IT-sikkerheit. - Kviteseid kommune - Forvaltningsrevisjonsrapport nr: Telemark kommunerevisjon IKS

Størrelse: px
Begynne med side:

Download "IT-sikkerheit. - Kviteseid kommune - Forvaltningsrevisjonsrapport nr: 729 007. Telemark kommunerevisjon IKS"

Transkript

1 IT-sikkerheit - Kviteseid kommune - Forvaltningsrevisjonsrapport nr: Telemark kommunerevisjon IKS

2 Innhald Samandrag...iv 1 Innleiing Bakgrunn Problemstillingar Avgrensing Metode Val av metode Kvalitetssikring Er risikoen vurdert ved ein systematisk gjennomgang for å identifisere truslar og etablere tilstrekkelege sikkerheitstiltak? Revisjonskriterium Funn og fakta Revisor sine vurderingar Tilråding Er alle relevante lovar og kontraktmessige krav tydeleg definert og dokumentert for kvart enkelt informasjonssystem? Revisjonskriterium Funn og fakta Revisor sine vurderingar Tilråding Er kommunen sin sikkerheitsstrategi, -mål og aktivitetar reflektert i verksemda sine mål?...10 a) Har leiinga utarbeidd eit overordna dokument for kommunen sin sikkerheitsstrategi? Revisjonskriterium Funn og fakta Revisor sine vurderingar Tilråding...12 b) Er det klare ansvars og myndeforhold? Revisjonskriterium Funn og fakta Revisor sine vurderingar Tilråding...13 c) Er det etablert sikkerheitstiltak? Revisjonskriterium Funn og fakta Revisor sine vurderingar Tilråding...18 Telemark kommunerevisjon IKS ii

3 d) Er det etablert sikkerheit i høve til tredjepartar? Revisjonskriterium Funn og fakta Revisor sine vurderingar Oppsummering og totalkonklusjon...19 Litteratur og kjeldereferansar...20 Vedlegg...22 Telemark kommunerevisjon IKS iii

4 Samandrag Rapporten IT-sikkerheit er gjennomført som forvaltningsrevisjon og er ein del av vedtatt plan for forvaltningsrevisjon Bakgrunnen for prosjektet er at kommunen hadde eit innbrot der mellom anna edb-utstyr blei stole. Formålet med prosjektet er å undersøke om sikkerheita omkring IT er tilstrekkeleg god. Prosjektet kan medverke til at eventuelle manglar i systemet blir avdekka. Vi har med bakgrunn i bestillinga utforma ei overordna problemstilling: Har kommunen etablert tilfredstillande IT-sikkerheit, ved at informasjonen er sikra konfidensialitet, integritet og tilgjengelegheit? Den overordna problemstillinga blei delt i fleire underproblemstillingar. Problemstillingane er basert på NS-ISO/IEC (Informasjonsteknologi: administrasjon av informasjonssikkerhet) og er ein standard fastsett av Norges Standardiseringsforbund. Revisor har i all hovudsak henta inn opplysningar gjennom intervju og dokumentanalyse. Vi har hatt intervju med IT-ansvarlege i Kviteseid, Tokke og Vinje kommunar. Vi har og intervjua systemansvarlege for IT-systema i Kviteseid kommune, samt ein medarbeidar i Nissedal kommune. Våre undersøkingar viser at konfidensialiteten er delvis sikra. Det vil seie at det manglar overordna sikkerheitsdokument, at det til dels er uklare myndeforhold og at det ikkje er avviksrapportering. Men det er gode tilgangskontrollar og tryggleiken i samband med underleverandørar er tilstrekkeleg. Kontraktsmessige krav er overhalde, men vi meiner at ansvarsdelinga i samband med pliktig melding til datatilsynet er noko uklar. Integriteten er delvis sikra. Manglande overordna sikkerheitsdokument og avviksrapportering gjer at vi ikkje kan konkludere med at integriteten heilt ut er sikra. Tilgjengelegheita er delvis sikra. Det vil seie at det manglar overordna sikkerheitsdokument, risikovurderingane er ikkje dokumentert og den fysiske sikringa er ikkje tilstrekkeleg. Derimot er rutinar for sikkerheitskopiering og samarbeid med underleverandørar god. Vår konklusjon er derfor at kommunen delvis har etablert tilfredstillande IT-sikkerheit, men bør utvikle overordna dokument for IT-sikkerheit. Samarbeid med andre kommunar gjev god utnytting av knappe ressursar, både med tanke på økonomi og kompetanse. Telemark kommunerevisjon IKS iv

5 Vi har følgjande tilrådingar til kommunen: Kommunen bør utarbeide ei risikovurdering for dei einskilde fagapplikasjonar som kommunen nyttar i si sakshandsaming. I dokumentasjonen bør det kome fram eit resultat av vurderinga som samsvarer med gjeldande krav/reglar og kva som er akseptabel risiko. Kommunen bør samtidig utarbeide ei rutine for når ei risikovurdering skal gjennomførast. Kommunen bør utarbeide eit overordna dokument som inneheld sikkerheitsmål, strategi og organisering. Dokumentet bør og innehalde beredskapsplanar som dekker katastrofesituasjonar. Kommunen bør utvikle rutinebeskrivingar som er tilpassa IT-systemet i eigen kommune. Serverrom bør sikrast slik at det blir brannsikkert. Kommunen bør utarbeide ei fullstendig oversikt over fagsystema som synar kva slags lovheimel for sakshandsaming den einskilde sektor nyttar, om det trengs konsesjon eller melding, type lisens og tal på brukarar. Kommunen bør og avklare om meldeplikta til datatilsynet er overhalde. Kommunen bør klargjere ansvarsfordelinga/oppgåvefordelinga i kommunen. Dei tilsette bør delta i prosessar med omlegging/val av nye system. Skien, 4. mars 2008 Telemark kommunerevisjon IKS Alf Olav Uldal forvaltningsrevisor Marianne Rogn revisor Telemark kommunerevisjon IKS v

6 1 Innleiing Rapporten IT-sikkerheit er gjennomført som forvaltningsrevisjon. Heimel for forvaltningsrevisjon er gjeve i kommunelova 77 nr. 4, med nærare vilkår i forskrift om kontrollutval kap. 5 og forskrift om revisjon kap Dette prosjektet er gjennomført etter vedtatt plan for forvaltningsrevisjon Rapporten blir oversendt kontrollutvalet som vidare skal gje rapport til kommunestyret om kva for forvaltningsrevisjonar som er gjennomført og om resultata av desse, jf. forskrift om kontrollutval 11, og forskrift om revisjon Bakgrunn Bakgrunnen for prosjektet var at kommunen hadde eit innbrot der mellom anna edb-utstyr blei stole. Formålet med prosjektet er å undersøke om sikkerheita omkring IT er tilstrekkeleg god. Prosjektet kan medverke til at eventuelle manglar i systemet blir avdekka. 1.2 Problemstillingar Vi har med bakgrunn i bestillinga utforma ei overordna problemstilling: Har kommunen etablert tilfredstillande IT-sikkerheit, ved at informasjonen er sikra konfidensialitet, integritet og tilgjengelegheit? For å kunne svare på dette spørsmålet, har vi utforma følgjande problemstillingar: 1) Er risikoen vurdert ved ein systematisk gjennomgang for å identifisere truslar og etablere sikkerheitstiltak? 2) Er alle relevante lovar og kontraktmessige krav tydeleg definert og dokumentert for kvart enkelt informasjonssystem? 3) Er kommunen sin sikkerheitsstrategi, -mål og aktivitetar reflektert i verksemda sine mål? a) Har leiinga utarbeidd eit overordna dokument for kommunen sin sikkerheitsstrategi? b) Er det klare ansvars og myndeforhold? c) Er det etablert sikkerheitstiltak? d) Er det etablert sikkerheit i høve til tredjepartar? I denne forvaltningsrevisjonsrapporten er revisjonskriteria satt opp for kvar problemstilling og dei kan i mange tilfelle oppfattast som overlappande. Problemstillingane er basert på NS-ISO/IEC (Informasjonsteknologi: administrasjon av informasjonssikkerhet) og er ein standard fastsett av Norges Standardiseringsforbund. 1.3 Avgrensing Prosjektet er tidsmessig avgrensa til Vi har ikkje evaluert dei einskilde tekniske løysingane, men har vald å sjå korleis rutinar og styrande dokument kring IT fungerar. 1 Jf. forskrifter av 15. juni Telemark kommunerevisjon IKS 1

7 2 Metode 2.1 Val av metode Før arbeidet starta, hadde vi møte med økonomisjef og IT-ansvarleg i kommunen for å innhente bakgrunnsinformasjon og faktaopplysningar, og orientere nærare om gjennomføringa av prosjektet. Revisor har i all hovudsak henta inn opplysningar gjennom intervju. Vi har hatt intervju med IT-ansvarlege i Kviteseid, Tokke og Vinje kommunar. Vi har og intervjua systemansvarlege for IT-systema i kommunen sektorleiar helse og oppvekst (per telefon og e-post), sosialleiar, einingsleiar heimetenesta, arkivansvarleg, systemansvarleg for Profdoc og Winmed helse. Vi har og snakka med medarbeidar i Nissedal kommune som er ansvarleg for lønssystemet i Kviteseid kommune. På førehand utarbeida vi intervjuguidar 2 for å standardisere spørsmåla, sjå vedlegg 1. Intervjua blei likevel gjennomført slik at kvar einskild respondent 3 kunne koma med tilleggsopplysningar. Styrken ved denne intervjuforma er at ein held seg til tema og får ein viss struktur i intervjuet, samtidig som det opnar for individuelle skilnader. Vi har hatt ein generell gjennomgang av aktuelle dokument i saka for å innhente naudsynte opplysningar. Dette gjeld interne dokument som til dømes retningsliner og relevant regelverk. Vi har inspisert serverrom og andre rom der data blir handsama og lagra i Kviteseid, Tokke og Vinje kommunar. 2.2 Kvalitetssikring Rapporten er sendt til Kviteseid kommune v/ rådmannen som ei kvalitetssikring i høve til faktaopplysningar og som ein moglegheit for administrasjonen til å gje kommentarar til innhaldet før politisk handsaming. Kommentarane frå rådmannen følgjer rapporten som vedlegg 6. Revisjonen sin kommentar til attendemeldinga frå administrasjonen: Vi baserte det vi skreiv i bakgrunnen for revisjonen på kva som stod i bestillinga frå kontrollutvalet. Vi har likevel forandra på ordlyden slik at den er i samsvar med administrasjonen sine ønskjer, og slik at det ikkje blir nokon mistydingar. 2 Hugseliste over tema som skal tas opp i eit intervju 3 Deltakar i ei spørjeundersøking/intervju Telemark kommunerevisjon IKS 2

8 3 Er risikoen vurdert ved ein systematisk gjennomgang for å identifisere truslar og etablere tilstrekkelege sikkerheitstiltak? Risikovurdering er utgangspunktet for eitkvart arbeid med å sikre tryggleiken. Det er ein føresetnad for å avdekkje sårbare punkt og setje i verk sikringstiltak. Formålet med risikovurdering er å undersøke hvorvidt den risiko som avdekkes er innenfor de akseptkriterier virksomheten har fastlagt. Risikovurderingen danner grunnlag for iverksetting av nødvendige sikkerhetstiltak, og inngår i underlaget for ledelsens gjennomgang av informasjonssystemet og informasjonssikkerheten. 4 Nokre opplysningar i datasystemet krev særskilde sikringstiltak, som til dømes personopplysningar. Jf. personopplysningsloven 5 13, 1.ledd står det: Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Jf. 2-4, 2. og 5. ledd: Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal dokumenteres. Risiko kan målast i to storleikar: kor sannsynleg det er at noko skjer og kva slags konsekvensar denne hendinga kan få. Ei risikovurdering skal resultere i: - oversikt over identifiserte truslar - vurdering av kor sannsynleg det er at ei uønska hending skal skje - vurdering av konsekvensar av ei uønska hending - vurdering av kva slags effekt sikkerheitstiltaka vil ha i høve til risiko - vurdering av kva slags sikkerheitstiltak kommunen treng for det einskilde informasjonssystem Ei risikovurdering skal vere eit styringsreiskap for den som har ansvaret for informasjonstryggleiken. 3.1 Revisjonskriterium Det bør vere dokumentasjon på at det er utført ei systematisk risikovurdering. Risikovurderinga skal beskrive risiko som vert avdekka og samanlikne dette med det som er definert som akseptabelt risikonivå. Restrisiko skal handterast ved hjelp av sikkerheitstiltak, anten for å redusere konsekvensane eller sannsynet for uønska hendingar. Revisjonskriterium er ei samlenemning på reglar og normer som gjeld innafor det området som blir undersøkt. Kriteria ligg til grunn for dei vurderingar og konklusjonar som vert gjort. 3.2 Funn og fakta Kviteseid kommune har ikkje utarbeidd eit eige dokument for vurdering av risiko og vurdert kva som er akseptabel risiko for dei einskilde fagapplikasjonane. Kommunen har heller ikkje 4 Datatilsynet, Veiledning i informasjonssikkerhet for kommuner og fylker, Datatilsynet 5 Lov nr. 31 om behandling av personopplysninger Telemark kommunerevisjon IKS 3

