Retningslinjer for databehandleravtaler

Størrelse: px
Begynne med side:

Download "Retningslinjer for databehandleravtaler"

Transkript

1 Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER SENTRALE BEGREPER HVORFOR ER DET VIKTIG Å FÅ AVKLART BEHANDLINGSANSVAR? NÅR FORELIGGER DET EN DATABEHANDLERRELASJON? KRAV TIL DATABEHANDLERAVTALE GENERELT FØR AVTALEINNGÅELSE ETTER AVTALE INNGÅELSE OPPFØLGING OG KONTROLL BRUK AV DATABEHANDLER I UTLANDET DATABEHANDLERE INNENFOR EU/EØS DATABEHANDLER I ANDRE LAND SOM ER GODKJENT AV EU-KOMMISJONEN DATABEHANDLER I TREDJELAND... 7 Fokusområde Personvern Side 1

2 1. HENSIKT I endel tilfeller velger NAV å sette bort til andre å behandle personopplysninger på vegne av seg. Den som utfører behandlingen av personopplysningene betegnes da som databehandler. NAV vil være behandlingsansvarlig for oppdraget eller bestillingen. Behandling av personopplysninger av en databehandler krever etter personopplysningsloven at det må inngås en skriftlig avtale, dvs. en databehandleravtale. Hensikten med denne retningslinjen er å gi veiledning for når NAV som behandlingsansvarlig må inngå databehandleravtaler, innholdet i avtalene og hvordan følge opp avtalene. 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER 2.1 Sentrale begreper For å forstå hva en databehandleravtale er og hva den skal regulere, så er det viktig å kjenne til noen sentrale begreper som følger av personopplysningsloven: Behandlingsansvarlig NAV er etter personopplysningsloven «behandlingsansvarlig» for all behandling av personopplysninger som skjer innenfor etatens lovpålagte virkeområde som forvaltningsvirksomhet og også som arbeidsgiver for egne ansatte. Det er NAV som har bestemmelsesretten over opplysningene, som bestemmer hva som er formålet med bruk av opplysningene og hvilke hjelpemidler som skal brukes for å oppnå formålet. NAV er ansvarlig for etterlevelse av lovpålagte krav til taushetsplikt, at behandling av personopplysninger er lovlig, at de behandles på en sikker og forsvarlig måte og at den enkeltes personvernrettigheter ivaretas. Med «behandling av personopplysninger» menes alle former for håndtering av personopplysninger uansett om det foregår manuelt eller elektronisk. Det omfatter alt fra innsamling, registrering, systematisering, kopiering, lagring, bruk, sammenstilling, søk, sletting, utlevering av opplysninger mm. Databehandler Databehandler kan være en person, privat eller offentlig virksomhet utenfor NAVs organisasjon. Selv om NAV setter bort deler av behandling av personopplysninger til andre («outsourcing»), så vil NAV fortsatt være behandlingsansvarlig for all behandling av personopplysninger som NAV råder over i forbindelse med sin lovbestemte virksomhet. Leverandøren vil være en «databehandler» for NAV. Databehandler er etter personopplysningslovens definisjon den som behandler opplysninger på vegne av den behandlingsansvarlige. Databehandleravtaler Databehandlers rett til å behandle personopplysninger skal reguleres i en skriftlig databehandleravtale. Avtalen skal regulere ansvarsforholdet mellom behandlingsansvarlig og databehandler, om hvordan opplysningene skal behandles og sikres. Fokusområde Personvern Side 2

