Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Begynne med side:

Download "Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet"

Transkript

1 Vardø kommune Postboks VARDØ Deres referanse Vår referanse Dato 08/11 14/ /KBK Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet Den 27. mai 2014 gjennomførte Datatilsynet en kontroll hos Vardø kommune. Kontrollen skjedde med hjemmel i lov om behandling av personopplysninger av 14. april 2000 nr. 31 (personopplysningsloven) 42 tredje ledd nr. 3. Alle henvisninger til lovhjemler i kontrollrapporten er knyttet til personopplysningsloven og dens forskrifter. Andre henvisninger til lovhjemler er nevnt særskilt. Vardø kommune fikk oversendt varsel om vedtak i brev av 18. desember Innledningsvis vil Datatilsynet gi sine kommentarer til kommunens tilsvar av 29. januar Generelle merknader Kommunen reiser kritikk på at rapporten er gjort offentlig uten at det har vært utøvet kontradiksjon på den. Datatilsynet vil understreke at det er offentlighetsloven som hjemler offentlighet på forvaltningens sakspapirer. For å gi unntak fra hovedprinsippet om offentlighet må dette ha hjemmel i lov, f.eks. offentleglova. Slik Datatilsynet ser det er det ikke hjemmel for å unnta denne type dokumenter på generelt grunnlag. Datatilsynet har imidlertid presedens på å unnta opplysninger som omfatter sikkerhetstiltak, se 45, og for opplysninger hvor innsyn ville lette gjennomføringen av straffbare handlinger, se offentleglova 24 tredje ledd. Datatilsynet prøver å unngå at slik informasjon gjengis i kontrollrapporten. For ordens skyld gjøres det også oppmerksom på at hovedfunnene i kontrollene ble kommunisert avslutningsvis på den stedlige kontrollen. Vardø kommune stiller seg kritisk til at det under kontrollen ble hevdet at kontrollen med Vardø kommune var «poengløst» fordi internkontrollsystemet var av generell karakter og ikke spesielt innrettet mot personopplysninger. Den muntlige kommentaren var vel spissformulert, og dette beklages. Kommentaren var knyttet til gjennomgangen av kommunens internkontrollsystem, som etter Datatilsynets vurdering i liten grad ivaretar internkontrollplikten etter personopplysningsloven. Det er ikke Datatilsynets vurdering at kontrollen med Vardø kommune var "poengløs", noe som også Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt OSLO

2 understrekes med at det ble avdekket avvik under kontrollen. Datatilsynet ser ikke grunnlag for videre diskusjon knyttet til dette ordvalget under kontrollen. Når Datatilsynet skal gjennomføre tilsyn på hvorvidt kommunen har relevante og tilstrekkelige rutiner for internkontroll og informasjonssikkerhet kan dette bare skje ved fremleggelse av dokumenterte rutiner fra kommunens side, se her forskriften 3-1 annet ledd: «Internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner, samt ha denne dokumentasjonen tilgjengelig for de den måtte angå». På denne bakgrunn ba Datatilsynet i varsel om kontroll av 24. april 2014 om følgende dokumentasjon: «Datatilsynet ber om at virksomheten, innen 19. mai 2014 og med referanse til Datatilsynets saksnummer oversender følgende dokumentasjon: oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, styrende dokumenter for internkontroll, jf. personopplysningsforskriften 3-1, blant annet rutiner for: o vurdering av personopplysningenes kvalitet 27 og 28 o oppfyllelse av begjæringer av innsyn 18 o oppfyllelse av begjæringer av informasjon 19 og 20 oversikt over personopplysninger som behandles, jf. personopplysningsforskriften 2-4 oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart risikovurderinger av informasjonssystemet, jf. personopplysningsforskriften 2-4 avviksrutiner, jf. personopplysningsforskriften 2-6 navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart.» Den dokumentasjon som ble oversendt Datatilsynet var et organisasjonskart, postrutiner for Vardø kommune og IKT instruks for kommunen. Det ble heller ikke gitt skriftlig dokumentasjon på møtet eller i etterkant av tilsynet. I sitt tilsvar fremholder kommunen at det faktum at all dokumentasjon av internkontrollsystemet ikke er i samme dokument ikke i seg selv er i strid med 14. Dette er i og for seg riktig, men at man har noe dokumentasjon trenger heller ikke nødvendigvis bety at internkontrollen er tilstrekkelig og at den tilfredsstiller lov og forskrift. Ved manglende systematikk i dokumentasjonen vil det være vanskelig for tilsynsmyndigheten å gjøre en god dokumentkontroll og dertil like vanskelig å godtgjøre om dokumentasjonen er god nok. Hvorvidt Vardø kommune mener at de har rutiner på personopplysningslovens område, sågar skriftlig, er en relevant, men ikke tilstrekkelig informasjon i forhold til oppfyllelse av personopplysningslovens krav. Datatilsynet kan ikke se at kommunen under kontrollen har dokumentert systematiske tiltak slik 14 krever. 2