9 utarbeidd beredskapsplanar der IT-tryggleik er integrert. I dokumentet Datasikkerhet rutinebeskrivelser 6 er det eit eige punkt som omhandlar driftsavbrot, men retningslinene dekkjer ikkje katastrofesituasjonar og er heller ikkje tilpassa eigen kommune. Kva slags tryggingstiltak kommunen og deira underleverandørar har sett i verk blir omtala under punkt 5 c. Det er utarbeidd dokumentasjon på sikkerheitsløysingar i kommunen sitt nettverk. Dokumentasjonen er frå Om det seinare er gjort endringar som kan ha konsekvensar for dokumentasjonen og som burde vore innarbeidd, veit vi ikkje. I vedtekter (samarbeidsavtale) for samarbeid om drift av datasystem mellom kommunane Vinje, Tokke og Kviteseid står det at: Ein skal leggje vekt på å samordne og utnytte ressursar, dele kunnskapar og sikre datatryggleiken i samsvar med gjeldande regelverk (personopplysningslova, kommunelova, arkivlova og Datatilsynets retningslinjer m.m.) Det er i tilknyting til samarbeidet utpeika eit styre der rådmannen frå kvar kommune eller den rådmannen peiker ut, sit. Styret sitt mandat er i høve til avtala. Vedtak som går lengre enn mandatet må godkjennast av dei respektive kommunestyra. I tillegg til organisering og mandatet i avtala, beskriv avtala deltakarkommunane sitt ansvar, praktisk oppgåveløysing, fordeling av kostnader, oppløysing av samarbeidet m.m. Kommunen tek i bruk ein ny applikasjon, Profil, innanfor pleie- og omsorgssektoren. Fagsystemet vil innehalde sensitive personopplysningar. Det er ingen skriftleg dokumentasjon på kva slags personopplysningar som vil bli lagt inn, men vi fekk opplyst at det vil vere nødvendig å legge generelle helseopplysingar inn i systemet. I dokumentet Datasikkerhet rutinebeskrivelser er det retningsliner for klassifisering av personopplysningar. Retningslinene kan nyttast utan særskild tilpassing for kommunen. Det er heller ikkje utarbeidd risikovurdering for dette fagsystemet. Kommunen har og tatt i bruk ein ny versjon av applikasjonen ephorte. Versjonen gjev tilgang til elektronisk arkivering. Det inneber at det ikkje lenger er nødvendig å arkivere dokument i papirversjon, dvs. ei vesentleg endring frå tidlegare versjonar. Det er ikkje gjennomført ei ny risikovurdering ved implementering av denne nye versjonen. 3.3 Revisor sine vurderingar Omgrepet IKT-tryggleik byggjer på desse tre basiseigenskapane: - Integritet at systemet er sikra mot manipulering med systemets funksjon og informasjon. - Tilgjengelegheit at systemet er sikra mot avbrot i den forventa funksjonen og at systemet har tilgang til nødvendig datainnhald. - Konfidensialitet at systemets funksjon og datainnhald er sikra mot innsyn. Tilfeldig svikt eller eit tilsikta angrep mot informasjonen innan ein infrastruktur, vil bestå av eit sett med verkemiddel retta mot ein eller fleire av desse eigenskapane. 7 6 Seltveit, G., Datasikkerhet - rutinebeskrivelser, Tokke kommune 7 Stortingsmelding nr. 17 ( ) Eit informasjonssamfunn for alle, Stortinget, side 146 Telemark kommunerevisjon IKS 4

10 Kva slags truslar kan ein kommune bli utsett for? Trusselbiletet kan vere omfattande med tanke på angrep og andre uønska hendingar. Angrep frå internett er lett å sjå for seg og ofte er desse angrepa ikkje retta mot nokon spesielle mål. Det gjeld til dømes virus, ormar, spionprogram og phishing. 8 Desse søkjer automatisk etter system som er dårleg sikra. Det er difor ingen grunn til å tru at ein liten kommune ikkje kan blir råka av eit slikt angrep. Antivirusprogram, brannmurar og snokvarslingssystem er verktøy som ofte blir nytta for å hindre slike angrep. Dokumentasjonen som er utarbeidd for kommunen sitt nettverk i 2005 er kan hende tilstrekkeleg, men det er avhengig av om det berre har vore mindre endringar i ettertid. Har det vore større endringar burde dokumentasjonen vore gjennomgått og oppdatert. Andre truslar som tjuveri, brann og vasslekkasjar kan føre til både driftsavbrot og at informasjon kjem på avvege. Kven kan vere interessert i den informasjonen som ligg i systemet? Kva slags tilfeldige svikt kan vi sikra oss mot og kor lenge kan vi tole eit avbrot? I ei vurdering av risiko bør kommunen skildre dei uønska hendingane som kan skje og kor sannsynleg det er at det skjer. Tekniske løysingar aleine er ikkje alltid godt nok for å sikra seg mot uønska hendingar. Kanskje må ei eller anna form for overvaking til, slik som gjennomgang av tryggingsloggar. Ei vurdering av kor sannsynleg det er at dette kan skje heng samen med nødvendige tryggingstiltak og eventuell beredskapsplan. Dette bør vere beskrive i eit dokument. Det kan og vere aktuelt å utarbeide ein beredskapsplan for å klargjere kva som må til for å gjenopprette drift av nettverk og kva slags fagsystem som fyrst vert prioritert. Personopplysingslova inneheld reglar om informasjonssikring og internkontroll. Leiinga er ansvarleg for å etterkomme sikkerheitskrava. Internkontrollbestemmelsen i 14 innebærer en plikt for den behandlingsansvarlige til å vurdere om det er behov for iverksette tiltak for å oppfylle de krav til behandlingen av personopplysninger som er fastsatt i eller i medhold av lov. Tiltakene skal være planlagte, dvs. de må foreligge på forhånd, primært før behandlingen starter. Tiltakene skal videre være systematiske, noe som innebærer at de skal være resultat av en helhetlig tilnærming og ikke ha karakter av å være tilfeldige. Tiltakene skal ikke minst være dokumenterte, dvs. de må foreligge i en form som gjør det mulig å tilegne seg kunnskap om dem (skrift, tegning, bilder m.v.). 9 Det same gjeld i høve til helseregisterlova. 10 I faktaark 7 11 heiter det; Virksomhetens ledelse er ansvarlig for å gjennomføre risikovurdering av behandling av helse- og personopplysninger. Risikovurdering skal gjennomføres før behandling av helse- og personopplysninger startes, og ved endringer av behandlinger som kan påvirke sikkerheten. I dette faktaarket finn vi mellom anna tilrådingar om korleis risikovurdering av personopplysningar bør gjennomførast. Å gjennomføre ei risikovurdering 12 er ein aktivitet som er avhengig av tilhøva, dvs. at arbeidet settast i gang ved behov. Da kommunen vedtok å innføre eit nytt databasert program innan pleie- og omsorg burde arbeidet med å dokumentere vurdering av risiko starta forholdsvis tidleg. Ved innføring av ny programvare eller versjonar som er vesentleg endra, vil kommunen sannsynlegvis dra nytte av samarbeidsavtala dei har med andre kommunar slik 8 Sjå vedlegg 2 for forklaring av omgrep. 9 Schartum, D.W Lov om behandling av personopplysninger, Lov og rett, s Lov nr 24 om helseregistre og behandling av helseopplysninger, kapittel Sosial- og helsedirektoratet, Norm for informasjonssikkerhet i helsesektoren, Sosial- og helsedirektoratet 12 Sjå vedlegg 4 for døme på skjema for risikovurdering.. Sosial- og helsedirektoratet, Norm for informasjonssikkerhet i helsesektoren, (støttedokument) Faktaark nr. 7: Risikovurderinger, Sosial- og helsedirektoratet Telemark kommunerevisjon IKS 5

11 at arbeidet med dokumentasjonen blir så effektiv som mogleg. Vi meiner at dette samarbeidet og bør kunne utnyttast for å få på plass manglande og pliktig dokumentasjon. 3.4 Tilråding Kommunen bør utarbeide ei risikovurdering for dei einskilde fagapplikasjonar som kommunen nyttar i si sakshandsaming. I dokumentasjonen bør det kome fram eit resultat av vurderinga som samsvarer med gjeldande krav/reglar og kva som er akseptabel risiko. Kommunen bør samtidig utarbeide ei rutine for når ei risikovurdering skal gjennomførast. 4 Er alle relevante lovar og kontraktmessige krav tydeleg definert og dokumentert for kvart enkelt informasjonssystem? Kva slags lovar som er relevante er avhengig av kva slags informasjon som skal handsamast. Personopplysningar skal handsamast i samsvar med personopplysningslova og evt. Helseregisterlova, jf forskrift om behandling av personopplysningar 2-4, 1. ledd, 1.setning står det: Det skal føres oversikt over hva slags personopplysninger som behandles. Om kommunen treng konsesjon på einskilde elektroniske personopplysningsregister må vurderast i kvart enkelt høve. Nokre elektroniske register kan opprettast med heimel i lov, som til dømes sosialtenestelova og kommunehelsetenestelova. Kommunen har i alle høve meldeplikt til Datatilsynet når kommunen opprettar eit elektronisk register med heimel i lov. Jf. forskrift om behandling av personopplysninger 3-1, 3.ledd bokstav f, skal kommunen ha rutinar for oppfylling av sine plikter i samband med personopplysningslova sine reglar om melde- og konsesjonsplikt. Kontraktsmessige krav er mellom anna krav i samband med opphavsrett og grense for kopiering av proprietært 13 materiell. Til vanleg blir proprietære programvareprodukt 14 levert med ein lisensavtale. Kontraktsmessige krav kan og vere krav i samband med avtala kommunen har med sine underleverandørar, til dømes om leverandøren si teieplikt. 4.1 Revisjonskriterium Det bør vere dokumentasjon som viser ei oversikt over kva slags opplysningar som blir handsama i det einskilde datasystem og kva slags lovar som er knytt til opplysningane. I samband med oversikta bør det vere ei vurdering av om det er krav til konsesjon eller melding til Datatilsynet for behandling av dei opplysningar som kan finnast i datasystemet. Det bør vere dokumentasjon på at kommunen sitt datasystem/programvare er i samsvar med aktuell lisensavtale, konsesjonsplikt eller meldeplikt. 13 Eit format som ikkje er fritt, men som er eigd av eit selskap ved at selskapet eig spesifikasjonen av formatet og kontrollerar den vidare utviklinga av det, kallast proprietært. 14 Systemprogramvare omfattar mellom anna operativsystemet, drivarar, og anna som er nødvendig for å kunne køyre applikasjonar. Telemark kommunerevisjon IKS 6

12 4.2 Funn og fakta Kommunen har fleire applikasjonar 15 som dei nyttar i si sakshandsaming som inneheld opplysningar som ikkje kan gjerast offentlege. I nokre applikasjonar ligg det og sensitive personopplysningar. Det var ikkje utarbeidd ein fullstendig oversikt over kva slags applikasjonar kommunen nyttar, men på vår førespurnad blei det laga ei oversikt over kva slags fagsystem kommunen nyttar og kven som hadde ansvaret for dei. Applikasjonen Profdoc blir nytta av legekontoret. Applikasjonen på helsestasjonen heiter Winmed helse. Profil er ein applikasjon som blir nytta av pleie og omsorg, og sosialtenesta nyttar Velferd. Alle desse applikasjonane er lagt i ei lukka sone og kan innehalde sensitive personopplysningar. 16 Andre applikasjonar som til dømes Ephorte sak/journal og Agresso økonomi og lønn ligg i ei open sone. Desse applikasjonane kan innehalde personopplysningar, men bør ikkje innehalde sensitive personopplysningar. Ephorte sak/journal kan likevel innehalde sensitive personopplysningar i følgje arkivansvarleg. Tabell 1 viser ein oversikt over dei fagsystema kommunen nyttar i sakshandsaminga. Tab. 1:Oversikt over fagsystem nytta i lokal sakshandsaming Fagsystem som er nytta i den lokale sakshandsaminga Konsesjonsplikt eller meldeplikt Sensitive personopplysningar Open eller lukka sone Intern eller ekstern server 17 Ephorte sak journal Uklart O E Agresso økonomi Nei O E Skatt Nei O E Kartsystem Nei O E Kommunegab Nei O E Norkap Nei O E Profdoc Ja Ja L I Winmed helse Ja Ja L I Profil Ja Ja L E Velferd Ja Ja L E Det er uklart kven som har ansvaret for at det blir gjeve melding til datatilsynet når applikasjonar som kan innehalde sensitive personopplysningar blir tatt i bruk. Det er og uklart om slik melding er gjeve for dei applikasjonar som kan innehelde sensitive personopplysningar og som allerede er i bruk. Active Direktory Design er eit dokument som syner korleis ein datamodell for implementering av intern og sikker sone er nytta i same server. Dokumentet syner og kven som har opphavsretten. Dokumentet er basert på Microsoft Best Practice og tilfredsstiller krav og tilrådingar frå Datatilsynet. Dokumentet skildrar administrasjon, design, nettverkstenester, 15 Applikasjon er ei programvare som nyttar seg av datamaskina sine ressursar til ei oppgåve som brukaren ønskjer utført. 16 Sjå vedlegg 2 for definisjon på sensitive opplysninger. 17 Omgrepet tener/server er ofte brukt om maskinvara som programmet (eller programma) køyrast frå. Til dømes kan ein og same datamaskin tilby fleire tenester samtidig, om maskina har kapasitet til å utføre alle oppgåvene. Telemark kommunerevisjon IKS 7