3 Databehandler kan kun bruke opplysningene til det formål og med det nivå på informasjonssikkerhet som avtalt i avtalen. Med «informasjonssikkerhet» mener vi krav til en rekke fysiske, systemtekniske og organisatoriske sikkerhetstiltak, som skal sikre forsvarlig behandling av personopplysningene (med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av opplysningene). 2.2 Hvorfor er det viktig å få avklart behandlingsansvar? Når NAV behandler personopplysninger, så er det viktig å få avklart hva som er NAVs ansvar. Begrunnelsen for det er at: det er behandlingsansvarlig som er ansvarlig for etterlevelse av personopplysningslovens krav til ivaretakelse av personvern og informasjonssikkerhet det er viktig for etatens brukere å vite hvem som er ansvarlig for behandling av personopplysninger om seg selv det er overfor behandlingsansvarlig at bruker kan utøve sine personvernrettigheter etter personopplysningsloven, som rett til innsyn, informasjon og retten til å få uriktige personopplysninger endret eller slettet Selv om NAV setter oppgaveløsningen bort til en databehandler, så er det NAV som behandlingsansvarlig som fortsatt er ansvarlig for at personopplysningene behandles i samsvar med gjeldende regelverk og behandlingsgrunnlag. Personopplysningsloven gir en databehandler lite selvstendig ansvar utover en plikt til å sørge for tilfredsstillende informasjonssikkerhet og plikt til å ha en databehandleravtale som rettslig grunnlag for sin behandling. Databehandlers ansvar og plikter skal reguleres i databehandleravtalen. Databehandler kan ikke behandle personopplysningene på andre måter enn det som følger av avtalen og kan heller ikke bruke opplysningene til egne formål. Databehandler kan heller ikke uten videre påbegynne sin behandling av personopplysninger på vegne av NAV, uten at skriftlig avtale foreligger. 2.3 Når foreligger det en databehandlerrelasjon? Dersom behandling av personopplysninger skjer i samarbeid med flere virksomheter, så er det viktig å få avklart behandlingsansvar og om noen av disse er databehandlere. Bruk av databehandler er først og fremst aktuelt der det foreligger et oppdragsforhold eller bestilling av tjenester, som innebærer behandling av personopplysninger. Skal leverandøren ikke ha tilgang til og eller bruke personopplysninger, så er det ingen databehandlerrelasjon. Typiske eksempler på databehandlere er bruk av eksterne ikt-leverandører til utvikling og drift av etatens ikt-systemer, leverandører av skytjenester, analyseselskaper som gjennomfører brukerundersøkelser, utredninger og evalueringer for etaten, translatører til oversettelse av saksdokumenter, bruk av vaktselskaper som skal lagre video- og kameraopptak av etatens lokaler hvor ansatte og publikum oppholder seg. Dette er virksomheter som har spisskompetanse, kapasitet og ressurser på sitt område og som det ofte vil være mer praktisk og økonomisk utfører oppgavene enn behandlingsansvarlig. Omfang på oppgavene eller tjenestene kan variere fra stort omfang og til enkeltstående oppdrag. Fokusområde Personvern Side 3

4 Kriterier for plassering av behandlingsansvar fremgår av personopplysningslovens definisjon i 2 første ledd nr. 4 og lovens forarbeider. Sammenfattet er de viktigste kriteriene: o Hvem bestemmer formålet? o Hvem bestemmer hjelpemidlene? o Hvem har nærhet/daglig befatning med personopplysningene? o Hvem bestiller og finansierer oppdraget? o Hva er rettslig grunnlag (behandlingsgrunnlag)? Det avgjørende er først og fremst hvem som har både det juridiske og faktiske «eierskapet» til opplysningene (dvs. hvem er det som bestemmer formålet og hvilke hjelpemidler som skal brukes?). Hvis det er oppgaver som NAV er blitt pålagt gjennom lov og som faller inn under NAVs definerte ansvarsområde, så vil NAV være behandlingsansvarlig. En databehandler kjennetegnes ved å behandle personopplysninger på vegne av (etter bestilling, oppdrag) fra behandlingsansvarlig. Databehandler operasjonaliserer oppdraget innenfor de rammer som behandlingsansvarlig har myndighet til og har angitt i avtalen. Ofte er det da også databehandler som har den daglige befatningen med opplysningene så lenge oppdraget varer, ellers er det behandlingsansvarlig. En databehandleravtale vil gi leverandøren et rettslig grunnlag for å behandle personopplysningene. 3. KRAV TIL DATABEHANDLERAVTALE 3.1 Generelt Selv om et oppdrag eller en tjeneste settes ut til eksterne, så er det fortsatt NAV som skal ha bestemmelsesretten over personopplysningene og som gjennom databehandleravtalen skal sette krav til hvordan opplysningene skal behandles og sikres. Avtalen skal utformes i henhold til NAVs mal for databehandleravtale der alle innholdselementer er beskrevet, se operativ retningslinje «Databehandleravtale MAL v1.1». Malen er veiledende og må tilpasses det konkrete oppdraget eller tjenesten og aktuelle krav. For bruk av tiltaksarrangører ved arbeidsmarkedstiltak vil det bli utarbeidet egen mal for databehandleravtaler. Gjelder det behandling av sensitive personopplysninger (som for eksempel opplysninger om en persons helseforhold, diagnoseopplysninger, etnisitet, religiøs oppfatning, straffbare handlinger, medlemskap i fagforening m. m, jf. personopplysningsloven 2 nr. 8), så vil det kreve en mer detaljert avtaleregulering enn behandling av mer ordinære personopplysninger. Avtalen kan være en frittstående avtale eller integrert som en del til annet avtaleverk som NAV har med leverandøren. Fokusområde Personvern Side 4

