VIRKE. 12. mars 2015

Størrelse: px
Begynne med side:

Download "VIRKE. 12. mars 2015"

Transkript

1 VIRKE 12. mars 2015

2 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter og rutiner Konsesjonsplikt Meldeplikt Rutiner Informasjonssikkerhet Organisering Risikovurderinger Avviksbehandlinger Databehandlere og databehandleravtaler Personvernombudsordningen Side 2

3 Hva er internkontroll og informasjonssikkerhet? rutiner for oppfyllelse av virksomhetens plikter og de registrertes rettigheter rutiner og tekniske tiltak for informasjonssikkerhet Side 3

4 Typiske funn Hvor trykker skoen? Manglende oversikt over egne behandlinger Hull i kunnskapen om innsyn og informasjon Manglende eller for dårlige risikovurdering Databehandleravtaler Hva er gjennomgående bra? Organisering og delegasjonsfullmakter Avviksbehandling internt Man har kunnskap, men ikke nedfelte rutiner Side 4

5 Andre observasjoner Er det forskjell på store og små? Ja, her er det store forskjeller Alle lever under samme regelverk uansett størrelse, men kunnskapen om regelverket er så som så Side 5

6 Internkontroll (etter personopplysningsloven) Denne består av tre hovedelementer: Styrende elementer, som i hovedsak retter seg mot ledelsen, herunder hvilke beslutninger og føringer de legger for internkontroll. Gjennomførende elementer, som i hovedsak retter seg mot ansatte. Her finner man beskrivelse av rutiner som er tilpasset den enkeltes arbeidssituasjon. Kontrollerende elementer, som bidrar til å fange opp avvik fra systemet og til at det gjennomføres periodiske gjennomganger Side 6

7 Informasjonssikkerhet et ledelsesansvar Opplysninger som kan knyttes til individet, skal behandles i samsvar med personopplysningsloven. Grunnlag for behandling er basert på lovhjemmel eller samtykke fra den registrerte Uavhengig av grunnlaget har virksomheten plikt til å informere den registrerte om hvordan den har tenkt å behandle opplysningene Det må informeres om formål, rettigheter og lagringstid for opplysningene Ingen kan ta seg til rette og gjøre hva man vil med opplysningene man forvalter Side 7

8 Informasjonssikkerhet et ledelsesansvar Det forventes ikke alltid at øverste leder har inngående kunnskap om informasjonssikkerhet Derimot forventes det at personopplysninger er sikret på en forsvarlig måte, og at øverste leder kan garantere at dette blir gjort I praksis betyr det å sørge for at virksomheten har oversikt over; hvilke plikter som gjelder hvordan opplysninger behandles og sikres at alle rutiner knyttet til dette er godkjent og blir fulgt opp av alle ansatte Side 8

9 Prosessen for å etablere internkontroll og informasjonssikkerhet Utarbeide håndteringsrutiner Innledende oppgaver Behandlingsansvarlig Kartlegge formål med behandlinger og behandlingsgrunnlag. For håndtering av personopplysninger generelt i virksomheten. For ivaretakelse av de registrertes rettigheter. Iverksette styringssystem for informasjonssikkerhet Utarbeide sikkerhetsmål, strategi og akseptkriterier. Etablere sikkerhetsorganisasjon. Gjennomføre risikovurdering. Gjennomføre sikkerhetsrevisjon Oppfølging Utarbeide rutiner for avvikshåndtering og egenkontroll. Utarbeide rutiner for rapportering og forslag til tiltak Side 9

10 Hva er personopplysninger? Personopplysninger Opplysninger og vurderinger som kan knyttes til en enkeltperson (personopplysningsloven 2 1) Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson, navn adresse lønn referanseuttalelser oppgavebesvarelser klientopplysninger skyldneropplysninger kundeopplysninger Side 10