3 Overtredelsesgebyr Datatilsynet ønsker innledningsvis å påpeke at det er alvorlig at en offentlig virksomhet ikke følger de lover og regler som er pålagt dem i lovgivning. Gjennom kontrollen ble det opplyst at dårlig økonomi og manglende prioritering var årsaken til at det ikke var laget dokumenterte rutiner i for etterlevelse av personopplysningsloven. Dette finner Datatilsynet urovekkende. Vardø kommune bestrider kravet til overtredelsesgebyr, og at tilsynet ikke har vurdert de rettslige vilkår for ileggelse av gebyr på en tilstrekkelig måte. Det hevdes bl.a. at kommunen er utsatt for forskjellsbehandling når kommuner som ble kontrollert i 2012 ikke fikk overtredelsesgebyr. Bruk av overtredelsesgebyr for brudd på personopplysningsloven med forskrift er et sanksjonsmiddel Datatilsynet tok i bruk i Helt bevisst har vi fra tilsynets side valgt en gradvis utvikling i bruken av dette sanksjonsmiddelet, der vi i den senere tid har benyttet dette i økende grad. Vi har hatt et stort antall kontroller hos en rekke forskjellige offentlige virksomheter, med til dels betydelige avvik. Vi har i disse sakene fattet flere vedtak, uten at dette har hatt den allmennpreventive virkning både vi og lovgiver hadde ønsket. Derfor har vi sett oss nødt til å bruke overtredelsesgebyr i økende grad, for å søke ytterligere regelverksetterlevelse også hos offentlige virksomheter. Ved ileggelse av overtredelsesgebyr har Datatilsynet sett på det totale bildet, hvor manglende dokumenterte rutiner er en gjennomgående følgesvikt. Isolert sett er mangelen på dokumentasjon av gjennomførte risikovurderinger for behandlinger av personopplysninger den mest alvorlige. Datatilsynet finner det fremdeles nødvendig med en streng reaksjon, både knyttet til de konkrete avvik og av allmennpreventive hensyn. Etter en ny vurdering har vi kommet til at det varslede gebyr på kr ,- var satt noe høyt. Datatilsynet har derfor satt gebyret til kr ,-. Vi mener dette er tilstrekkelig for å ivareta de hensyn vi har nevnt ovenfor. Om internkontrollplikten Personopplysningsloven i seg selv legger ansvaret for behandling av personopplysninger på virksomheter for den behandling de foretar. Loven regulerer ikke bare hvem som er behandlingsansvarlig, men gir også nærmere pålegg om hvordan behandlingsansvaret skal ivaretas. Plikten til å etablere internkontroll er krav til den behandlingsansvarlige som gjennom planlagte og systematiske tiltak skal sette seg selv i stand til å sikre, kontrollere og dokumentere at virksomheten til enhver tid etterlever personopplysningslovens bestemmelser. Et internkontrollsystem skal tilpasses den enkelte virksomhet, utfra type virksomhet, størrelse og behandlingen(e)s art og omfang, jf forskriften 3-1. Internkontrollplikten innebærer at den behandlingsansvarlige skal ha kjennskap til gjeldende regler om behandling av personopplysninger, og ha dokumenterte rutiner for oppfyllelse av plikter og rettigheter etter personopplysningsregelverket. Internkontrollplikten er først overholdt når rutinene er dokumentert og implementert, slik at de i praksis ligger til grunn for virksomhetens behandling av personopplysninger. 3