13 namnestandard, sameksistens med andre tenester og operativsystem, printerløysingar og diverse sikkerheitsløysingar. Dokumentet er å oppfatte som kommunen sin standard. Det er ikkje utarbeidd ei samla oversikt over applikasjonar med lisensar, tal på brukarar og om lisensen gjeld absolutte brukarar eller samtidige brukarar. I følgje sektorleiar har Profil 95 brukarar, Profdoc 10 brukarar, Winmed helse 3 brukarar og Velferd 3 brukarar. På terminalserver er det installert 20 stk CAL lisensar, jf. Ny løsning i sikker sone utarbeidet av Itum system i Talet på lisensar er installert med bakgrunn i utskifting av legar og at tilgangen til legar som sluttar i kommunen ikkje blir sletta frå applikasjonen. Fleire aktiverte lisensar er dokumentert, jf. Terminalserver utarbeidd av Itum system i IT-ansvarleg gjorde oss merksam på at det kan vere knytt restriksjonar til einskilde dokument i samband med kopiering. Itum system AS har copyright på dokument som skildrar deira installasjon av terminalserver (Citrix02). Rapporten Active Direktory Design har avgrensa rettar, dvs. dokumentet kan ikkje seljast eller nyttast kommersielt utan skriftleg avtale. Datamodellen og dokumentasjonsmalen er beskytta av åndsverklova. Driftsavtalane mellom Tokke og Kviteseid kommunar på programma Profil og Velferd pålegg Kviteseid kommune å ha nødvendige bruksrettar. Rettane skal vere dokumentert. 4.3 Revisor sine vurderingar Kommunen må sjølv vurdere når behandlinga av personopplysningar er meldepliktige og når behandlingar er konsesjonspliktige. Datatilsynet gjev rettleiing i når kommunane må søke konsesjon eller gje melding i samband med personopplysningar. Konsesjonsplikten gjelder for elektronisk behandling av sensitive opplysningar. Meldeplikten gjelder for elektronisk behandling av ikke-sensitive personopplysninger. Kommunene har unntak fra konsesjonsplikt for behandlinger av personopplysninger som har hjemmel i egen lov. Når behandlingen er unntatt konsesjonsplikt, skal den meldes til Datatilsynet i stede. 18 Datatilsynet har i samband med rettleiinga gjeve ut ei liste med nokre eksempel over kva slags etatar/verksemder i kommunen som har fritak frå konsesjon med heimel i lov, sjå tabell 2. Tabell 2: Datatilsynet si liste over kva slags lovheimel som berre krev melding. Lista er ikkje uttømmande. Etat/verksemd Heimel i lov Barnevern Barnevernlova 3-1(jf. kap. 4) Sosialtenesten Sosialtenestelova 2-1 (jf. kap. 4, 5 og 6) Rusmiddeletaten Sosialtenestelova kap. 6 PP-tenesten Opplæringslova 13-5, 1.ledd, jf. 5-6 Familievernkontor Familievernkontorlova 11, jf. Kontantstøtte-register: Kommunen sitt register over barn som oppfyller vilkåra for kontantstøtte. 1 Barnehagelova 8a 18 Datatilsynet, Konsesjons- eller meldeplikt for kommunene (artikkel), Datatilsynet Telemark kommunerevisjon IKS 8

14 Kommunehelsetenesta sine behandlingsretta register Helsepersonellova 26 og 39 (journal)/pasientadministrasjon innan ramma av helsepersonellova 26. Unntaket frå konsesjonsplikta gjeld berre så langt behandlingane skjer innanfor ramma i dei einskilde lovane. Med bakgrunn i informasjon vi har motteke, antek vi at kommunen ikkje har tilstrekkeleg oversikt over kva slags personopplysningar dei handsamar. Vi kan heller ikkje stadfeste at meldeplikta til Datatilsynet er overhalde. Dei fleste programvarene i kommunen er lisensbaserte. Ei lisensavtale er eit bevis på at kommunen har rett til å bruke programvara. Nokre av lisensavtalane har krav om tal på brukarar av programvara, anten samtidige brukarar eller absolutte brukarar. Kommunen bør difor ha ei oversikt over kor mange brukarar det er som har tilgang til programvara. Visst det er krav til absolutte brukarar av ei programvare, bør den dataansvarlege anten nekte å gje tilgang til fleire brukarar eller utvide lisensen for tal på brukarar. Det siste kan føre til auka lisenskostnader. Vi har ikkje gått gjennom kommunen sine lisensavtaler, men meiner på bakgrunn av den informasjon vi har motteke, at kommunen har nødvendige lisensar for deira datasystem/programvarer. Det synast som at kommunen er klar over og tek omsyn til opphavsrettar, både når det gjeld programvare og når det gjeld dokument. På bakgrunn av dette kan vi konkludere med at kommunen overheld kontraktsmessige krav, men vi tilrår likevel at kommunen utarbeider ei fullstendig oversikt over lisensavtaler og brukarar. Dette kan også lette arbeidet med administrasjonen av avtalene. 4.4 Tilråding Kommunen bør utarbeide ei fullstendig oversikt over fagsystema som synar kva slags lovheimel for sakshandsaming den einskilde sektor nyttar, om det trengs konsesjon eller melding, type lisens og tal på brukarar. Kommunen bør avklare om meldeplikta til datatilsynet er overhalde. Telemark kommunerevisjon IKS 9

15 5 Er kommunen sin sikkerheitsstrategi, -mål og aktivitetar reflektert i verksemda sine mål? Følgjande gjeld generelt for problemstilling 5a, 5b, 5c og 5d: Kva som er kommunen sin politikk når det gjeld informasjonstryggleik bør vere kjent for alle tilsette i kommunen. Kommunen bør utarbeide klare retningsliner for informasjonssikkerheit. Handsaminga av personopplysningar er for kommunar regulert i personopplysningslova og helseregisterlova, der høvesvis 13 og 16 stiller krav til sikring av personopplysningar. Den som har ansvaret for handsaming av opplysningane er normalt representert ved administrativ leiing. Ansvaret inneber og at det settast av tilstrekkelege ressursar, både med tanke på personell og økonomi, slik at tilfredsstillande informasjonstryggleik vert oppretthalde. Samarbeid mellom partar og leige av personell som utfører oppgåver kommunen ikkje kan utføre sjølve, bør vere regulert i ei avtale. Gjennom arbeidet med risikovurdering bør kommunen dokumentere kva slags tryggingstiltak som er gjennomført og kva slags tryggingstiltak som bør gjennomførast. Det er verksemda si leiing som har ansvaret for utarbeiding av ei risikovurdering. Leiinga har og ansvaret for at det gjennomførast sikkerheitsrevisjon kvart år. Formålet med sikkerheitsrevisjon er å sikre at vedtekne sikkerheitsmål, -strategiar og organisering vert følgd. Resultatet av revisjonen dannar grunnlaget for eventuelle endringar. Informasjonssystemet skal nyttast i samsvar med faste rutinar. I den grad det er nødvendig for å oppnå tilfredsstillande informasjonstryggleik, skal det vere skriftlege rutinar for bruk, drift og vedlikehald av det einskilde utstyr eller program. Dette for å sikre at alle aktivitetar som er viktige for tryggleiken gjennomførast og at arbeidsoppgåvene blir utført likt kvar gong. Rutinane skal ha ein detaljeringsgrad som er tilpassa kommunen sitt behov og skal vise: - ansvar for at arbeidsoppgåva blir utført - ansvar for utarbeiding og vedlikehald av rutinen - tidspunkt for utføring av arbeidsoppgåva - kva slags aktivitet som skal gjennomførast - kva slags resultat ein skal oppnå og korleis dette blir rapportert i organisasjonen a) Har leiinga utarbeidd eit overordna dokument for kommunen sin sikkerheitsstrategi? 5.1 Revisjonskriterium Val og prioriteringar i sikkerheitsarbeidet skal kome fram i eit strategidokument. Kommunen skal utarbeide mål for informasjonssikkerheita. Sikkerheitsmåla skal mellom anna vise overordna krav til konfidensialitet, integritet og tilgjengelegheit for personopplysningar. Sikkerheitsmåla skal ta utgangspunkt i lovpålagte krav til informasjonssikkerheit. Kravet til kommunen om utarbeiding av skriftlege strategidokument finn vi i personopplysningsforskrifta , 2. og 3.ledd kor står det at: 19 Forskrift: nr om behandling av personopplysninger Telemark kommunerevisjon IKS 10

16 Formålet med behandling av personopplysningar og overordna føringar for bruk av informasjonsteknologi, skal beskrives i sikkerheitsmål. Val og prioriteringar i sikkerheitsarbeidet skal beskrives i ein sikkerheitsstrategi. I same forskrift 2-5, 1. og 2.ledd står det at: Sikkerheitsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkehetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Og i 5.ledd: Resultatet av sikkerhetsrevisjon skal dokumenteres. 5.2 Funn og fakta Kommunen har ikkje utarbeidd eit overordna (strategi-)dokument der IT-sikkerheit er inkludert. I følgje IT-ansvarleg brukar kommunen same sikkerheitsdokument som Tokke kommune brukar. Dette er ei beskriving av rutinar og kan ikkje sjåast som eit overordna dokument. Det er ikkje tilpassa Kviteseid kommune og er ikkje vedtatt av kommunestyret. Dokumentet er ikkje distribuert/publisert på intranett, og viktige rutinar som avviksbehandling, sikker sletting av informasjon på elektronisk format og viruskontroll er derfor ikkje kjent for alle tilsette. Dokumentet seier ikkje noko om kva for målsettingar, val og prioriteringar kommunen har gjort i sin IT-strategi. Det seier ikkje noko om eventuelle beredskapsplanar. Det er skissert retningsliner for eigenkontroll og sikkerheitsrevisjon. Gjennom våre kontrollar kan vi ikkje sjå at slike rutinar vert etterlevd i praksis. 5.3 Revisor sine vurderingar Sikkerheitsstrategien gjev premissane for kva som er akseptabel risiko i kommunen. Kva som er akseptabel risiko og om dei valde tryggleikstiltaka gjev tilfredsstillande sikkerheit skal kome fram gjennom risikovurderingane, jf. punkt 3.1. Sikkerheitsstrategien bør vedtas av kommunestyret. I følgje forskrifta skal dei vala og prioriteringane som kommunen gjer, kome fram i ein sikkerheitsstrategi. Dette er eit viktig dokument som må vedtas og handsamast av kommunen si øvste administrative leiing og bør vere i samsvar med politiske avgjerder. Formålet med beredskapsplanlegging er å sikre nødvendig handsaming av opplysningar ved avbrott i normal drift. I riksrevisjonen si undersøking står det: Undersøkelsen viser videre at oppdaterte beredskapsplaner for IT-systemer bare foreligger i et mindre antall virksomheter i statlig, kommunal og privat sektor. 20 Det er like fullt viktig for kommunen å ha ein plan visst ein katastrofesituasjon skulle oppstå. Det er viktig at strategidokumentet reviderast jamleg og oppdaterast på område som ikkje fungerar optimalt. Innanfor IT- sektoren vil det vere ei stadig utvikling med nye utfordringar som bør inkorporerast i dokumentet. 20 Riksrevisjonen, Dokument nr. 3:4 ( ) Riksrevisjonens undersøkelse av myndighetenes arbeid med å sikre IT-infrastruktur, Riksrevisjonen, s. 15 Telemark kommunerevisjon IKS 11