5 Avtalepart på vegne av NAV kan være utøvende behandlingsansvarlig som representerer behandlingsansvarlig. For eksempel den enkelte fagdirektør i direktoratet eller linjeleder som er gitt myndighet etter fullmakt. Avtalen skal journalføres og arkiveres i Administrativt arkiv. 3.2 Før avtaleinngåelse Det skal i anskaffelsesprosesser tydeliggjøres behandlingsansvar, leverandørens ansvar og krav til etterlevelse av personopplysningsloven med forskrift. Det skal stilles følgende krav: 1. Krav til at leverandøren ivaretar de krav som følger av personopplysningsloven med forskrift (personopplysningsforskriften). 2. Krav til at leverandøren pålegges taushetsplikt og må undertegne taushetserklæring for medarbeidere som skal behandle informasjon på vegne av NAV. 3. Krav til at leverandøren har et internkontrollsystem for informasjonssikkerhet som sikrer: a. at leverandøren plikter å gjøre tiltak for å sikre konfidensialitet integritet og tilgjengelighet til informasjonen som behandles på vegne av NAV b. at leverandøren tilfredsstiller NAVs sikkerhetskrav for personvern og informasjonssikkerhet c. at NAV kan ha innsyn i dokumentasjon på hvordan internkontrollsystemet for informasjonssikkerhet er bygget opp og dokumentasjon på gjennomføring av iverksatte tiltak 4. Krav til at det må inngås en skriftlig databehandleravtale med NAV som blir en del av det øvrige avtaleverket med leverandøren. 5. Krav til at databehandler må oversende dokumentasjon om sine sikkerhetsmål, sikkerhetsstrategi og ansvar for informasjonssikkerheten ved avtaleinngåelse. 6. Krav til rapportering. NAV skal forsikre seg om at databehandleren har tilstrekkelig sikkerhetsnivå. Etter at leverandør er valgt og godkjent, skal det utformes en skriftlig databehandleravtale. Databehandler skal sende oversende dokumentasjon til NAV om sine mål og strategier for informasjonssikkerhet. Det skal skje ved første gangs avtaleinngåelse og senere når avtalen blir revidert. En databehandleravtale skal foreligge i undertegnet stand før oppdraget kan påbegynnes. 3.3 Etter avtale inngåelse oppfølging og kontroll NAVs rett til å be om innsyn, krav til rapportering og gjennomføre revisjoner og kontroller skal være regulert i avtalen. NAV skal på et hvert tidspunkt kunne be om innsyn i databehandlers prosedyrer og praksis for informasjonssikkerhet for å sikre at den er tilfredsstillende etter de krav som er stilt. NAV har rett til som behandlingsansvarlig å kunne kontrollere (revisjon) at avtalekravene etterleves og Fokusområde Personvern Side 5