11 Hva er sensitive personopplysninger? Sensitive personopplysninger Personopplysninger om (personopplysningsloven 2 8): Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling Helseforhold Seksuelle forhold Medlemskap i fagforeninger Sensitive personopplysninger er for eksempel informasjon om hvilke sykdommer en person har hatt, medisiner vedkommende bruker, straffedommer, tidligere og pågående rusmisbruk og seksuell legning. Det knytter seg et særlig behov for vern rundt sensitive personopplysninger, regelverket stiller derfor strengere krav til behandling av denne typen opplysninger Side 11

12 Dokumentasjon av internkontrollsystemet Det er et lovpålagt krav at internkontrollsystemet skal være dokumentert. Dokumentasjonen er delt i tre emner: 1. Styrende dokumentasjon som ledelsen er ansvarlig for å utarbeide. 2. Gjennomførende dokumentasjon med rutiner og tiltak for daglig drift. 3. Kontrollerende dokumentasjon med rutiner for oppfølging, korrigering og forbedring av internkontroll og informasjonssikkerhet Side 12

13 Virksomhetens leder er behandlingsansvarlig Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemidler som skal brukes (personopplysningsloven 2 nr 4). Behandlingsansvarlig er ansvarlig for etablering og vedlikehold av planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven, herunder sikre personopplysningenes kvalitet. (personopplysningsloven 14) Side 13

14 Kartlegge virksomhetens behandlinger Virksomheten skal ha en oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for at virksomheten skal kunne ivareta pliktene sine. Oversikten danner også grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved risikovurderinger. Informasjon Formål Lønn og personal: lønns- opplysninger Databehandler Person-opplysnings-loven, 8f Melding/ Konsesjon Unntatt i forskriftens 7-16 Behand-lingsgrunnlag Klassifikasjon Personopplysninger Sikkerhetsti ltak Lagring og kommunikasjon Opplysningenes omfang Ca. 130 ansatte Avdeling personalopplysninger Barnevern: vurdering og tiltak Helse- opplysninger: pasientjournal Elevadministrasjon elever / foresatte Barnevernloven, 3-1 Sensitive personopplysninger Helsepersonel-loven 39 Sensitive personopplyninger Opp-læringsloven 13-5 Meldt Meldt Personopplyninger Ca. 68 barn og foresatte Ca. 413 pasienter Ca. 219 søkere lærere Hendelsesregister: Person-opplysnings-loven, Unntatt i Person- Arkivlogg,n forskriftens opplyninger ettverks logg over brudd logg og serverlogg, Side 14 PC-logger

15 Plikter for den behandlingsansvarlige Meldeplikt Konsesjonsplikt Rutiner man plikter å ha Rutiner for kvalitetssikring av personopplysninger Rutiner for sletting av personopplysninger Rutiner for utlevering av personopplysninger til andre Side 15

16 Meldeplikt All behandling av personopplysninger er i utgangspunktet meldepliktig, jf. personopplysningsloven 31. En del behandlinger er imidlertid unntatt i personopplysningsforskriften. Dette gjelder blant annet utdanningssektorens personregistre og personalregistre. Krav til rutiner og sikkerhetstiltak gjelder selv om behandlingen er unntatt meldeplikt. (Personopplysningsforskriften kapittel 7) Side 16

17 Den registrertes rettigheter Den behandlingsansvarlige er pålagt å informere den registrerte om behandlingen som igangsettes. Der personopplysningene innhentes fra den registrerte selv skal informasjonen gis før behandlingen tar til. Informasjon skal gis uoppfordret, uten at den registrerte krever det, og uten kostnader for den registrerte. Plikt til å informere når det samles inn opplysninger fra den registrerte er beskrevet i personopplysningsloven 19. Plikt til å informere når det samles inn opplysninger fra andre enn den registrerte, er beskrevet i personopplysningsloven Side 17