4 Internkontroll (pkt. 6.1) Videre bestrider Vardø kommune at den ikke har etablert noe internkontrollsystem etter 14, se kontrollrapportens pkt Datatilsynet er kjent med at kommunen ikke har noe eget dedikert internkontrollsystem for personopplysninger, men at noen rutiner er forankret andre steder, bl.a. i internkontrollsystemet som heter «QMplus». Datatilsynet slutter seg fult ut til kommunens syn om at det ikke kreves et særskilt, separat internkontrollsystem for behandlingen av personopplysninger. Det har heller ikke Datatilsynet hevdet. Normalt vil det være hensiktsmessig å ivareta ulike regelverks krav til internkontroll i et helhetlig kvalitetssystem. Bruken av et slikt helhetlig system må imidlertid innebære at den behandlingsansvarlige sørger for at kravene i personopplysningsloven ivaretas, herunder dokumenterte oversikter og rutiner. Slik dokumentasjon kunne ikke fremlegges overfor Datatilsynet, til tross for at slik informasjon tydelig ble kommunisert ønsket gjennom varselbrevet. På den bakgrunn kan tilsynet ikke se at kommunen har noe systematisk internkontrollsystem slik 14 krever. Oversikt over behandlinger (pkt ) Vardø kommune bestrider at de ikke har oversikt over hvilke typer personopplysninger som behandles, men innrømmer at det ikke var laget noen systematisk oversikt over dette i internkontrollsystemet på tilsynstidspunktet. Det hevdes videre at dette på ingen måte betyr at det ikke finnes en oversikt over typer opplysninger som behandles i kommunen, og viser til postrutinene. Datatilsynet har gjennomgått postrutinene, slik disse er framlagt for tilsynet, og kan ikke se at de viser at kommunen har en oversikt over personopplysninger som forskriften 2-4 krever. Oversikten skal også omfatte egne ansatte og digitaliserte tjenester. Således er også registrering av cookies å regne som en personopplysning. Det samme gjelder ved bruk av loggføring i et adgangskontrollanlegg eller bruk av kameraovervåking. Hensikten med en slik oversikt er blant annet å ha et godt grunnlag for å kunne fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger, og derigjennom kunne gjennomføre en risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Rett til innsyn (pkt ) Vardø kommune bestrider at de ikke har utferdiget rutiner for innsyn, se kontrollrapportens pkt En rutine for innsyn etter personopplysningsloven er ikke utferdiget, ei heller forelagt Datatilsynet. Det er ikke tilstrekkelig å vise til at kommunen har rutiner for håndtering av innsyn etter offentlighetslov og forvaltningslov, og at de samme rutiner må gjelde for innsyn etter personopplysningsloven. Datatilsynet er av den oppfatning at det er viktig at rutinene for innsynsbegjæringer etter personopplysningsloven dokumenteres, da disse på vesentlige punkter er forskjellige fra innsynsbegjæringer etter annen lovgivning. For eksempel skal man i tilknytning til en innsynsbegjæring etter personopplysningsloven også redegjøre for sikkerhetstiltak. I den sammenheng bør man i rutinene gjennomgå hvilke sikkerhetstiltak man kan gi ut, og hvilke man må unnta fra innsyn. 4