6 kan kreve tilgang til og innsyn i leverandørens løsninger for hvordan personopplysningene behandles og sikres. Revisjon kan omfatte gjennomgang av rutiner, stikkprøvekontroller, stedlig kontroll osv. Leverandøren skal kunne dokumentere sikkerhetsdokumentasjon hvis NAV etterspør, og skal umiddelbart rapportere sikkerhetsbrudd og avvik til NAV. NAV skal ha rutiner for å følge opp og kontrollere at en leverandør følger de krav som er stilt. Sikkerhetsseksjonen i Arbeids- og velferdsdirektoratet kan på vegne av utøvende behandlingsansvarlig gjennomføre kontrollbesøk eller be om innsyn hos tiltaksarrangør. Det kan også innhentes revisjonsrapport fra en uavhengig tredjepart. 4. BRUK AV DATABEHANDLER I UTLANDET Hvis det er aktuelt å benytte en databehandler eller en underleverandør for databehandler som er etablert i utlandet, så må det reguleres i databehandleravtalen. EUs standardkontrakt kan brukes som standardmal for inngåelse av databehandleravtaler med utenlandske leverandører. Ved signering av kontrakten forplikter leverandøren seg til å behandle opplysningene i samsvar med de krav som gjelder innenfor EU/EØS området. Disse malene er på dansk og engelsk og er tilgjengelig på Datatilsynets internettsider (se skjema maler/kontraktsvilkaar overforing ENG.pdf). 4.1 Databehandlere innenfor EU/EØS Stater som har gjennomført direktiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet) oppfyller kravet til forsvarlig behandling. For disse gjelder de samme vurderinger som skal gjøres hvis databehandler var etablert i Norge. Det er en grunnleggende forutsetning at personopplysningslovens krav til behandling av personopplysninger skal oppfylles. Det skal gjøres en risikovurdering og ut fra den settes sikkerhetskrav til leverandør. Det skal i denne forbindelse foretas en vurdering om hvorvidt det er forhold som tilsier at personopplysningen ikke skulle kunne overføres innen EU/EØS, f.eks. bør det vurderes om informasjon om brukere med adressesperre kode 6/ kode 7 kan overføres. Bruk av databehandler i utlandet kan medføre at etatens melding til Datatilsynet for det aktuelle behandlingsområdet, må endres. Se operativ retningslinje for «Melde- og konsesjonsplikt for etatens behandling av personopplysninger v.1.2». Fokusområde Personvern Side 6

7 4.2 Databehandler i andre land som er godkjent av EU-Kommisjonen EU-kommisjonen har med hjemmel i personverndirektivet godkjent ved beslutning en rekke andre stater utenfor EU/EØS for å ha tilfredsstillende beskyttelsesnivå (hvem disse er, se kommisjonens hjemmeside: ec.europa.eu). Det er ikke tilstrekkelig at landene er godkjent av kommisjonen. Det må gjøres de samme risikovurderinger og settes de samme krav til personvern og informasjonssikkerhet som om leverandøren var plassert i Norge eller innenfor EU/EØS. Som følge av EU-domstolens avgjørelse av er rammeverket for Safe-Harbor (godkjent av EU i 2000) kjent ugyldig. Det innebærer at amerikanske selskaper som var sertifisert etter Safe Harbor prinsippene ikke lenger kan benytte dette som grunnlag, og må behandles etter de kriterier som beskrevet nedenfor i punkt Databehandler i tredjeland For leverandører i land som ikke har gjennomført direktiv 95/46/EF og som heller ikke er godkjent som beskrevet i punkt 4.2, må det vurderes om landet ivaretar de kravene som stilles til forsvarlig behandling. I vurderingen av hva som er forsvarlig behandling bør det legges vekt på: opplysningens art og omfang formålet til den planlagte behandlingen og varighet av behandlingen hva finnes av rettsregler på området, regler for god forvaltningsskikk, bransjenormer og sikkerhetstiltak som kan ivareta personvernet garantier for ivaretakelse av brukernes rettigheter Krav til bruk av EUs standardkontrakt og varslingsplikt til Datatilsynet Det er et vilkår at EUs standardkontrakt for overføring til databehandler skal brukes, se punkt 4 innledning. NAV, som behandlingsansvarlig, har en varslingsplikt til Datatilsynet. Plikten innebærer at NAV må sende en kopi av den signerte overføringsavtalen til Datatilsynet. Så snart avtalen er undertegnet og sendt inn, kan behandlingen av personopplysninger påbegynnes. I eventuell melding til Datatilsynet må det opplyses om at det overføres personopplysninger til databehandlere i stater utenfor EU/EØS. Se operativ retningslinje for «Melde- og konsesjonsplikt for etatens behandling av personopplysninger v.1.2». Fokusområde Personvern Side 7