18 Rutiner for innsyn, retting og supplering Innsyn i virksomhetens generelle behandlinger Virksomheten skal ha rutine for behandling av forespørsel om innsyn i virksomhetens generelle behandlinger Innsyn i egne opplysninger Virksomheten skal ha rutine for behandling av forespørsel om innsyn fra mulig registrerte Retting og supplering Virksomheten skal ha rutine for behandling av forespørsel om retting og supplering for en registrert Ivaretakelse av eventuell reservasjonsrett mot automatiserte avgjørelser Den behandlingsansvarlige skal ha rutiner for manuell behandling, til bruk når noen reserverer seg mot automatiserte avgjørelser Innsyn i privat e-post og private filområder Datatilsynet anbefaler at virksomheten utarbeider utfyllende rutiner for når innsyn i e-post kan bli aktuelt og hvordan innsyn skal gjennomføres Side 18

19 Hva er informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger Informasjonssikkerhet omfatter beskyttelse av: konfidensialitet - uvedkommende får ikke tilgang på opplysningene integritet - opplysningene endres ikke uautorisert eller utilsiktet tilgjengelighet - opplysningene er tilgjengelige når tilgang er nødvendig Side 19

20 Sikkerhetsmål og sikkerhetsstrategi Sikkerhetsmålene omfatter ledelsens beslutninger om hva informasjonsteknologien skal brukes til i virksomheten og hvordan den skal benyttes for å nå virksomhetens øvrige mål. Sikkerhetsmål vil således utgjøre en del av virksomhetens beskrivelse av sin totale målsetting. Sikkerhetsstrategien skal omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Dette går på fordeling av arbeidsoppgaver mellom ledelse og driftspersonell, og beslutning om eventuelt å ta i bruk eksterne leverandører i sikkerhetsarbeidet. Forholdet mellom ledelse, driftspersonell, sikkerhetspersonell og den enkelte bruker må avklares her Side 20

21 Sikkerhetsorganisasjon Det må nedsettes en sikkerhetsorganisasjon, og at denne skal dokumenteres. Det skal etableres klare ansvars- og myndighetsforhold med utgangspunkt i beslutninger tatt av virksomhetens ledelse (sikkerhetsstrategien). Ansvar og myndighet relatert til drift av informasjonssystemet (driftsledelse) og for oppfølging av sikkerhetsarbeidet (sikkerhetsledelse) må klarlegges. I mindre organisasjoner kan det være samme person som ivaretar disse oppgavene. For større organisasjoner må det fremlegges organisasjonskart som viser de nevnte funksjonene og deres plassering i forhold til ledelsen og virksomheten for øvrig Side 21

22 Gjennomføre risikovurdering Formålet med risikovurdering er å sikre at den risiko som avdekkes ved behandling av personopplysninger er innenfor de akseptkriterier virksomheten har fastlagt Risiko betegner forholdet mellom sannsynligheten for at en uønsket hendelse vil inntreffe og konsekvenser av en slik hendelse. Virksomheten skal gjennomføre risikovurdering ved endringer i forhold som kan påvirke informasjonssikkerheten, for eksempel endringer i informasjonssystemet eller endringer i trusselbildet. Virksomheten skal minst en gang årlig gjennomføre risikovurdering bl.a. i forbindelse med vurdering av endringer i trusselbildet og/eller planlagte endringer i informasjonssystemet Side 22

23 Eksempel på tabell over akseptabel risiko Konsekvens: Liten Moderat Stor Katastrofal Sannsynlighet: Lav Sensitive opplysninger om en ansatt på avveier. Uautorisert endring av opplysninger om en ansatt Sensitive opplysninger om alle ansatte på avveier. Moderat Utilgjengelighet av personalsystem i 24 timer Budsjettinformasjon på avveier. Styreinformasjon på avveier. Konkurransesensitiv informasjon på avveier. Høy Informasjon med lavt beskyttelsesbehov på avveier. En dags bortfall av sikkerhetskopiering. Ukjente mennesker i kontorlokalene Svært høy Side 23

24 Valg av og gjennomføring av sikkerhetstiltak Lage en beskrivelse av hvilke sikkerhetstiltak som er nødvendige for å motstå identifiserte trusler og avverge identifiserte uønskede hendelser Lage en aktivitetsplan for å ivareta informasjonssikkerhet for behandling av personopplysninger, som er i overensstemmelse med resultater av risikovurdering Lage en dokumentert budsjettplan som inkluderer en tidsog aktivitetsplan Side 24