5 At man legger loven til grunn er selvsagt, men ikke tilstrekkelig som rutinebeskrivelse. En slik henvisning vil mangle en sentral del av rutinebeskrivelsen nemlig ansvarsfordeling. Hvem har ansvaret for at innsyn gis, at unntakene begrunnes og at frister overholdes. Denne typen opplysninger er en naturlig del av en slik beskrivelse. Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte selv (pkt ) Kommunen bestrider at de ikke har rutiner for informasjon til den registrerte, se kontrollrapportens pkt Kommunen opplyser at de i all hovedsak baserer sin behandling av personopplysninger på lovfestet behandlingsgrunnlag og forholder seg til reglene i de relevante lover; og at de i slike tilfeller ikke har plikt til å informere den registrerte. Datatilsynet ønsker å poengtere at også i de tilfeller kommunen jobber etter lovpålagte oppgaver, og således er fritatt informasjonsplikten, er også dette en vurdering som er en del av virksomhetens informasjonsplikt. Dessuten gjelder kravet til informasjonsplikten også i forhold til egne ansatte. Det er derfor viktig at det utferdiges dokumenterte rutiner for anvendelse av 19 og 20. Retting og sletting (pkt ) Med kvalitet menes her at opplysningene er korrekte og oppdaterte, og at de ikke lagres lenger enn hva som er nødvendig ut fra formålet med behandlingen. Vardø kommune bestrider at de har noe avvik i forhold til lovens bestemmelser om kvalitet på personopplysninger, se kontrollrapportens pkt Kommunen påpeker at de har rutiner for håndtering av personalmapper, og at i andre saker skal personopplysninger ikke slettes. Slik Datatilsynet ser det er dette en alt for generell rutine. Hvilke rutine har f.eks. kommunen hvis en registrert beviselig synliggjør at faktiske personopplysninger er feil? Kommunen må ta utgangspunkt i de ulike behandlingene, vurdere i hvilken grad plikten er aktuell og lage nødvendige rutiner. Melde- og konsesjonsplikt (pkt ) Kommunen påpeker at Datatilsynet vektlegger at det ikke er sendt inn meldinger til Datatilsynet, uten å påpeke hvilke meldinger kommunen i så fall skulle melde inn. Datatilsynet presiserer at det er kommunens plikt gjennom internkontrollen, å identifisere og sørge for at meldepliktige behandlinger meldes. Disse forhold er nevnt i kontrollrapporten som en orientering til kommunen, se kontrollrapportens pkt Derimot har tilsynet vektlagt at kommunen ikke har etablert dokumenterte rutiner for oppfyllelse av kommunens plikter etter 31 og 33. Gjennom internkontrollen skulle kommunen sikret at melde- og konsesjonsplikten var vurdert for kommunens ulike behandlinger. Dette var ikke gjort. Sikkerhetsledelse, sikkerhetsmål, sikkerhetsstrategi og sikkerhetsorganisasjon (pkt ) Datatilsynet har i pkt i kontrollrapporten, på bakgrunn av opplysninger gitt under kontrollen, konkludert med at det ikke ble avdekket avvik knyttet til sikkerhetstiltak. Like fullt har vi tatt høyde for at mangelen på dokumenterte risikovurderinger for kommunens 5

6 behandlinger av personopplysninger gjør det vanskelig å vurdere sikkerhetstiltakene. Når det gjelder sikkerhetsledelse, sikkerhetsmål, sikkerhetsstrategi og sikkerhetsorganisasjon (kontrollrapportens pkt 6.2.1), ble det verken i det tilsendte materialet i forkant av kontrollen eller under kontrollen framlagt dokumentasjon som viser at dette er ivaretatt for de områdene personopplysningsloven med forskrift krever. IKT-instruks for Vardø kommune ivaretar dette et stykke på vei, men er likevel etter vår vurdering ikke fullt ut tilfredsstillende for å dekke kravene i loven. Dersom det i verktøyet QMplus finnes dokumentasjon som viser at dette likevel er ivaretatt i tråd med kravene i personopplysningsloven med forskrift er selvsagt dette positivt. Vi bemerker at dette er dokumentasjon som ikke var fremlagt under kontrollen. Risikovurdering (pkt ) Vardø kommune har rett i at deler av den vedtatte risiko- og sårbarhetsanalyse (ROS analyse) for kommen fra juni 2012 dekker bl.a. svikt i kommunikasjonskanaler. Det er også slik at enkeltpunkt i denne ROS-analysen dekker områder som faller inn under internkontroll og informasjonssikkerhet etter personopplysningsloven, men slik vi ser det er det likevel ikke en risikovurdering av de behandlinger av personopplysninger kommunen faktisk gjør. Den vurdering vi har gjort i foreløpig kontrollrapport er gjort uten kjennskap til denne ROS analysen, men vi mener denne analysen ikke endrer det faktum at kommunen mangler en systematisk oversikt over sine behandlinger og en risikovurdering knyttet til sine behandlinger av personopplysninger slik det kreves etter personopplysningsloven 13 jf forskriften 2-4. Sikkerhetsrevisjon (pkt ) Når det gjelder det som dekkes av IKT-instruks for Vardø kommune og jevnlig revisjon av denne, er kravet ivaretatt, slik det er dokumentert i instruksen. Selv om det ikke framgår klart i instruksen hvordan og hvor ofte den revideres, legger vi til grunn at dette faktisk skjer på den måten kommunen selv forklarer. Vi finner det derfor riktig å gi Vardø kommune rett i at det finnes en dokumentert rutine for sikkerhetsrevisjon som gjøres ved jevnlig revisjon av IKT-instruksen. Vår konklusjon i foreløpig kontrollrapport med konstatering av avvik er så måte ikke riktig. Endelig kontrollrapport er korrigert på dette punktet, og det fattes ikke pålegg som tidligere varslet. Avvikshåndtering/sikkerhetsbrudd (pkt.6.2.4) Den avviksbehandling som foregår i QMplus var ikke kjent for oss verken før, under eller etter kontrollen, og har derfor ikke vært med i vår vurdering på dette punktet. Imidlertid er det slik at det i IKT-instruks for Vardø kommune er et avsnitt som omhandler rutiner ved avvik eller sikkerhetsbrudd. Selv om dette ikke er en veldig omfattende rutinebeskrivelse finner vi det riktig å gi Vardø kommune rett i at det finnes rutine for avviksbehandling og at vår konklusjon i foreløpig kontrollrapport med konstatering av avvik i så måte ikke blir riktig. Endelig kontrollrapport er korrigert på dette punktet, og det fattes ikke pålegg som tidligere varslet. 6