17 5.4 Tilråding Kommunen bør utarbeide eit overordna dokument som inneheld sikkerheitsmål, strategi og organisering. Dokumentet bør også innehalde beredskapsplanar som dekker katastrofesituasjonar. b) Er det klare ansvars og myndeforhold? 5.5 Revisjonskriterium Kommunen må etablere klare ansvars- og myndeforhold slik at det kjem klart fram kven som har fått delegert kva slags oppgåver. 21 Dette bør vere dokumentert slik at dei tilsette kjenner og følgjer faste rutinar for bruk av informasjonssystemet, og gjennomføring av dei tryggingstiltaka den tilsette sjølv er ansvarleg for. Same gjeld og for tilsette og personell som er leigd inn for å utføre drift og vedlikehald, dvs. at dei utfører arbeidet i samsvar med faste rutinar. Ansvaret for utarbeiding av rutinar kan delegerast til den som er best kjent med arbeidsoppgåvene. I følgje datatilsynet 22, kan døme på organisatoriske tiltak vere å etablere klare ansvars- og myndeforhold i organisasjonen, sørgje for tilfredsstillande kompetanse blant dei tilsette, og bare gje tilgang til personopplysningar i den grad det er nødvendig for å utføre pålagte oppgåver. Det bør lagast rutinar for korleis tiltaka skal evaluerast. Arbeidsdeling er eit av dei viktigaste tiltaka ein kan gjere for å motverke mislighald. 23 Det er og viktig å ha klare ansvarsliner slik at alle leiarar og medarbeidarar veit kven som har ansvaret for dei forskjellige funksjonane. 5.6 Funn og fakta På førespurnad utarbeidde IT-ansvarleg ein oversikt over kva slags IT-system kommunen har og kven som er ansvarlege for dei, jf Oversikta viser ikkje ansvarsdeling og inneheld nokre manglar. Ved gjennomgang av kommunen si årsmelding for 2006 finn vi til dømes at programmet Classfronter (elevprogam) og Aleph (for biblioteket) er i bruk. Kven som har ansvaret for desse går ikkje fram av oversikta, men i årsmeldinga går det fram at biblioteksjefen er koordinator for den lokale tilpassinga av heile basen (Aleph), og for utviklinga av webtenestene. Sektorleiar, rådmann eller næraste fagsjef har oftast hovudansvaret for systemet, mens systemansvaret er delegera til ein medarbeidar/leiar som jobbar med systemet til dagleg. Organisasjonskart (vedlegg 5) viser korleis kommunen er organisert. Ansvaret er delegert i tråd med organisasjonsstrukturen. Sektor for omsorg og opplæring er svært stor og det er sannsynleg at denne vert delt i to. I våre undersøkingar har det vore tilfelle der dei systemansvarlege ikkje har vore klar over at det er dei som står som hovudbrukar/systemansvarlege. 21 Datatilsynet, Veiledning i informasjonssikkerhet for kommuner og fylker, Datatilsynet, s Ot.prp.nr. 92 ( ) om behandling av personopplysninger kapittel 2 Til 13 Informasjonssikkerhet 23 Døssland, E. og Olsen, A.B., 17./ Forebygging av misligheter, Norges interne revisorers forening, (Kursmateriell) Telemark kommunerevisjon IKS 12

18 Ved innføringa av ephorte er arkivansvarleg den einaste som er delegert ansvaret for systemet. Arkivansvarleg lærer no opp ein tilsett, slik at han kan fordele/registrere posten i arkivansvarleg sitt fråvær. Arkivansvarleg vil framleis vere den einaste med full tilgang i systemet. Dei tilsette er i varierande grad tatt med i prosessen med å velje kva for program kommunen skal bruke. Ofte er denne avgjerda tatt sentralt, t.d. i Vest-Telemark Rådet/ Tinget. Det veljast ofte program som dei andre kommunane i Vest-Telemark har frå før, noko som er praktisk for samarbeid og utveksling av informasjon mellom kommunane. 5.7 Revisor sine vurderingar Delegering av ansvar følgjer ansvarshierarkiet og er naturleg fordelt etter kva slags oppgåver dei tilsette har i kvardagen. Det er likevel eit problem at systemansvarlege i nokre tilfelle ikkje er klar over kva ansvarsdelegeringa inneber, jf. 4.3 om meldeplikt til Datatilsynet er overhalde. Her har det vore uklart om det er fagansvarleg eller IT-ansvarleg som har ansvaret for å gje melding til Datatilsynet. Det kan tyde på at kva delegasjon av ansvar inneber ikkje er godt nok kommunisert til dei tilsette i organisasjonen. Vi har ikkje sett dokumentasjon utarbeidd på forhånd vedkommande ansvarsdeling og oppgåvedeling. Dette burde kanskje vore ein del av ansvaret til rådmannsgruppa i samband med avgjerder om å ta i bruk nye program/system. Kommunen må overhalde lov-/forskriftsmessige krav til forsvarleg drift. Eit viktig grep for å motvirke misleghald er arbeidsdeling. Det kan diskuterast om dagens organisering oppmuntrar til arbeidsdeling. Sektor for oppvekst og omsorg er stor med stort spenn i arbeidsoppgåver, og skal no delast i to sektorar. Det kan vere riktig å delegere arbeidsoppgåver i større grad i nokre system, til dømes i ephorte. Det vil vere ein fordel at ikkje ein person sitt med oversikt over heile sakshandsaminga i kommunen. Det vil også gjere kommunen mindre sårbar ved sjukdom. Vi vil understreke at vi ikkje har nokon mistanke om misleghald. Ansvaret for tildeling av ressursar til forsvarleg drift ligg hos leiinga i kommunen. Det er viktig at dei tilsette og einingsleiarane har moglegheit til å delta og kome med innspel i samband med val av IT-program. For å oppnå semje blant dei tilsette om avgjerder, er det viktig at medarbeidarane føler at prosessen rundt avgjerdene skjer på ein riktig og rettferdig måte at prosedyrane oppfattast som rettferdige. Dette vil føre til at dei tilsette blir tilfreds med avgjerder som vert teke Tilråding Kommunen bør klargjere ansvarsfordelinga/oppgåvefordelinga i kommunen. Dei tilsette bør delta i prosessar med omlegging/val av nye system. 24 Kim, W. C. og Mauborgne, R Procedural Justice Decision Making and the Knowledge Economy. Strategic Management Journal, 19, Telemark kommunerevisjon IKS 13

19 c) Er det etablert sikkerheitstiltak? 5.9 Revisjonskriterium Det bør vere etablerte rutinar for tilgangskontroll, sikkerheitskopiering, konfigurasjonskontroll, avviksbehandling, leverandørar/partar/konsulentoppdrag. Det bør vere krav til kompetanse hos dei som arbeider med IT i kommunen. Det bør vidare vere rutinar for vedlikehald og for oppdatering av programvare som handterar viruskontroll. I personopplysningsforskrifta 2-14 og 2-16 står det: Sikkerheitstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Forsøk på uautorisert bruk av informasjonssystemet skal registrerast. Sikkerheitstiltak skal omfatte tiltak som ikkje kan påverkast eller omgås av medarbeidarane, og ikkje være avgrensa til handlingar som den enkelte forutsettes å utføre. Sikkerheitstiltak skal dokumenteras. Rutinar for bruk av informasjonssystemet og annen informasjon av betyding for informasjonssikkerheita, skal dokumenterast. Datatilsynet si rettleiing for tynne klientar 25 tilrår at det konfigurerast soner og sikkerheitsbarrierar. Følgjande avsnitt er henta frå rettleiinga 26 : Soner nyttes som et grunnleggande prinsipp i sikkerheitsarkitekturen. Ei sone utgjer ein del av et informasjonssystem og deles for eksempel opp etter behov for skjerming av ulike personopplysningar. Soner opprettes også basert på behovet for tilgangsstyring og segmentering av brukarane. Trafikk frå sikker sone skal alltid være initiert frå innsida av barrieren. For å avgrense tilgangen til personopplysningar, kan det være hensiktsmessig å nytte fylgjande soner internt i ei verksemd: Sikra/lukka sone; kor sensitive personopplysningar handsamast(ved behov opprettes fleire sikra soner i verksemda, for eksempel dersom dette betre understøtter taushetsplikt). Den enkelte sikra sone er teknisk avskilt frå resten av det interne nettverk og eventuelle andre sikra soner, forutan mot eksterne nettverk. Intern/open sone; kor ikkje-sensitive personopplysningar handsamast. Denne kan også omfatte andre opplysningar i verksemda som ikkje skal eksponerast eksternt. Mellom eksternt nettverk og sikra sone kor sensitive opplysningar handsamast skal det vere fleire sikkerheitsbarrierar. Sikkerheitsbarrierane skal innehalde funksjoner for: Nettverkskontroll; som regulerer informasjonsflyten mellom eksternt nettverk og verksemda sine ulike soner, herunder kva slags nettverks- og applikasjonsprotokollar som kan nyttes. Tilgangskontroll; som muliggjør kontroll og avgrensing på applikasjonsnivå med det formål å: o Verifisere at det er den tilatte tenesta som faktisk nyttes o Hindre at tenesta for initiering av aktivitetar som ikkje er tillatt og ikkje er del av tenesta sjølv 25 Teknisk sikkerheitsløysning hos brukaren skal bidra til å hindre uautorisert utlevering av sensitive personopplysningar ved utilsikta overføring av data mellom program, eksempelvis ved bruk av klipp og lim - funksjon. 26 Datatilsynet, Veileder for bruk av tynne klienter, Datatilsynet Telemark kommunerevisjon IKS 14

20 o Kontrollere og avgrense funksjonaliteten i tenestene etter behov o Forhindre utnytting av kjente svakheiter i tenestene Det skal ikkje vere mogleg for medarbeidarar å endre konfigurasjonen utan autorisasjon. Dette skal vere dokumentert. Det bør vere ei hensiktsmessig delegering av ansvaret for sikkerheita, inkludert tilgangskontroll, overvaking, opplæring mm. Brukarane bør tildelast tilgang etter behov Funn og fakta Tilgangskontroll Kommunen har installert brannmurar for å førebyggje uautorisert tilgang. Unaturleg trafikk, det vil seie forsøk på angrep utanfrå, blir handsama av den ytre brannmuren. Det er ikkje rutinar for gjennomgang av hendelsesregister. Hendelsesregister omfattar områda tilgang, datakommunikasjon og forsøk på uautorisert bruk. Innafor det lokale nettverket (LAN) blir virus stoppa av antivirusprogrammet Trend. Trend vert oppdatert automatisk. Visst ein brukar har med seg eit infisert eksternt lagringsmedium (minnepenn), så frys Trend det mediet (til dømes ein tynn klient/pc) som pennen blir kopla til. Hovudsakleg brukast det tynne klientar i kommunen. Det er to USB-inngangar 27 på dei fleste tynne klientane, men IT- ansvarleg må gje tilgang for å kunne bruke USB-inngangane. Det er innført sikkerheitsbarrierar for dei brukarane som arbeider med program i lukka sone. Det er ikkje mogleg å nytta program i open og lukka sone samtidig, heller ikkje kopiering mellom sonene. Anna sensitiv informasjon om pasientar/klientar som skal formidlast mellom einingane skjer via post eller munnleg beskjed. Sensitiv informasjon vert ikkje sendt via e- post. Korleis dei einskilde fagsystema har organisert tilgangen varierar, men tilgang blir gjeve i samsvar med kompetanse og arbeidsplassen til brukar. Det er ikkje utarbeidd rutinar for manuell handsaming av saksopplysningar, visst fagsystemet skulle vere ute av drift. Det er ikkje utarbeidd skriftlege rutinar for avvikshåndtering. Systemansvarleg gjev dei tilsette den tilgangen dei treng i systemet. Ved endring av arbeidsoppgåver er det rutine å endre tilgangen etter behov. Det har ikkje vore gode rutinar for melding til IT-ansvarleg om sletting av ein tilgang. Ansvaret for kven som skal gje ITansvarleg beskjed om sletting av tilgang er noko uklart. Rutinebeskrivingane i dokumentet frå Tokke kommune er ikkje følgd, men vi får opplyst av personalkonsulent i kommunen at einingsleiarane skal gje beskjed til IT- ansvarleg, slik at dei aktuelle tilgangane kan fjernes. Skjema for dette ligg på intranettet. Det skal vere sendt ut eit skriv til alle einingsleiarane om den nye rutina, men revisor har ikkje fått dette dokumentet. Vi kjenner til at det framleis er brukaridentar på tidlegare tilsette ved legekontoret i Profdoc. Desse er ikkje deaktiverte, men Profdoc er ein del av lukka sone, slik at det ikkje kan hentast informasjon dersom ein ikkje er fysisk tilstades på legekontoret. Alle tilsette har ein eigen profil i nettverket til kommunen. Denne profilen er passordbeskytta. For å komme inn på eit av fagsystema må dei tilsette ha tilgang og bruke eit eige passord, samt bytte passordet fyrste gong dei loggar seg på. 28. Brukarane blir kasta ut av systemet 27 USB (universell seriebuss) er ein standard for å kople einingar til ei datamaskin. 28 Andersen, B.T., Ny løsning i sikker sone Kviteseid kommune, Itum System AS Telemark kommunerevisjon IKS 15