25 Behandling av avvik Dersom personopplysninger håndteres i strid med fastlagte rutiner, eller det er mistanke om eller dokumentert brudd på informasjonssikkerhet, skal virksomheten iverksette avviksbehandling Formålet med avviksbehandling er å lukke avviket så raskt som mulig, gjenopprette normal tilstand og hindre gjentagelse Avviksbehandling består av: Å oppdage avviket Avviket rapporteres i henhold til intern organisering (på eget skjema) Iverksettelse av strakstiltak, blant annet med det formål å avgrense eventuelle følgeskader Iverksettelse av korrigerende tiltak for permanent å gjenopprette normal tilstand Vurdering av hvorvidt korrigerende tiltak fungerer etter sin hensikt Side 25

26 Oppsummering internkontroll og informasjonssikkerhet Et ledelsesansvar Dokumentasjonskrav Lag oversikt over behandlinger Gjennomfør jevnlige risikovurderinger Ha en tydelig ansvarsmatrise Ha en ryddig, tydelig og godt kjent avviksbehandling Informer alle ansatte om hvordan internkontroll og informasjonssikkerhet er implementert og jobbes med i organisasjonen Side 26

27 Databehandleravtaler Det skal inngås databehandleravtale med alle som behandler data på vegne av virksomheten Det skal utarbeides oversikt over tilganger til informasjonssystemet og adgang til fysiske områder Det skal undertegnes taushetserklæringer for alle leverandørers personell med tilganger eller fysisk adgang? Alle leverandører skal ha en dokumentert og tilfredsstillende sikkerhetsløsning Alle eventuelle underleverandører skal være kjent og godkjent av virksomheten Side 27

28 Minimumskrav til databehandleravtaler 1. Angi formålet med behandlingen Det skal klart framgå av avtalen hva som er formålet med behandlingen av personopplysningene. 2. Beskriv hvordan personopplysningene skal behandles Det skal tydelig fremgå av avtalen hva databehandler skal gjøre med personopplysningene. Databehandler har ikke råderett over personopplysningene, og kan dermed heller ikke behandle disse til egne formål. Databehandler skal kun forholde seg til avtalen. Hvis han skal utlevere personopplysninger til andre eksterne parter må dette framgå klart av databehandleravtalen. Avtalen må inneholde bestemmelser om hvem som skal kunne få personopplysninger utlevert, og vilkår i tilknytning til dette. 3. Bruk av underleverandør skal reguleres i avtalen Hvis databehandler gjør bruk av underleverandører av tjenester, skal dette klart framgå av avtalen mellom databehandler og behandlingsansvarlig Side 28

29 Minimumskrav til databehandleravtaler 4. Ivareta den registreres rettigheter Avtalen kan inneholde en arbeidsfordeling mellom behandlingsansvarlige og databehandler, for eksempel hvem som skal håndtere og behandle henvendelser fra de registrerte. 5. Avtalen må pålegge databehandleren å ha tilfredsstillende informasjonssikkerhet Avtalen må klargjøre hva databehandler skal ha på plass av sikringstiltak for å ivareta konfidensialitet, integritet og tilgjengelighet 6. Avtalens varighet må avtales Avtalen må inneholde opplysninger om avtalens varighet hva som skal skje med opplysningene etter at avtalen er opphørt Side 29

30 Personvernombud Den viktigste oppgaven til et personvernombud er å være en ressursperson, både for den behandlingsansvarlige og for de som er registrert. Personvernombudet bør være en som kjenner virksomheten, hvilke formål som ligger til grunn for behandlingen, hvilke fremgangsmetoder som benyttes og hvilke behandlingssystem som er innført. Personvernombudet skal føre oversikt over hvilke behandlinger av personopplysninger som gjøres i virksomheten. Personvernombudet skal bistå i opplæring internt i virksomheten og i behandling av klager fra både virksomhetens egne ansatte og eksterne aktører relatert til bruk av personopplysninger. Et personvernombud må godkjennes av Datatilsynet og deltar på opplæring og seminarer i regi av tilsynet. Virksomheter med personvernombud er fritatt fra den lovpålagte meldeplikten til Datatilsynet. Virksomhetens leder kan ikke være personvernombud Side 30