7 Opplæring (pkt ) Rutiner og tilrettelegging for opplæring gjennom QMplus var ikke kjent for oss verken før, under eller etter kontrollen, og har derfor ikke vært med i vår vurdering på dette punktet. Det kan argumenteres med at det faktum at nytilsatte må lese og akseptere IKT-instruks for Vardø kommune i seg selv er en del opplæringen av disse. Vi vil likevel framholde at dette ikke er tilstrekkelig for å oppfylle kravet i forskriften 2-8. Vi legger til grunn at dette vil bedres når QMPluss i større grad innbefatter rutiner for ivaretakelse av krav etter personopplysningsloven, jf. øvrige pålegg i dette brev. Endelig kontrollrapport er korrigert på dette punktet, men det fattes pålegg som tidligere varslet. Vedtak om pålegg 1. Vardø kommune pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 14, jf. personopplysningsforskriften 3-1 å etablere, dokumentere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven (internkontroll): a. rutiner for ivaretakelse av enhvers krav om innsyn i kommunens behandlinger av personopplysninger og den registrertes rett til innsyn i egne opplysninger etter 18, første og andre ledd, jf. forskriften 3-1, tredje ledd bokstav d). Det vises til kontrollrapportens pkt b. rutiner for ivaretakelse av den registrertes rettigheter til informasjon etter 19 og 20, jf. 14 jf. forskriften 3-1, tredje ledd bokstav d). Det vises til kontrollrapportens pkt c. rutiner for retting og sletting, i samsvar med 27 og 28, jf. 14, jf. forskriften 3-1, tredje ledd bokstav c). Se kontrollrapportens pkt d. rutiner for oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt etter 31 og 33, jf. 14, jf. forskriften 3-1, tredje ledd bokstav f). Det vises til kontrollrapportens pkt Vardø kommunen pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 14 og 13, jf. forskriften 2-4 første ledd å utarbeide en oversikt over behandlinger av personopplysninger som viser hvilke personopplysninger som behandles, formålet med behandlingen og lovgrunnlaget. Det vises til kontrollrapportens pkt Vardø kommunen pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13, jf. forskriften 2-4, andre ledd å gjennomføre risikovurderinger av informasjonssystemet. Det vises til kontrollrapportens pkt Vardø kommunen pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13, jf. forskriften 2-3, å etablere sikkerhetsmål og sikkerhetsstrategi. Det vises til kontrollrapportens pkt