21 dersom dei ikkje har vore aktive i 30 minutt. I dei fleste systema blir brukaren bedt om å forandre passord etter ein periode. Det har ikkje vore ein generell diskusjon om bruk og oppbevaring av passord i kommunen, men nokre av leiarane har tilrådd å ikkje skrive ned passordet, og om ein må skrive det ned, oppbevare det på ein trygg plass. Fysisk sikring Tilgang til serverrom og kabelrom var tilstrekkeleg sikra da vi kontrollerte dei. Romma er ikkje brannsikre og det er opne vassrør i kabelrommet. Safen med back-up tape, var bolta til golvet og godt sikra. Safen var brannsikker. Plassering av skriverar, rutinar for henting av dokument og tilgang til kontor gjev tilstrekkeleg tilgangskontroll. Ved vår kontroll og våre intervju var det bare ved sosialkontoret at revisor blei bedt om å vise legitimasjon. Sikkerheitskopiering Rutinar for sikkerheitskopiering er tilstrekkelege, men rutinane er ikkje skriftlege. Systemet for oppbevaring av sikkerheitskopiar er tilstrekkeleg. Konfigurasjonskontroll Det er ein dokumentert konfigurasjon på nettverket. 29 Dei tilsette kan ikkje installere noko på dei tynne klientane eller endre på konfigurasjonane, det må gjerast av dei IT-tilsette i profilen til den einskilde. Active Directory Design gjev og føringar for mellom anna konfigurasjon av brannmurar. Avvikshandsaming I sikkerheitsrutinane for Tokke er det skissert føringar for avvikshandsaming. Desse brukast ikkje i Kviteseid og er ikkje kjent blant dei tilsette. Pleie og omsorg har eigne rutinar for avvikshandsaming, men desse er einingsspesifikke og er ikkje direkte overførbare til resten av kommunen. Det er gjeve opplæring i bruk av systema. Ein skal til dømes ikkje låne brukarnamn og passord av kvarandre. Feil bruk av system, lån av brukarnamn og passord bør føre til avviksrapportering. For nokre fagsystem er det særskilte rutinar for overstyring av tilgang til opplysningar i systemet. Det loggførast kva brukarane gjer i systemet og eventuelle overtramp vil kunne sporast tilbake til personen gjennom brukarnamnet. Rutinane er strenge og brot kan medføre oppseiing. Leverandørar/partar Datamodellen i Active Directory Design beskriv arbeidsfunksjonane til kommunen sin ITmedarbeidar. Den beskriv og dei rettar som administrator har for Kviteseid, Tokke og Vinje kommunar. Rett til å delegere rettar til brukarane i kommunen ligg hos den einskilde administrator i samsvar med standarden. Standarden syner og korleis det heile er organisert. Sjå 4.2 for meir informasjon. 29 Haugholt, H., Nettverks dokumentasjon Kviteseid kommune, Itum System AS Telemark kommunerevisjon IKS 16

22 5.11 Revisor sine vurderingar Tilgangskontroll, fysisk sikring, sikkerheitskopiering og konfigurasjonskontroll Rutinebeskrivingane som brukast i Tokke kommune er omfattande, men er tilpassa systema som brukast der.. Kviteseid kommune brukar mange av dei same systema og applikasjonane, men rutinane bør likevel tilpassast kvar einskild kommune, slik at dei blir anvendelege for kommunen. Det er til dømes ulike fysiske løysingar for sikkerheitskopiering i kommunane. Kommunen har ein del rutinar på plass, men dei er ikkje nedfelt i dokument. Til dømes har kommunen gode rutinar for sikkerheitskopiering. Skriftleg rutine for sikkerheitskopiering bør utarbeidast. I rutina bør det beskrivast: - korleis sikkerheitskopiering skal utførast - kven som har ansvaret for kopieringa - kva slags data som skal kopierast - kopieringstidspunkt og intervall - lagring av reservekopi og skildring av lagringsmedium og sikring av dette - metode for gjenoppretting av normal drift ved bruk av sikkerheitskopiar. Andre sikringstiltak er og på plass. Kommunen har fleire brannmurar, strenge tilgangskontrollar for brukarar i lukka sone, etablerte og offentleg godkjente programvarer. IT-ansvarleg har eit bevisst forhold til tilgangskontroll og sikring av systema for indre og ytre truslar. Men det at kommunen ikkje har rutinar for gjennomgang av hendelsesregister, sjå tidlegare kommentar, er eit brot på Datatilsynet sin Veiledning i informasjonssikkerhet for kommuner og fylker. Den seier: Det skal utarbeides rutine for gjennomgang av hendelsesregistre som omfatter: hvem som skal ha ansvar for å gjennomgå registreringene hvor hyppig registreringene skal gjennomgås beskrivelsene av unormale aktiivitetsmønstre som bør understrekes hvordan etterkontroll av unormale aktivitetsmønstre bør foretas hvordan eventuelle sikkerhetsbrudd eller mistanke om slikt skal følges opp hvem som har ansvar for sletting av registreringer ved lagringstidens utløp. Det er ein alvorleg sikkerheitsrisiko at serverrom ikkje er brannsikkert og at det er opne vassrør i rommet. Ei utbetring av serverrom vil sannsynlegvis vere kostbart, men bør vurderast. Avvikshandsaming Formålet med avvikshandsaming er å lukke avvik, gjenopprette normal tilstand/drift, og hindre gjentaking. Visst det ikkje er samsvar mellom faste rutinar og korleis informasjonssystemet nyttast, skal resultatet frå avviksbehandlinga nyttast som grunnlag ved gjennomgang og endring i dei aktuelle rutinar. Den som oppdagar avvik har plikt til å rapportere dette skriftleg. Kommunen bør derfor ha ei rutine for handsaming av avvik, samt ein sikkerheitsrevisjon jamleg for å forbetre område som ikkje fungerar og ta tak i nye utfordringar innanfor IT. Oppsummering Kort oppsummera er rutinane for tilgangskontroll, sikkerheitskopiering og konfigurasjonskontroll jamt over god, men det manglar ein del dokumentasjon. Den fysiske sikringa er noko svak og det bør innførast avvikshandsaming innanfor IT.. Telemark kommunerevisjon IKS 17

IT-sikkerhet. - Sauherad kommune - Forvaltningsrevisjonsrapport nr: 722 008. Telemark kommunerevisjon IKS

IT-sikkerhet. - Sauherad kommune - Forvaltningsrevisjonsrapport nr: 722 008. Telemark kommunerevisjon IKS IT-sikkerhet - Sauherad kommune - Forvaltningsrevisjonsrapport nr: 722 008 2009 Telemark kommunerevisjon IKS Innhold Sammendrag...iv 1 Innledning...1 1.1 Bakgrunn...1 1.2 Formål og problemstillinger...1

Detaljer

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt

Detaljer

Tilgangskontroll i arbeidslivet

Tilgangskontroll i arbeidslivet - Feil! Det er ingen tekst med den angitte stilen i dokumentet. Tilgangskontroll i arbeidslivet Rettleiar frå Datatilsynet Juli 2010 Tilgangskontroll i arbeidslivet Elektroniske tilgangskontrollar for

Detaljer

F E L L E S I K T - S T R A T E G I K O M M U N A N E F Y R E S D A L, K V I T E S E I D, 2012-2015 FOR

F E L L E S I K T - S T R A T E G I K O M M U N A N E F Y R E S D A L, K V I T E S E I D, 2012-2015 FOR F E L L E S I K T - S T R A T E G I FOR K O M M U N A N E F Y R E S D A L, K V I T E S E I D, N I S S E D A L, S E L J O R D, T O K K E O G V I N J E 2012-2015 30.03. 2012 - INNHALD - 1 SAMANDRAG 3 1.1

Detaljer

Databrukara vtale. for. Rauma kommune

Databrukara vtale. for. Rauma kommune Databrukara vtale for Rauma kommune IT- sikkerheitsreglar for Rauma kommune Mål IT skal brukast til å dokumentere, dele og utveksle informasjon for å fremje effektiv informasjonsbehandling og sikre god

Detaljer

Skjema for medarbeidarsamtalar i Radøy kommune

Skjema for medarbeidarsamtalar i Radøy kommune Skjema for medarbeidarsamtalar i Radøy kommune 1 Bedriftspedagogisk Senter A.S bps@bps.as Medarbeidarsamtalar i Radøy kommune - slik gjer vi det Leiar har ansvar for å gjennomføra samtalane sine slik det

Detaljer

Rettleiing ved mistanke om vald i nære relasjonar - barn

Rettleiing ved mistanke om vald i nære relasjonar - barn Rettleiing ved mistanke om vald i nære relasjonar - barn Når det gjeld barn som vert utsett for vald eller som er vitne til vald, vert dei ofte utrygge. Ved å førebygge og oppdage vald, kan me gje barna

Detaljer

Plan for forvaltningsrevisjon

Plan for forvaltningsrevisjon Plan for forvaltningsrevisjon 2009-2012 Øygarden kommune Member of Deloitte Touche Tohmatsu Medlemmer av Den Norske Revisorforening org.nr: 980 211 282 Innhald 1. Innleiing... 3 1.1 Plan for forvaltningsrevisjon

Detaljer

«ANNONSERING I MØRE OG ROMSDAL FYLKESKOMMUNE»

«ANNONSERING I MØRE OG ROMSDAL FYLKESKOMMUNE» «ANNONSERING I MØRE OG ROMSDAL FYLKESKOMMUNE» FYLKESREVISJONEN Møre og Romsdal fylkeskommune RAPPORT, FORVALTNINGSREVISJONSPROSJEKT NR. 4-2000 INNHALDSREGISTER 1. INNLEIING I 2. FORMÅL 1 3. METODE OG DATAGRUNNLAG

Detaljer

Fylkesmannen i Oppland. Rapport frå tilsyn med rettstryggleiken ved bruk av tvang og makt overfor psykisk utviklingshemma.

Fylkesmannen i Oppland. Rapport frå tilsyn med rettstryggleiken ved bruk av tvang og makt overfor psykisk utviklingshemma. Fylkesmannen i Oppland Rapport frå tilsyn med rettstryggleiken ved bruk av tvang og makt overfor psykisk utviklingshemma i Skjåk kommune Samandrag Denne rapporten gjer greie for dei avvika og merknadene

Detaljer

Aurland kommune Rådmannen

Aurland kommune Rådmannen Aurland kommune Rådmannen Kontrollutvalet i Aurland kommune v/ sekretriatet Aurland, 07.10.2013 Vår ref. Dykkar ref. Sakshandsamar Arkiv 13/510-3 Steinar Søgaard, K1-007, K1-210, K3- &58 Kommentar og innspel

Detaljer

Den nye seksjon for applikasjonar

Den nye seksjon for applikasjonar Nye IT-avdelinga Den nye seksjon for applikasjonar Ei kort innleiing om prosessar basert på ITIL som eg brukar litt i presentasjonen Seksjonen sine ansvarsområde 3 av mange områder som seksjonen skal handtera

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Rutine for varsling FORORD. Vedteke i kommunestyret den 11.12.2008

Rutine for varsling FORORD. Vedteke i kommunestyret den 11.12.2008 Rutine for varsling FORORD Vedteke i kommunestyret den 11.12.2008 Rutinar for varsling skal vere ein beredskap når lovstridige, uetiske eller uforsvarlege forhold vert oppdaga og må stoppast. Masfjorden

Detaljer

Forvaltningsrevisjon «Pleie og omsorg - årsak til avvik mot budsjett og Kostra-tal»

Forvaltningsrevisjon «Pleie og omsorg - årsak til avvik mot budsjett og Kostra-tal» Notat Til: Kopi: Frå: Kommunestyret og kontrollutvalet Arkivkode Arkivsaknr. Løpenr. Dato 216 13/1449-13 10263/15 28.01.2015 Forvaltningsrevisjon «Pleie og omsorg - årsak til avvik mot budsjett og Kostra-tal»

Detaljer

Kontrollutvalet i Suldal kommune

Kontrollutvalet i Suldal kommune Kontrollutvalet i Suldal kommune KONTROLLUTVAL ET SI ÅRSMELDING FOR 2010 1. INNLEIING Kapittel 12 i kommunelova omtalar internt tilsyn og kontroll. Kommunestyret sjølv har det øvste tilsynet med den kommunale

Detaljer

Årsrapport frå opplæringskontor i Hordaland om opplæring av lærlingar og lærekandidatar (Lærebedriftene skal bruka eit eige skjema.