Informasjon interesseorganisasjoner

Informasjon interesseorganisasjoner Informasjon interesseorganisasjoner Behandling av personopplysninger ved gjennomføring av arbeidsrettede tiltak for NAV Implementering av databehandleravtale mellom tiltaksarrangør og NAV Datatilsynet

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Go to  use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn. INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Lagring av forskningsdata i Tjeneste for Sensitive Data

Lagring av forskningsdata i Tjeneste for Sensitive Data AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Lagring av forskningsdata i Tjeneste for Sensitive Data Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer. 1

Detaljer

Innføring av og bruk av databehandleravtale for tiltaksarrangører som leverer arbeidsrettede tiltak til NAV.

Innføring av og bruk av databehandleravtale for tiltaksarrangører som leverer arbeidsrettede tiltak til NAV. Alle NAV fylker Deres ref: Vår ref: 15/6013 Vår dato: 17.12.2015 Innføring av og bruk av databehandleravtale for tiltaksarrangører som leverer arbeidsrettede tiltak til NAV. Arbeids- og velferdsdirektoratet

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene

Detaljer

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2. Databehandleravtale for Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus Vedlegg 10 Databehandleravtale Versjon 2.4 Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus Avtaleskisse

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

Sikkerhet og personvern i skole og klasserom

Sikkerhet og personvern i skole og klasserom Sikkerhet og personvern i skole og klasserom NKUL 2017 Tommy Tranvik Harald Torbjørnsen Vi skal: Øke kvaliteten i det pedagogiske arbeidet med digitale ferdigheter hos barn og unge Øke den digitale kompetansen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer) Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper Personvernregelverket Personvernregelverkets krav til skytjenester EUs personverndirektiv 95/46/EU Personopplysningsloven med forskrift Særlovgivning, markedsføringsloven og taushetspliktregler Ny EU-forordning

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00057 Dato for kontroll: 18.01.2012 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Paulsens Hotell AS Sted: Lyngdal Utarbeidet av: Stein Erik Vetland 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER) Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning

Detaljer

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte : YFF - databehandleravtale Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte 29.04.2015: Sak til behandling: Delegering av fullmakt til

Detaljer

Lagring av forskningsdata i Tjeneste for

Lagring av forskningsdata i Tjeneste for AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Databehandleravtale Lagring av forskningsdata i Tjeneste for Sensitive Data 1 l 1. Avtalens parter 1.1 Parter Avtalen inngås mellom databehandlingsansvarlig:

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom.. (barnehagen) og MyKid AS. (databehandler) 1. Avtalens hensikt

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011 Cloud computing og offshoring Juridiske sjekkpunkter for overføring av data til utlandet Espen Werring, 1. desember 2011 Er dette noe å bry seg om? Betydelig vekst innen offshoring de seneste årene Alle

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale for IMDinett I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom Integrerings- og mangfoldsdirektoratet

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen INF1000: IT og samfunn Uke 6, høst 2014 Siri Moe Jensen Oversikt Praktisk om semesterplan og obliger Hilde Lovett, Teknologirådet IT: Eksempler på muligheter og løsninger Kan teknologi styres? Om anvendelse

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00176 Dato for kontroll: 27.03.2012 Rapportdato: 05.09.2012 Endelig kontrollrapport Kontrollobjekt: Kåfjord kommune Sted: Kåfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Kompetanse Norge Behandlingsansvarlig og xx Databehandler 1 1. Avtalens hensikt