8 5. Vardø kommunen pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13, jf. forskriften 2-7, å etablere og dokumentere sikkerhetsorganisasjonen. Det vises til kontrollrapportens pkt Vardø kommunen pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13, jf. forskriften 2-8 å etablere rutiner for og gjennomføre opplæring av ansatte for sikker bruk av informasjonssystemet avvikshåndtering. Det vises til kontrollrapportens pkt Vedtak om ileggelse av overtredelsesgebyr Vardø kommune pålegges i medhold av personopplysningsloven 46, første ledd, jf. 13 og 14 å betale et overtredelsesgebyr til statskassen, stort kroner femtitusen, for å ha behandlet personopplysninger uten å etablere dokumenterbare og tilfredsstillende tiltak for å sikre at behandlingen skjer i tråd med personopplysningslovens bestemmelser(internkontroll) og uten å sørge for tilfredsstillende informasjonssikkerhet ved behandlingen. Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er tvangsgrunnlag for utlegg. Inndrivelse av kravet vil bli gjennomført av Statens innkrevingssentral, jf. 47a. Vurdering av overtredelsesgebyr Adgangen til å ilegge overtredelsesgebyr er gitt som et virkemiddel for å sikre effektiv etterlevelse og håndhevelse av personopplysningsloven. Internrettslig er overtredelsesgebyr ikke å anse som en straff, men en administrativ sanksjon. Det må imidlertid antas at overtredelsesgebyr er å anse som straff etter EMK (den europeiske menneskerettighetskonvensjonen) art 6, og i samsvar med Høyesteretts praksis, jf. Rt side 1556 med videre henvisninger, legger derfor Datatilsynet til grunn at det kreves klar sannsynlighetsovervekt for lovovertredelse for å kunne ilegge gebyr. Saksforholdet og spørsmålet om å ilegge overtredelsesgebyr er vurdert med utgangspunkt i dette beviskravet. Ved vurderingen om det skal ilegges et overtredelsgebyr er det lagt vekt på at internkontroll er en nødvendig forutsetning for at den behandlingsansvarlige skal kunne forsikre seg om, og løpende kontrollere at virksomheten til enhver tid følger personopplysningslovens bestemmelser. Datatilsynet mener at de mangelen ved internkontrollen som ble avdekket og derigjennom manglende dokumenterte rutiner er et betydelig avvik og må ansees alvorlig i forhold til de interesser loven verner, jfr. 46, andre ledd bokstav a). Forventningen om at et offentlig organ setter seg grundig inn i personopplysningsregelverket og etablerer gode rutiner for å sikre etterlevelsen av det har betydning for vurderingen av skyldgraden etter 46, andre ledd bokstav b). Det kan her vises til at Vardø kommune behandler sensitive personopplysninger i store deler av sin virksomhet. At de på kontrolltidspunktet ikke kunne vise at de hadde rutiner for dette vektlegger vi i skjerpende retning, både når det gjelder vurderingen av om gebyr skal ilegges og ved utmåling. 8

9 Datatilsynet har også lagt vekt på at mangelfull internkontroll og lovstridig praksis øker risikoen betydelig for negative konsekvenser for de registrerte. Kontrollen avdekker også at det ikke er foretatt tilstrekkelige risikovurdering i henhold til forskriften 2-4. Det gjør at kommunen i liten grad er i stand til å forutse potensielle konsekvenser for personvernet og andre sikkerhetshendelser som omfatter personopplysninger. Plikten etter denne bestemmelsen er også et uttrykk for en interesse loven verner, jf. 46 andre ledd bokstav a), og brudd på plikten er et argument for ileggelse av overtredelsesgebyr. At risikovurderingene i liten grad er dokumentert gjør det i tillegg tilnærmet umulig for tilsynsmyndigheten å føre den kontroll som følger av loven. Uten skriftlighet er det umulig å stadfeste om virksomheten i tilstrekkelig grad har vurdert risiko for sin egen behandling av personopplysninger. Kravet om at internkontrollen skal være dokumentert og systematisk er også viktig for å sette den behandlingsansvarlige være i stand til å implementere rutiner. I tillegg til at det er en legal plikt til å dokumentere tiltakene, er det etter vår oppfatning også av avgjørende betydning for å sikre at rutiner kan gjenfinnes og kommuniseres enhetlig internt i en organisasjon i tillegg til overfor tilsynsmyndigheten. Det fragmenterte bildet som kommunen fremviste har klare mangler både når det gjelder systematikk, dokumentasjon og evne til å bevise at de er implementert i organisasjonen. Vi kan ikke påvise gjentakelse direkte i og med at dette er første gang dette påpekes overfor kommunen, jf. 46, fjerde ledd bokstav f), men at forholdet har vart i mange år vurderes som skjerpende i relasjon til graden av skyld, jf. bokstav b). Manglene er av en slik art og omfang at det medfører etter vår oppfatning en uholdbar risiko for at kommunen i praksis har brutt og fremdeles bryter andre helt sentrale bestemmelser i personopplysningsloven, uten at dette kan oppdages av virksomheten selv eller tilsynsmyndigheten. Mangelen er av den grunn også skjerpende i vurderingen av om overtredelsesgebyr skal ilegges jf. 46, andre ledd bokstav c) hvor det skal vektlegges om retningslinjer mv. kunne forebygget overtredelsen. Overtrederens økonomiske evne er det i liten grad lagt vekt på, jf. 46, fjerde ledd bokstav h) Gebyrets størrelse Når det gjelder gebyrets størrelse, skal de samme momenter som ved vurdering av om gebyr skal ilegges, tillegges særlig vekt. De forhold Datatilsynet har pekt på ovenfor taler for et gebyr av en viss størrelse. Gebyret bør settes så høyt at det får virkning også utover den konkrete saken. Samtidig må gebyrets størrelse stå i et rimelig forhold til overtredelsens karakter og virksomhetens behandling av personopplysninger. Store mangler ved internkontrollsystemet karakteriseres som et alvorlig avvik og taler for en streng reaksjon. Det er i denne saken, som nevnt over, vanskelig å vurdere om kommunen har rutiner som er egnet til å ivareta personvernet til de som er registrert på grunn av manglende dokumenterbare rutiner. 9