Årsrapport frå opplæringskontor i Hordaland om opplæring av lærlingar og lærekandidatar (Lærebedriftene skal bruka eit eige skjema. 1 Oppdatert 16.05.09 Årsrapport frå opplæringskontor i Hordaland om opplæring av lærlingar og lærekandidatar (Lærebedriftene skal bruka eit eige skjema.) Velkommen til Hordaland fylkeskommune sin portal

Detaljer

Føretaket vil stille personell til å delta i arbeidet, og vil ta felles mål inn i lokale planar og rapporteringssystem for oppfølging.

Føretaket vil stille personell til å delta i arbeidet, og vil ta felles mål inn i lokale planar og rapporteringssystem for oppfølging. Handlingsplan for Pasientreiser, Helse Fonna Ved Margareth Sørensen, funksjonsleiar Pasientreiser, Svanaug Løkling, seksjonsleiar akuttmottak Haugesund og Anne Hilde Bjøntegård, klinikkdirektør. Oversikt

Detaljer

Styresak. Ivar Eriksen Oppfølging av årleg melding frå helseføretaka. Arkivsak 2011/545/ Styresak 051/12 B Styremøte 07.05.2012

Styresak. Ivar Eriksen Oppfølging av årleg melding frå helseføretaka. Arkivsak 2011/545/ Styresak 051/12 B Styremøte 07.05.2012 Styresak Går til: Styremedlemmer Føretak: Helse Vest RHF Dato: 24.04.2012 Sakhandsamar: Saka gjeld: Ivar Eriksen Oppfølging av årleg melding frå helseføretaka Arkivsak 2011/545/ Styresak 051/12 B Styremøte

Detaljer

Saksframlegg. Sakshandsamar: Bente Bakke Arkiv: 400 Arkivsaksnr.: 10/401-1. Retningslinjer for uønska deltid. * Tilråding:

Saksframlegg. Sakshandsamar: Bente Bakke Arkiv: 400 Arkivsaksnr.: 10/401-1. Retningslinjer for uønska deltid. * Tilråding: Saksframlegg Sakshandsamar: Bente Bakke Arkiv: 400 Arkivsaksnr.: 10/401-1 Retningslinjer for uønska deltid * Tilråding: Administrasjonsutvalet vedtek retningslinjer for å handsame uønska deltid, dagsett.11.02.2010.

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

BRANNFØREBYGGANDE TILTAKSPLAN FOR SAGVÅG SKULE

BRANNFØREBYGGANDE TILTAKSPLAN FOR SAGVÅG SKULE BRANNFØREBYGGANDE TILTAKSPLAN FOR SAGVÅG SKULE Utarbeidd av Tekniske tenester (eigar) Rune Hansen Datert: 23.05.2008 Rev: ORGANISERING OG DRIFT AV DRIFT AV EIT SÆRSKILT BRANNOBJEKT ( 13 i Lov om vern mot

Detaljer

IA-funksjonsvurdering. Ei samtale om arbeid kva er mogleg?

IA-funksjonsvurdering. Ei samtale om arbeid kva er mogleg? IA-funksjonsvurdering Ei samtale om arbeid kva er mogleg? // IA - Funksjonsvurdering Ei samtale om arbeid kva er mogleg? Målet med eit inkluderande arbeidsliv (IA) er å gje plass til alle som kan og vil

Detaljer

Arbeidsbok (mal for eigenprodusert HMS-dokumentasjon)

Arbeidsbok (mal for eigenprodusert HMS-dokumentasjon) Arbeidsbok (mal for eigenprodusert -dokumentasjon) Lovar, forskrifter, standardar kap 6 Kartlegging Handlingsplan Rapportering kap 3 kap 4 kap 5 Mål kap 1 Organisasjon Ansvar Opplæring Revisjon kap 2 kap

Detaljer

SØKNAD OM STØTTEKONTAKT

SØKNAD OM STØTTEKONTAKT MASFJORDEN KOMMUNE Sosialtenesta Nav Masfjorden Postboks 14, 5987 Hosteland Tlf 815 81 000/47452171 Unnateke for offentleg innsyn Jf. Offlentleglova 13 SØKNAD OM STØTTEKONTAKT Eg vil ha søknaden handsama

Detaljer

Nissedal kommune Kontrollutvalet

Nissedal kommune Kontrollutvalet Vår ref. 11/125-2 033 /BERO Medlemmar og varamedlemmar Dato 07.02.2011 Nissedal kommune - kontrollutvalget Det blir med dette innkalla til møte i Nissedal kontrollutval. Dato: torsdag 17.02.2011 Tid: kl

Detaljer

Tokke kommune. Kontrollutvalet. Medlemmar og varamedlemmar Dato 07.05.2015. Tokke kommune - kontrollutvalet. Det vert med dette kalla inn til møte:

Tokke kommune. Kontrollutvalet. Medlemmar og varamedlemmar Dato 07.05.2015. Tokke kommune - kontrollutvalet. Det vert med dette kalla inn til møte: Vår ref. 15/537-2 033 /KASB Medlemmar og varamedlemmar Dato 07.05.2015 Tokke kommune - kontrollutvalet Det vert med dette kalla inn til møte: Dato: 11.05.2015 Tid: kl 10.00 12.00 Sted: Møterom Kultur,

Detaljer

Samarbeid om IKT-løysingar lokalt

Samarbeid om IKT-løysingar lokalt Delavtale mellom XX kommune og Helse Førde HF Samarbeid om IKT-løysingar lokalt Avtale om samarbeid om IKT-løysingar lokalt 1. Partar Avtalen er inngått mellom XX kommune og Helse Førde HF. 2. Bakgrunn

Detaljer

Plan for selskapskontroll 2012-2016

Plan for selskapskontroll 2012-2016 Forsand Kommune Plan for selskapskontroll 2012-2016 Vedteke av kommunestyret 28. november 2012 Rogaland Kontrollutvalgssekretariat IS Innhaldsliste 1 Innleiing... 3 1.1 Avgrensing organisasjonsformer som

Detaljer

Informasjonshefte Tuv barnehage

Informasjonshefte Tuv barnehage Informasjonshefte Tuv barnehage Informasjonshefte for Tuv barnehage Barnehagen blir drevet av Hemsedal kommune. Barnehagen er politisk lagt under Hovudutval for livsløp. Hovudutval for livsløp består av

Detaljer

KONTROLLUTVALET FOR RADØY KOMMUNE MØTEUTSKRIFT

KONTROLLUTVALET FOR RADØY KOMMUNE MØTEUTSKRIFT Radøy kommune KONTROLLUTVALET FOR RADØY KOMMUNE MØTEUTSKRIFT Møtedato: 10.02.2015 Stad: Kommunehuset Kl.: 09.00 12.35 Tilstades: Arild Tveranger leiar, Astrid Nordanger nestleiar, Jan Tore Hvidsten, Oddmund

Detaljer

Referat frå foreldremøte 06.05.14. Tjødnalio barnehage

Referat frå foreldremøte 06.05.14. Tjødnalio barnehage Referat frå foreldremøte 06.05.14. Tjødnalio barnehage Tilstade: Personalet, foreldre og Nina Helle. Kva er BTI: Stord kommune er ein av 8 kommunar som deltek i eit prosjekt som skal utarbeide ein modell

Detaljer

Meld forfall snarast råd til sekretær for utvalet Line Bosnes Hegna på mobil 90 65 64 26 eller epost: line.bosnes@temark.no.

Meld forfall snarast råd til sekretær for utvalet Line Bosnes Hegna på mobil 90 65 64 26 eller epost: line.bosnes@temark.no. Møteinnkalling Seljord kontrollutval Dato: 09.09.2015 kl. 09:00 Møtestad: Kommunehuset Arkivsak: 15/09764 Arkivkode: 033 Meld forfall snarast råd til sekretær for utvalet Line Bosnes Hegna på mobil 90

Detaljer

Melding om sjukefråvær Den tilsette skal gje melding om sjukefråvær til arbeidsgjevar så tidleg som mogleg.

Melding om sjukefråvær Den tilsette skal gje melding om sjukefråvær til arbeidsgjevar så tidleg som mogleg. Interkontrollhandbok Side: 1 av 5 1. FORMÅL Føremålet med dette kapitlet er å kvalitetssikra oppfølginga av tilsette som vert sjukmelde. Kapitlet gjev derfor oversikt over kva rutinar som skal følgjast

Detaljer

PLAN FOR SPESIALUNDERVISNING I FYRESDAL KOMMUNE

PLAN FOR SPESIALUNDERVISNING I FYRESDAL KOMMUNE Kultur og oppvekst PLAN FOR SPESIALUNDERVISNING I FYRESDAL KOMMUNE KAP. 1. SØKNADSRUTINER FOR SPESIALUNDERVISNING FOR SKULEN OG SPESIALPEDAGOGISK HJELP BARNEHAGEN. 1.0 INNLEIING Det er viktig å utvikle

Detaljer

FYLKESKOMMUNENS KUNST FYLKESREVISJONEN

FYLKESKOMMUNENS KUNST FYLKESREVISJONEN FYLKESKOMMUNENS KUNST FYLKESREVISJONEN Møre og Romsdal fylkeskommune RAPPORT, FORVALTNINGSREVISJONSPROSJEKT NR. 3 2001 INNHALDSREGISTER 1. INNLEIING 1 1.0 Heimel 1 1.1 Bakgrunn.. 1 1.2 Formål... 1 1.3

Detaljer

Plan for gjennomføring av selskapskontroll i Balestrand kommune 2012-2015

Plan for gjennomføring av selskapskontroll i Balestrand kommune 2012-2015 Plan for gjennomføring av selskapskontroll i Balestrand kommune 2012-2015 1. Verkeområde, omfang Selskapskontroll i medhald av kommunelova sin 77 nr. 5 og 80 skal utøvast i selskap m.m. der Balestrand

Detaljer

LOV 1992-12-04 nr 126: Lov om arkiv.

LOV 1992-12-04 nr 126: Lov om arkiv. Side 1 av 5 LOV 1992-12-04 nr 126: Lov om arkiv. Bruk av basen forutsetter at du samtykker i betingelsene i brukeravtalen. DATO: LOV-1992-12-04-126 DEPARTEMENT: KKD (Kultur- og kirkedepartementet) PUBLISERT:

Detaljer

AVTALE MELLOM SOGN REGIONRÅD (SR)

AVTALE MELLOM SOGN REGIONRÅD (SR) AVTALE MELLOM SOGN REGIONRÅD (SR) OG SOGN OG FJORDANE FYLKESKOMMUNE (SFFK) OM DRIFT AV GIS LØYSINGA Innleiing 1 SR og SFFK har ein samarbeidsavtale om samarbeid om IKT tenester. Denne avtalen er ein delavtale

Detaljer

HORNINDAL KOMMUNE. Tilsynsplan. Plan for tilsyn i saker etter plan- og bygningslova. Hornindal kommune 2011

HORNINDAL KOMMUNE. Tilsynsplan. Plan for tilsyn i saker etter plan- og bygningslova. Hornindal kommune 2011 HORNINDAL KOMMUNE Tilsynsplan Plan for tilsyn i saker etter plan- og bygningslova Hornindal kommune 2011 Vedteken av Utviklingsutvalet den 16. mars 2011 Sak: 020/11 Arkivsak: 11/207-1 01.03.2011 Innhald:

Detaljer

KVALITETSPLAN OLWEUS ÅGOTNES SKULE 2014

KVALITETSPLAN OLWEUS ÅGOTNES SKULE 2014 KVALITETSPLAN OLWEUS ÅGOTNES SKULE 2014 1 INTRODUKSJON AV VERKSEMDA Ågotnes skule ligg på Ågotnes, og er ein av seksten skular i Fjell kommune i Hordaland fylke. Skulen er ein middels stor barneskule om

Detaljer

Brukarrettleiing E-post lesar www.kvam.no/epost

Brukarrettleiing E-post lesar www.kvam.no/epost Brukarrettleiing E-post lesar www.kvam.no/epost Kvam herad Bruka e-post lesaren til Kvam herad Alle ansatte i Kvam herad har gratis e-post via heradet sine nettsider. LOGGE INN OG UT AV E-POSTLESAREN TIL

Detaljer

SAKSDOKUMENT. Utvalsaksnr Utval Møtedato Formannskapet

SAKSDOKUMENT. Utvalsaksnr Utval Møtedato Formannskapet Fjell kommune Arkiv: Saksmappe: 2014/2350-21542/2014 Sakshandsamar: Grethe Bergsvik Dato: 09.10.2014 SAKSDOKUMENT Utvalsaksnr Utval Møtedato Formannskapet Drøftingssak - Eigarskapsmelding 2015 Samandrag

Detaljer

Kviteseid kommune. Vedtekter for dei kommunale barnehagane i Kviteseid

Kviteseid kommune. Vedtekter for dei kommunale barnehagane i Kviteseid Kviteseid kommune Vedtekter for dei kommunale barnehagane i Kviteseid Vedteke i Hovudutval for Oppvekst og Omsorg (HOO), den 28.01.2015 1. Eigartilhøve Kviteseid kommune eig, driv og fører tilsyn med desse

Detaljer

Saksbehandling kva er no det?