31 Hvorfor en egen norm? 1. En felles forståelse av personvernet 2. Felles holdninger 3. Nedfelt i et felles omforent regelsett Side 31

32 Normen Alle krav som må oppfylles iht lovverket Bindende for alle virksomheter i sektoren Forvaltes av sektoren Lovverkets krav - ferdig tolket og tygd Ingen begrensninger utover lovverkets krav, dvs det er lovverket som setter begrensningene I tillegg: Forslag til praktiske løsninger Side 32

33 Hvordan ivareta kravene i Normen? Etablere eller revidere styringssystem for informasjonssikkerhet Gjennomføre risikovurdering av all behandling av helseopplysninger Lære opp medarbeidere i informasjonssikkerhet Gjennomføre nødvendige tiltak iht Normen og resultat fra risikovurdering Sørge for løpende oppfølging og bruk av styringssystemet Side 33

34 Bruk av private hjelpere Bruk av informasjonssikkerhetsløsnings leverandører To store som stort sett deler kommune markedet Digital kvalitet Kvalitetslosen Datatilsynet har gjennomført møter med begge og påpekt Hva vi opplever som bra med løsningene Hvor vi ser at de har forbedringspotensiale Side 34

35 Maler og hjelpemidler Her finnes det mye til bruk i etablering av tilfredsstillende internkontroll og informasjonssikkerhet Side 35

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Personopplysningsloven og annet «snacks»

Personopplysningsloven og annet «snacks» Personopplysningsloven og annet «snacks» Agenda Litt om Datatilsynet Erfaring fra kontroller Hva er personopplysninger, personvern og personvernprinsipper Hva er internkontroll og informasjonssikkerhet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner Velkommen til Fagkurs i informasjonssikkerhet basert på Normen for kommuner 1 Mål for fagkurset (1) Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Saksnummer: 13/00933 Dato for kontroll: 15.10.2013 Foreløpig rapport: 19.12.2013 Endelig rapport: 07.07.2014 Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av:

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Saksnummer: 16/00326 Dato for kontroll: 10.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00139 Dato for kontroll: 18.03.2014 Foreløpig rapport: 22.04.2014 Endelig rapport: 14.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Kongsberg kommune, Skrim ungdomsskole Sted: Kongsberg

Detaljer

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/30431 12/01044-8/MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport

Detaljer

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 NOTAT Til: Landsstyret Fra: Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 Spørreundersøkelser personvern På det siste møtet før landsmøtet behandlet AU en søknad fra Svarte Nattakonferansen om bruk

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00118 Dato for kontroll: 6.3.2014 Foreløpig rapport: 29.4.2014 Endelig rapport: 8.8.2014 Endelig kontrollrapport Kontrollobjekt: Bjerkås barnehage Sted: Vollen, Asker Utarbeidet av: Martha

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01. Virksomhetens kontroll og ansvar - Når den ansatte går i skyen Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.2014 Samme data Store data - nye formål Aller først - vårt

Detaljer

Bransjenorm. for personvern og informasjonssikkerhet i elektronisk billettering. Vedlegg 4: Veiledning for internkontroll - informasjonssikkerhet

Bransjenorm. for personvern og informasjonssikkerhet i elektronisk billettering. Vedlegg 4: Veiledning for internkontroll - informasjonssikkerhet Bransjenorm for personvern og informasjonssikkerhet i elektronisk billettering Vedlegg 4: Veiledning for internkontroll - informasjonssikkerhet Innhold 1 Innledning 1 1.1 Informasjonssikkerhet i elektronisk

Detaljer

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL Meldeskjema - for forsknings-/kvalitetsstudier og annen aktivitet som medfører behandling av personopplysninger som er melde- eller konsesjonspliktig i henhold til helseregisterloven og personopplysningsloven

