/12 om anonym retting av prøver gjorde utdanningsutvalet slikt vedtak;

Saksnr Utval Møtedato Utdanningsutvalet 05.09.2013. I sak Ud-6/12 om anonym retting av prøver gjorde utdanningsutvalet slikt vedtak; saksframlegg Dato: Referanse: Vår saksbehandlar: 14.08.2013 49823/2013 Sverre Hollen Saksnr Utval Møtedato Utdanningsutvalet 05.09.2013 Anonym retting av prøver våren 2013 Bakgrunn I sak Ud-6/12 om anonym

Detaljer

KONTROLLUTVALET FOR RADØY KOMMUNE MØTEUTSKRIFT

KONTROLLUTVALET FOR RADØY KOMMUNE MØTEUTSKRIFT Radøy kommune KONTROLLUTVALET FOR RADØY KOMMUNE MØTEUTSKRIFT Møtedato: 10.02.2015 Stad: Kommunehuset Kl.: 09.00 12.35 Tilstades: Arild Tveranger leiar, Astrid Nordanger nestleiar, Jan Tore Hvidsten, Oddmund

Detaljer

Årsmelding 2011-2012 Austevoll maritime fagskule 2-årig maritim fagskule : Skipsoffisersutdanning- nautikk

Årsmelding 2011-2012 Austevoll maritime fagskule 2-årig maritim fagskule : Skipsoffisersutdanning- nautikk Årsmelding 2011-2012 Austevoll maritime fagskule 2-årig maritim fagskule : Skipsoffisersutdanning- nautikk Årsmeldinga frå Austevoll maritime fagskule gjev ein oppsummering av dei viktigaste funna i student

Detaljer

Rettleiing for revisor sin særattestasjon

Rettleiing for revisor sin særattestasjon Rettleiing for revisor sin særattestasjon Om grunnstønad til nasjonalt arbeid til frivillige barne- og ungdomsorganisasjonar, statsbudsjettets kap. 857, post 70 (Jf. føresegn om tilskot til frivillige

Detaljer

Endeleg rapport frå tilsyn med Fjell kommune ved Nav Fjell 2013

Endeleg rapport frå tilsyn med Fjell kommune ved Nav Fjell 2013 Endeleg rapport frå tilsyn med Fjell kommune ved Nav Fjell 2013 Adressa til verksemda: Postboks 184 5342 STRAUME Tidspunkt for tilsynet: 20. november 2013 Kontaktperson i verksemda: Kristoffer Møvik Kontaktperson

Detaljer

Sakshandsamar: Arkiv: ArkivsakID Willy Andre Gjesdal FE - 223, FA - C00 14/1418

Sakshandsamar: Arkiv: ArkivsakID Willy Andre Gjesdal FE - 223, FA - C00 14/1418 Vaksdal kommune SAKSFRAMLEGG Saksnr: Utval: Dato Formannskap/plan- og økonomiutvalet Kommunestyret Sakshandsamar: Arkiv: ArkivsakID Willy Andre Gjesdal FE - 223, FA - C00 14/1418 Revisjon av retningsliner

Detaljer

Styresak. Styresak 011/06 B Styremøte 08.02. 2006

Styresak. Styresak 011/06 B Styremøte 08.02. 2006 Styresak Går til: Styremedlemmer Selskap: Helse Vest RHF Dato: 31.01.2006 Sakshandsamar: Saka gjeld: Per Karlsen VAL AV KONTROLLKOMITÉ Styresak 011/06 B Styremøte 08.02. 2006 Styret handsama sak 54/05

Detaljer

Øygarden kommune Plan for forvaltningsrevisjon

Øygarden kommune Plan for forvaltningsrevisjon Øygarden kommune Plan for forvaltningsrevisjon 2016 2020 Oktober 2016 Member of Deloitte Touche Tohmatsu Limited Innhald 1 Innleiing 5 1.1 Krav til forvaltningsrevisjon 5 1.2 Plan for forvaltningsrevisjon

Detaljer

Plan for forvaltningsrevisjon

Plan for forvaltningsrevisjon Time Kommune Plan for forvaltningsrevisjon 2012-2015 Rogaland Kontrollutvalgssekretariat IS Vedteke av kommunestyret 6. november 2012 INNHALD INNHALD... 2 PLAN FOR FORVALTNINGSREVISJON TIME KOMMUNE...

Detaljer

IKT-reglement for Møre og Romsdal fylkeskommune

IKT-reglement for Møre og Romsdal fylkeskommune IKT-reglement for Møre og Romsdal fylkeskommune Innhald IKT-reglement for Møre og Romsdal fylkeskommune... 1 1 Formål... 2 2 Virkeområde... 2 3 Rettar og pliktar... 2 4 Generelle reglar for god bruk av

Detaljer

Arbeidsmiljølova gjev arbeidstakarar rett til å varsla om kritikkverdige tilhøve i eiga verksemd:

Arbeidsmiljølova gjev arbeidstakarar rett til å varsla om kritikkverdige tilhøve i eiga verksemd: Varsling: Rettleiing for deg som mottek eit varsel Rutine og sakshandsamingsprinsipp 1. Innleiing Fedje kommune ønskjer at kritikkverdige tilhøve i kommunen vert avdekka og rydda opp i. Tilsette og andre

Detaljer