Saksbehandling kva er no det? Saksbehandling kva er no det? Rådgjevar Ole Knut Løstegaard Eforvaltningskonferansen 2012, Oslo, 16/2-2012 Innleiing «Saksbehandling»: ubestemt omgrep Brukt ei rekkje stader i lov- og forskriftsverket

Detaljer

SAKSFRAMLEGG. Saksbehandler: Odd Arve Rakstad Arkiv: 026 Arkivsaksnr.: 12/153-1. Kommunesamanslåing Leikanger og Sogndal. Spørsmål om utgreiing

SAKSFRAMLEGG. Saksbehandler: Odd Arve Rakstad Arkiv: 026 Arkivsaksnr.: 12/153-1. Kommunesamanslåing Leikanger og Sogndal. Spørsmål om utgreiing SAKSFRAMLEGG Saksbehandler: Odd Arve Rakstad Arkiv: 026 Arkivsaksnr.: 12/153-1 Kommunesamanslåing Leikanger og Sogndal. Spørsmål om utgreiing TILRÅDING: Saka blir lagt fram utan tilråding frå administrasjonen.

Detaljer

INTERNETTOPPKOPLING VED DEI VIDAREGÅANDE SKOLANE - FORSLAG I OKTOBERTINGET 2010

INTERNETTOPPKOPLING VED DEI VIDAREGÅANDE SKOLANE - FORSLAG I OKTOBERTINGET 2010 HORDALAND FYLKESKOMMUNE Organisasjonsavdelinga IT-seksjonen Arkivsak 201011409-3 Arkivnr. 036 Saksh. Svein Åge Nottveit, Birthe Haugen Saksgang Fylkesutvalet Fylkestinget Møtedato 23.02.2011-24.02.2011

Detaljer

SAKSFRAMLEGG. Sakshandsamar: Vidar Roseth Arkivsaksnr.: 06/482

SAKSFRAMLEGG. Sakshandsamar: Vidar Roseth Arkivsaksnr.: 06/482 SAKSFRAMLEGG Sakshandsamar: Vidar Roseth Arkivsaksnr.: 06/482 Arkiv: F00 ARBEIDS- OG VELFERDSKONTOR I BALESTRAND KOMMUNE - MÅL, INNHALD OG FRAMDRIFTSPLAN Vedlegg: Bakgrunn: Sak 3/07 i utval for oppvekst

Detaljer

Blir du lurt? Unngå anbodssamarbeid ved innkjøp

Blir du lurt? Unngå anbodssamarbeid ved innkjøp Blir du lurt? Unngå anbodssamarbeid ved innkjøp Anbodssamarbeid er blant dei alvorlegaste formene for økonomisk kriminalitet. Anbodssamarbeid inneber at konkurrentar samarbeider om prisar og vilkår før

Detaljer

Informasjonstryggleik i Møre og Romsdal fylkeskommune

Informasjonstryggleik i Møre og Romsdal fylkeskommune Informasjonstryggleik i Møre og Romsdal fylkeskommune Innleiing 1. Generelt om informasjonstryggleik 2. Om informasjonstryggleik i fylkeskommunen 3. Behandling av personopplysningar a) Grunnkrav b) Informasjonsplikt

Detaljer

Kvalitetsplan mot mobbing

Kvalitetsplan mot mobbing Kvalitetsplan mot mobbing Bryne ungdomsskule Januar 2016 Kvalitetsplan for Bryne ungdomsskule 1 Introduksjon av verksemda Bryne ungdomsskule ligg i Bryne sentrum i Time kommune. Me har om lag 450 elevar

Detaljer

Seljord kommune. kontrollutvalet. Medlemmar og varamedlemmar Dato 13.05.2015. Seljord kommune - kontrollutvalget

Seljord kommune. kontrollutvalet. Medlemmar og varamedlemmar Dato 13.05.2015. Seljord kommune - kontrollutvalget Vår ref. 15/555-2 033 /BOSL Medlemmar og varamedlemmar Dato 13.05.2015 Seljord kommune - kontrollutvalget Det vert med dette kalla inn til møte: Dato: 01.06.2015 Tid: 09:00-12:00 Stad: Kommunehuset, møterommet

Detaljer

IKT-reglement for Møre og Romsdal fylkeskommune

IKT-reglement for Møre og Romsdal fylkeskommune IKT-reglement for Møre og Romsdal fylkeskommune Innhald IKT-reglement for Møre og Romsdal fylkeskommune... 1 1 Formål... 2 2 Virkeområde... 2 3 Rettar og pliktar... 2 4 Generelle reglar for god bruk av

Detaljer

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

UNDERSØKING OM MÅLBRUKEN I NYNORSKKOMMUNAR RAPPORT

UNDERSØKING OM MÅLBRUKEN I NYNORSKKOMMUNAR RAPPORT UNDERSØKING OM MÅLBRUKEN I NYNORSKKOMMUNAR RAPPORT Språkrådet Landssamanslutninga av nynorskkommunar Nynorsk kultursentrum 17. mars 2011 Undersøking om målbruken i nynorskkommunar er eit samarbeid mellom

Detaljer

RETNINGSLINJE FOR HANDTERING AV KONFLIKT

RETNINGSLINJE FOR HANDTERING AV KONFLIKT RETNINGSLINJE FOR HANDTERING AV KONFLIKT Innhold 1. Innleiing og bakgrunn... 1 2. Heimel for konflikthandtering... 2 3. Definisjonar... 2 4. Roller og ansvar... 3 5. Kva skal du som medarbeidar gjere når

Detaljer

Webhotell, e-post og webløysing vilkår

Webhotell, e-post og webløysing vilkår Webhotell, e-post og webløysing vilkår WEBHOTELL, E-POST OG WEBLØYSING VILKÅR...1 KVA OMFATTAR TENESTA?...1 AVGRENSINGAR...2 LEVERANDØREN SINE PLIKTER...2 TEIEPLIKT OG SIKRING AV DATA...3 AVGRENSING AV

Detaljer

Årsmelding 2014 for kontrollutvalet. Åmli kommune

Årsmelding 2014 for kontrollutvalet. Åmli kommune Årsmelding 2014 for kontrollutvalet Åmli kommune 1 Kontrollutvalet i Åmli kommune Desse er medlemmar i kontrollutvalet: Tobias Wessel-Hansen Tangen, leiar Angrim Flaten, nestleiar Siv Annie Dale, medlem

Detaljer

Vald og trusselhandlingar mot tilsette i skolen førebygging og oppfølging

Vald og trusselhandlingar mot tilsette i skolen førebygging og oppfølging Side 1 av 5 1.0 Mål Målet med denne retningslinja er å kvalitetssikre korleis den enkelte skole skal førebygge og handtere vald og trusselhandlingar som elevar utøvar mot tilsette på skolane. 2.0 Omfang

Detaljer

Lønnsundersøkinga for 2014

Lønnsundersøkinga for 2014 Lønnsundersøkinga for 2014 Sidan 2009 har NFFs forhandlingsseksjon utført ei årleg lønnsundersøking blant medlemane i dei største tariffområda for fysioterapeutar. Resultata av undersøkinga per desember

Detaljer

Styresak. Styresak 011/06 B Styremøte 08.02. 2006

Styresak. Styresak 011/06 B Styremøte 08.02. 2006 Styresak Går til: Styremedlemmer Selskap: Helse Vest RHF Dato: 31.01.2006 Sakshandsamar: Saka gjeld: Per Karlsen VAL AV KONTROLLKOMITÉ Styresak 011/06 B Styremøte 08.02. 2006 Styret handsama sak 54/05

Detaljer

Til deg som bur i fosterheim. 13-18 år

Til deg som bur i fosterheim. 13-18 år Til deg som bur i fosterheim 13-18 år Forord Om du les denne brosjyren, er det sikkert fordi du skal bu i ein fosterheim i ein periode eller allereie har flytta til ein fosterheim. Det er omtrent 7500

Detaljer

Plan for selskapskontroll

Plan for selskapskontroll Planperiode: 2012 2016 Plan for selskapskontroll Sauda kommune Vedtatt av kommunestyret 21.02.13, sak 4/13 Haugaland Kontrollutvalgs- sekretariat IKS Innhaldsliste Innhaldsliste... 2 Innleiing... 3 Avgrensing

Detaljer

P.R.O.F.F. Plan for Rekruttering og Oppfølging av Frivillige medarbeidarar i Fjell kyrkjelyd

P.R.O.F.F. Plan for Rekruttering og Oppfølging av Frivillige medarbeidarar i Fjell kyrkjelyd P.R.O.F.F. Plan for Rekruttering og Oppfølging av Frivillige medarbeidarar i Fjell kyrkjelyd VISJON I arbeidet for og med dei medarbeidarane i Fjell sokn har vi utarbeida ein visjon: I Fjell sokn vil vi

Detaljer

Fyresdal kommune - Kontrollutvalet. Medlemmar og varamedlemmar Dato 23.02.2012. Fyresdal kommune - kontrollutvalet

Fyresdal kommune - Kontrollutvalet. Medlemmar og varamedlemmar Dato 23.02.2012. Fyresdal kommune - kontrollutvalet Vår ref. 12/132-2 033 /LUNM Medlemmar og varamedlemmar Dato 23.02.2012 Fyresdal kommune - kontrollutvalet Det vert med dette kalla inn til møte: Dato: 07.03.2012 Tid: 09:00 13:00 Sted: Kommunestyresalen

Detaljer

Vedlegg 1 til sak, handlingsplan for Internkontroll. Handlingsplan for styrking av kvalitet og internkontroll. Helse Bergen

Vedlegg 1 til sak, handlingsplan for Internkontroll. Handlingsplan for styrking av kvalitet og internkontroll. Helse Bergen Handlingsplan for styrking av kvalitet og internkontroll Helse Bergen 2015 Innhald 1 Organisatorisk forankring... 2 2 Lovkrav... 2 3 Føremål... 3 4 Tiltak... 3 5 Referansar:... 6 1 Organisatorisk forankring

Detaljer

Rettleiing for revisor sin særattestasjon

Rettleiing for revisor sin særattestasjon Rettleiing for revisor sin særattestasjon Om grunnstønad til nasjonalt arbeid til frivillige barne- og ungdomsorganisasjonar, statsbudsjettets kap. 857, post 70 (Jf. føresegn om tilskot til frivillige

Detaljer

Kjøp av sekretariatsfunksjon for kontrollutvalet

Kjøp av sekretariatsfunksjon for kontrollutvalet Luster kommune Avtale Mellom PricewaterhouseCoopers AS og Luster kommune Kjøp av sekretariatsfunksjon for kontrollutvalet INNHALD 1 Generell informasjon...3 2 Omfang og varigheit...3 3 Oppgåver og plikter

Detaljer

Programområde for industriell møbelproduksjon - Læreplan i felles programfag Vg2

Programområde for industriell møbelproduksjon - Læreplan i felles programfag Vg2 Programområde for industriell møbelproduksjon - Læreplan i felles programfag Vg2 Fastsett som forskrift av Utdanningsdirektoratet 8. desember 2006 etter delegasjon i brev 26. september 2005 frå Utdannings-

Detaljer

Det psykososiale skolemiljøet til elevane. Til deg som er forelder

Det psykososiale skolemiljøet til elevane. Til deg som er forelder Det psykososiale skolemiljøet til elevane Til deg som er forelder Brosjyren gir ei oversikt over dei reglane som gjeld for det psykososiale skolemiljøet til elevane. Vi gir deg hjelp til korleis du bør

Detaljer

Endeleg rapport frå tilsyn med Fjell kommune ved Nav Fjell 2013

Endeleg rapport frå tilsyn med Fjell kommune ved Nav Fjell 2013 Endeleg rapport frå tilsyn med Fjell kommune ved Nav Fjell 2013 Adressa til verksemda: Postboks 184 5342 STRAUME Tidspunkt for tilsynet: 20. november 2013 Kontaktperson i verksemda: Kristoffer Møvik Kontaktperson

Detaljer

EasyPublish Kravspesifikasjon. Versjon 1.0

EasyPublish Kravspesifikasjon. Versjon 1.0 EasyPublish Kravspesifikasjon Versjon 1.0 Endringshistorie Dato Versjon Kommentarar Person 12.04.2005 1.0 Første utkast Jesro Christoffer Cena Innhald 1 Innleiing...4 1.1 lsetjing... 4 1.2 Omfang... 4

Detaljer

MØTEINNKALLING. SAKLISTE Åpning av møtet og godkjenning av møteprotokoll frå møte 4.7.2007