Detaljer

Bedre personvern i skole og barnehage

Bedre personvern i skole og barnehage Bedre personvern i skole og barnehage NOKIOS, 28. oktober 2014 Eirin Oda Lauvset, seniorrådgiver i Datatilsynet Martha Eike, senioringeniør i Datatilsynet Datatilsynet Uavhengig forvaltningsorgan Tilsyn

Detaljer

PERSONVERN I FINANSSEKTOREN

PERSONVERN I FINANSSEKTOREN CHRISTINE ASK OTTESEN KATRINE BERG BLIXRUD PERSONVERN I FINANSSEKTOREN å GYLDENDAL AKADEMISK Innhold Introduksjon 19 Innledning 21 DEL I EN GENERELL INNFØRING I PERSONOPPLYSNINGSLOVEN 23 KAPITTEL 1 Rettskildebildet

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Innledning. Behandling av personopplysninger

Innledning. Behandling av personopplysninger Innledning Norsk Direktemarkedsføringsforening (NORDMA) søker å opprettholde et effektivt og pålitelig system for selvregulering. Disse reguleringene (bransjenormene) skal møte rimelige krav og forventninger

Detaljer

Innherred samkommune. Levanger kommunes tiltak til kravene i Personopplysningsloven. Orientering ved Personvernombudet. 1www.innherred-samkommune.

Innherred samkommune. Levanger kommunes tiltak til kravene i Personopplysningsloven. Orientering ved Personvernombudet. 1www.innherred-samkommune. Innherred samkommune 1www.innherred-samkommune.no Levanger kommunes tiltak til kravene i Personopplysningsloven Orientering ved Personvernombudet Personopplysningsloven med forskrift 2www.innherred-samkommune.no

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet Statens Havarikommisjon for Transport Postboks 213 2001 LILLESTRØM Deres referanse Vår referanse (bes oppgitt ved svar) 12/611-6 12/01022-8/HHU 28. februar 2013 Dato Vedtak om pålegg Endelig kontrollrapport

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17.

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17. Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17. september 2007) Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk,

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00122 Dato for kontroll: 7.3.2014 Foreløpig rapport: 16.5.2014 Endelig rapport: 12.8.2014 Endelig kontrollrapport Kontrollobjekt: Espira Gruppen AS Sted: Blåveisbakken barnehage Utarbeidet

Detaljer

Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner

Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner IKA KONGSBERG Interkommunalt arkiv for Buskerud, Vestfold og Telemark IKS Forord Med personopplysningsloven

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 30.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Oslo kommune, Foss videregående skole Sted:

Detaljer

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Mari Hersoug Nedberg, seniorrådgiver Pelagisk forening, 23. februar 2012 Disposisjon - Personvern et bakgrunnsbilde

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. mars 2015 Utgangspunktet Det er Datatilsynets utgangspunkt at det er mulig

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00119 Dato for kontroll: 24.02.2014 Foreløpig rapport: 11.04.2014 Endelig rapport: 07.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Norlandiabarnehagene, Myrertoppen barnehage Sted:

Detaljer

Særavtale om lønns- og personalregistre

Særavtale om lønns- og personalregistre Det kongelige Fornyings- og administrasjonsdepartement PM 2007-15 Særavtale om lønns- og personalregistre Dato: 12.12.2007 Til: Statsforvaltningen og Riksrevisjonen Gjelder: Statens personalhåndbok pkt.

Detaljer

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Bruk av sporingsteknologi i virksomheters kjøretøy (april 2016)

Bruk av sporingsteknologi i virksomheters kjøretøy (april 2016) Bruk av sporingsteknologi i virksomheters kjøretøy (april 2016) Innhold 1. Innledning... 2 2. Regelverk... 2 2.1. Arbeidsmiljøloven... 2 2.2. Personopplysningsloven... 3 2.2.1. Behandlingsgrunnlag... 3

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Bergen kommunes strategi for informasjonssikkerhet 2011-2014

Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00259 Dato for kontroll: 08.04.2014 Rapportdato: 28.07.2014 Endelig kontrollrapport Kontrollobjekt: Sogn og Fjordane fylkeskommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede

Detaljer