Detaljer

PERSONVERN I FINANSSEKTOREN

PERSONVERN I FINANSSEKTOREN CHRISTINE ASK OTTESEN KATRINE BERG BLIXRUD PERSONVERN I FINANSSEKTOREN å GYLDENDAL AKADEMISK Innhold Introduksjon 19 Innledning 21 DEL I EN GENERELL INNFØRING I PERSONOPPLYSNINGSLOVEN 23 KAPITTEL 1 Rettskildebildet

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom Oslo kommune Velferdsetaten Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom Velferdsetaten Org.nr: behandlingsansvarlig og Org.nr.:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Planlegging og gjennomføring av brukerundersøkelser

Planlegging og gjennomføring av brukerundersøkelser Planlegging og gjennomføring av brukerundersøkelser overfor etatens brukere Operativ sikkerhetsdokumentasjon Fokusområde Personvern og taushetsplikt Sikkerhetskrav Personopplysninger skal primært innhentes

Detaljer

Databehandleravtale etter personopplysningsloven m.m

Databehandleravtale etter personopplysningsloven m.m Databehandleravtale etter personopplysningsloven m.m Databehandleravtale I henhold til personopplysningsloven 13, jf. 15 og personopplysningsforskriftens kapittel 2. Avtalen omhandler også håndtering av

Detaljer

Melde- og konsesjonsplikt for etatens behandlinger av personopplysninger

Melde- og konsesjonsplikt for etatens behandlinger av personopplysninger Melde- og konsesjonsplikt for etatens behandlinger av personopplysninger Operativ sikkerhetsdokumentasjon Fokusområde Personvern og taushetsplikt. Dette dokumentet gjelder retningslinjer for ivaretakelse

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 3.0 Dato: 15.12.2010 Målgruppe Dette faktaarket er

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Hovedkonklusjon informasjonssikkerhet tillegges større vekt enn tidligere, både kvalitativt og kvantitativt Agenda gjennomgå hovedreglene

Detaljer

Forvaltningssystem for skatteinnkreving (Sofie) Kontrollstøttesystem(Koss) Løsning for dokumenthåndtering (F-Dok) Avtale mellom

Forvaltningssystem for skatteinnkreving (Sofie) Kontrollstøttesystem(Koss) Løsning for dokumenthåndtering (F-Dok) Avtale mellom Avtale om tilgang til systemene: Forvaltningssystem for skatteinnkreving (Sofie) Kontrollstøttesystem(Koss) Løsning for dokumenthåndtering (F-Dok) Avtale mellom Skatteetatens it- og servicepartner (SITS)

Detaljer

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1 Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1. Innledning og bakgrunn Mange land i Europa har de senere årene forenklet sine

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Ny personvernforordning trer i kraft i mai 2018

Ny personvernforordning trer i kraft i mai 2018 Sadia Zaka CERES 1 Gjeldende regelverk: Personopplysningsloven og personopplysningsforskriften Ny personvernforordning trer i kraft i mai 2018 Forordningen pålegger den behandlingsansvarlige flere plikter,

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Avtale mellom. om elektronisk utveksling av opplysninger

Avtale mellom. om elektronisk utveksling av opplysninger Avtale mellom og.. om elektronisk utveksling av opplysninger INNHOLD 1. AVTALENS PARTER 3 2. AVTALENS GJENSTAND OG AVTALENS DOKUMENTER 3 3. HJEMMEL FOR UTLEVERING, INNHENTING OG BEHANDLING AV OPPLYSNINGENE

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Osen kommune behandlingsansvarlig

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Innsynsrett - Brukers rett til innsyn

Innsynsrett - Brukers rett til innsyn Innsynsrett - Brukers rett til innsyn Operativ sikkerhetsdokumentasjon Ved håndtering av innsynsbegjæringer skal etaten overholde krav gitt i offentleglova, forvaltningsloven INNHOLDSFORTEGNELSE 1. HENSIKT...

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Elkotek Sikkerhet AS (databehandler) Og ---------------------------------------------------

Detaljer