MØTEINNKALLING. SAKLISTE Åpning av møtet og godkjenning av møteprotokoll frå møte 4.7.2007 MØTEINNKALLING Utval: KONTROLLUTVALET Møtestad: Balestrand rådhus Møtedato: 20.09.2007 Tid: 0930 Varamedlemmer møter berre etter nærare innkalling SAKLISTE Åpning av møtet og godkjenning av møteprotokoll

Detaljer

SENIORPOLITIKK Masfjorden kommune

SENIORPOLITIKK Masfjorden kommune SENIORPOLITIKK Masfjorden kommune Vedteke i kommunestyret 19 juni 2014 FORORD Hovudoppdraget for alle som arbeider i Masfjorden kommune er å yte kommunale tenester av beste kvalitet. Den einskilde sin

Detaljer

Innst. 264 S. (2012 2013) Innstilling til Stortinget fra kontroll- og konstitusjonskomiteen. 1. Sammendrag. Dokument 3:7 (2012 2013)

Innst. 264 S. (2012 2013) Innstilling til Stortinget fra kontroll- og konstitusjonskomiteen. 1. Sammendrag. Dokument 3:7 (2012 2013) Innst. 264 S (2012 2013) Innstilling til Stortinget fra kontroll- og konstitusjonskomiteen Dokument 3:7 (2012 2013) Innstilling fra kontroll- og konstitusjonskomiteen om Riksrevisjonens undersøking av

Detaljer

Sakshandsamar: Arkiv: ArkivsakID Willy Andre Gjesdal FE - 223, FA - C00 14/1418

Sakshandsamar: Arkiv: ArkivsakID Willy Andre Gjesdal FE - 223, FA - C00 14/1418 Vaksdal kommune SAKSFRAMLEGG Saksnr: Utval: Dato Formannskap/plan- og økonomiutvalet Kommunestyret Sakshandsamar: Arkiv: ArkivsakID Willy Andre Gjesdal FE - 223, FA - C00 14/1418 Revisjon av retningsliner

Detaljer

bruk av følgje ved opphald i sjukehus (Følgjeavtalen)

bruk av følgje ved opphald i sjukehus (Følgjeavtalen) Tenesteavtale mellom Fitjar kommune og Helse Fonna HF bruk av følgje ved opphald i sjukehus (Følgjeavtalen) Partar Denne avtalen er inngått mellom Fitjar kommune og Helse Fonna HF. Bakgrunn og omfang av

Detaljer

HØYRING OM NYE IT-STANDARDAR FOR OFFENTLEG SEKTOR

HØYRING OM NYE IT-STANDARDAR FOR OFFENTLEG SEKTOR HORDALAND FYLKESKOMMUNE Organisasjonsavdelinga Arkivsak 201202564-2 Arkivnr. 036 Saksh. Svein Åge Nottveit Saksgang Møtedato Fylkesutvalet 25.04.2012 HØYRING OM NYE IT-STANDARDAR FOR OFFENTLEG SEKTOR SAMANDRAG

Detaljer

Vinje kommune. Sluttrapport

Vinje kommune. Sluttrapport Vinje kommune Sluttrapport 28.05.2008 Innhold 1. Sammendrag... 3 2. Gjennomføring i henhold til prosjektplanen... 3 3. Målrealisering... 4 4. Prosjektorganisering... 5 5. Erfaringer som samspill kommune...

Detaljer

STYRESAK. Styremedlemmer Helse Vest RHF GÅR TIL: FØRETAK: DATO: 22.04.2015 SAKSHANDSAMAR: Gina Beate Holsen SAKA GJELD: HMS strategi i Helse Vest

STYRESAK. Styremedlemmer Helse Vest RHF GÅR TIL: FØRETAK: DATO: 22.04.2015 SAKSHANDSAMAR: Gina Beate Holsen SAKA GJELD: HMS strategi i Helse Vest STYRESAK GÅR TIL: FØRETAK: Styremedlemmer Helse Vest RHF DATO: 22.04.2015 SAKSHANDSAMAR: Gina Beate Holsen SAKA GJELD: HMS strategi i Helse Vest ARKIVSAK: 2015/1600 STYRESAK: 047/15 STYREMØTE: 06.05. 2015

Detaljer

ORGANISATORISK PLATTFORM FOR UNGE VENSTRE

ORGANISATORISK PLATTFORM FOR UNGE VENSTRE ORGANISATORISK PLATTFORM FOR UNGE VENSTRE 2016-2019 INNLEIING Organisatorisk plattform er vedteken av Unge Venstres landsmøte 2015 og gjeld for perioden 2016-2019. Det er berre landsmøte som i perioden

Detaljer

Legge til brukar. Legge til ein lærar Då det er lite utskifting på lærarar så legg eg til dei manuelt 1. Klikk Kontoredigering Legg til Manuelt

Legge til brukar. Legge til ein lærar Då det er lite utskifting på lærarar så legg eg til dei manuelt 1. Klikk Kontoredigering Legg til Manuelt Legge til brukar Legge til ein lærar Då det er lite utskifting på lærarar så legg eg til dei manuelt 1. Klikk Kontoredigering Legg til Manuelt 2. Skriv inn Fornamn, Etternamn og Klasse. Dersom programmet

Detaljer

Informasjonssbrev Arkivplan.no 2015.09

Informasjonssbrev Arkivplan.no 2015.09 Informasjonssbrev Arkivplan.no 2015.09 Eigarane av arkivplan.no har no gleda av å presentere verktøyet i ei oppdatert og forbetra utgåve. Den nye versjonen er tilgjengeleg frå 05.10.2015. Oppdateringane

Detaljer

Årsmelding 2011-2012 Austevoll maritime fagskule 2-årig maritim fagskule : Skipsoffisersutdanning- nautikk

Årsmelding 2011-2012 Austevoll maritime fagskule 2-årig maritim fagskule : Skipsoffisersutdanning- nautikk Årsmelding 2011-2012 Austevoll maritime fagskule 2-årig maritim fagskule : Skipsoffisersutdanning- nautikk Årsmeldinga frå Austevoll maritime fagskule gjev ein oppsummering av dei viktigaste funna i student

Detaljer

Rapport frå tilsyn med samfunnstryggleik og beredskap i Hå kommune 17. april 2015

Rapport frå tilsyn med samfunnstryggleik og beredskap i Hå kommune 17. april 2015 Rapport frå tilsyn med samfunnstryggleik og beredskap i Hå kommune 17. april 2015 Tidsrom for tilsynet: 2015 Kommunen si adresse: Hå kommune, postboks 24, 4368 Varhaug Kontaktperson i kommunen: Kaare Waatevik

Detaljer

Alversund skule. Systematisk arbeid med eit godt skulemiljø etter 9a. Retningslinjer og Rutineskildring

Alversund skule. Systematisk arbeid med eit godt skulemiljø etter 9a. Retningslinjer og Rutineskildring Alversund skule Systematisk arbeid med eit godt skulemiljø etter 9a Retningslinjer og Rutineskildring Oktober 2015 INNHALD Innleiing... 2 Lovgrunnlag... 3 Opplæringslova... 3 Elevane sitt fysiske skulemiljø...

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

FORFALL Kristin Tufta Kirknes (V) meldt forfall Are Traavik (Sp) ikkje meldt forfall på grunn av at innkallinga ikkje var motteke på E-post

FORFALL Kristin Tufta Kirknes (V) meldt forfall Are Traavik (Sp) ikkje meldt forfall på grunn av at innkallinga ikkje var motteke på E-post Kvinnheerrad kommunee MØTEPROTOKOLL Kontrollutvalet Dato: 11.09.12 Kl.: 09.30 14.00 Stad: Møterom Samfunnskroken Saknr.: 28/12 35/12 MØTELEIAR Sølvi Ulvenes (H) DESSE MØTTE Frøydis Fjellhaugen (Ap) Sigmund

Detaljer

Engasjements- og eigarskapskontroll i Møre og Romsdal fylkeskommune

Engasjements- og eigarskapskontroll i Møre og Romsdal fylkeskommune Fylkesrevisjonen Engasjements- og eigarskapskontroll i Møre og Romsdal fylkeskommune Innhald 1. Innleiing... 1 1.1. Bakgrunn og formål med engasjementskontrollen... 1 2. Fakta, funn og vurderingar av eigarskapen...

Detaljer

STYRESAK: DATO: 22.09.2015 SAKSHANDSAMAR: Trond Søreide SAKA GJELD: Internrevisjon i Helse Vest av bierverv STYREMØTE: 30.09.2015 FORSLAG TIL VEDTAK

STYRESAK: DATO: 22.09.2015 SAKSHANDSAMAR: Trond Søreide SAKA GJELD: Internrevisjon i Helse Vest av bierverv STYREMØTE: 30.09.2015 FORSLAG TIL VEDTAK STYRESAK GÅR TIL: FØRETAK: Styremedlemmer Helse Bergen HF DATO: 22.09.2015 SAKSHANDSAMAR: Trond Søreide SAKA GJELD: Internrevisjon i Helse Vest av bierverv STYRESAK: 62/15 A STYREMØTE: 30.09.2015 FORSLAG

Detaljer

ROS-analyse i kommuneplan

ROS-analyse i kommuneplan ROS-analyse i kommuneplan Interkommunalt skredsamarbeid Møte måndag 6. desember 2010 Inge Edvardsen Fylkesmannen i Hordaland 1 Risikoanalyse kva og kvifor? Ein systematisk tilnærming til arbeidet med samfunnstryggleik

Detaljer

KONTROLLUTVALET FOR RADØY KOMMUNE MØTEUTSKRIFT

KONTROLLUTVALET FOR RADØY KOMMUNE MØTEUTSKRIFT Radøy kommune KONTROLLUTVALET FOR RADØY KOMMUNE MØTEUTSKRIFT Møtedato: 30.09.2014 Stad: Kommunehuset Kl.: 09.00 13.40 Tilstades: Astrid Nordanger nestleiar, Jan Tore Hvidsten gikk frå møte etter sak 28/14,

Detaljer

FORSKRIFT OM GRADAR Fastsett av styret ved KHiB den 25.06.03 med heimel i Uhl. 46.2. 1

FORSKRIFT OM GRADAR Fastsett av styret ved KHiB den 25.06.03 med heimel i Uhl. 46.2. 1 1 FORSKRIFT OM GRADAR Fastsett av styret ved KHiB den 25.06.03 med heimel i Uhl. 46.2. 1 1. OMFANG Denne forskrifta gjeld for dei studieprogramma som institusjonen vedtek å opprette. 2. DEFINISJONAR 2.1.

Detaljer

DIGITAL KOMMUNIKASJON SOM HOVUDREGEL - ENDRINGAR I FORVALTNINGSLOVA - HØYRING

DIGITAL KOMMUNIKASJON SOM HOVUDREGEL - ENDRINGAR I FORVALTNINGSLOVA - HØYRING HORDALAND FYLKESKOMMUNE Organisasjonsavdelinga Arkivsak 201208498-2 Arkivnr. 000.T00 Saksh. Dyrnes, Hanne Camilla Saksgang Møtedato Fylkesutvalet 06.12.2012 DIGITAL KOMMUNIKASJON SOM HOVUDREGEL - ENDRINGAR

Detaljer

Innspelsundersøking. Kommunestruktur i Vest-Telemark GUNN KRISTIN AASEN LEIKVOLL

Innspelsundersøking. Kommunestruktur i Vest-Telemark GUNN KRISTIN AASEN LEIKVOLL Innspelsundersøking Kommunestruktur i Vest-Telemark GUNN KRISTIN AASEN LEIKVOLL Innhald 1. Innleiing... 3 1.1 Status og mål... 3 1.2 Vurderingar av mål knytt til kommunesamanslåing... 4 1.3 Haldningar

Detaljer

SENIORPOLITIKK Masfjorden kommune

SENIORPOLITIKK Masfjorden kommune SENIORPOLITIKK Masfjorden kommune Vedteke av kommunestyret 19. juni 2014 Postadr.: Telefon: Telefaks: Bankgiro: Organisasjonsnr.: 5981 MASFJORDNES 56 16 62 00 56 16 62 01 3201 48 54958 945627913 E-post:post@masfjorden.kommune.no

Detaljer

VEDTEKTER FOR BARNEHAGANE I SELJORD

VEDTEKTER FOR BARNEHAGANE I SELJORD VEDTEKTER FOR BARNEHAGANE I SELJORD Vedtatt av Seljord formannskap i sak 20/12, 9.2.2012. Administrativt revidert 1.september 2014 1. Eigar- og driftsforhold. Seljord kommune eig og driv barnehagane i

Detaljer

Samarbeidsavtalefor NAV fkmli

Samarbeidsavtalefor NAV fkmli NAV Åmli, Samarbeidsavtale mellom NAV Aust-Agder og Åmli kommune lb (Lf - IS" N(415 - occittl, Åmli Kommune Samarbeidsavtalefor NAV fkmli Åmli kommune 1 Samarbeidspartar Samarbeidsavtala er inngått mellom

Detaljer