10 Datatilsynet har gjennom flere kontroller erfart at statlige og kommunale institusjoner har store mangler i sine plikter til å ha internkontrollsystem. Ileggelsen av overtredelsesgebyr vil derfor ha en allmennpreventiv hensikt. Det er viktig at etater og institusjoner som håndterer opplysninger om befolkningen har gode systemer internt som sikrer at de tildelte rettigheter som borgerne har ikke blir neglisjert. Etter en vurdering av alvorligheten i overtredelsen har vi kommet til at et overtredelsesgebyr på anses passende. Frist for gjennomføring av påleggene Datatilsynet gir frist for gjennomføring av pålegget/ene til 1. november Kommunen må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at Vardø kommune har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Bjørn Erik Thon direktør Knut-Brede Kaspersen fagdirektør Vedlegg: Endelig kontrollrapport 10

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet Flekkefjord kommune Kirkegaten 50 4400 FLEKKEFJORD Deres referanse Vår referanse Dato 15/3356 14/00404-9/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse Dato 14/7350-AHA 14/00130-7/HHU 30.04.2015 Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Vedtak om overtredelsesgebyr - Publisering av personopplysninger i personalsak - Askvoll kommune

Vedtak om overtredelsesgebyr - Publisering av personopplysninger i personalsak - Askvoll kommune Askvoll kommune Postboks 174 6988 ASKVOLL Deres referanse Vår referanse Dato 16/00364-4/KBK 16.06.2016 Vedtak om overtredelsesgebyr - Publisering av personopplysninger i personalsak - Askvoll kommune Det

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Varsel om vedtak om overtredelsesgebyr - Datainnbrudd i medlemssystemet - Miljøpartiet De Grønne - MDG

Varsel om vedtak om overtredelsesgebyr - Datainnbrudd i medlemssystemet - Miljøpartiet De Grønne - MDG Miljøpartiet De Grønne Hausmannsgate 19 0182 OSLO Deres referanse Vår referanse Dato 16/01118-3/KBK 02.11.2016 Varsel om vedtak om overtredelsesgebyr - Datainnbrudd i medlemssystemet - Miljøpartiet De

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises

Detaljer

Hendelsen ble oppdaget av SVs IT-leverandør, Unicornis. Serveren for medlemsregisteret befinner seg i et hostingsenter.

Hendelsen ble oppdaget av SVs IT-leverandør, Unicornis. Serveren for medlemsregisteret befinner seg i et hostingsenter. SV - Sosialistisk Venstreparti - Personvernombudet Hagegata 22 0653 OSLO Deres referanse Vår referanse Dato 16/01248-3/KBK 02.11.2016 Varsel om vedtak om overtredelsesgebyr - Melding om avvik - Datainnbrudd

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset St Croix AS Østre vei 76 1397 NESØYA Deres referanse Vår referanse Dato 14/01190-8/MLS 22.06.2015 Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset Den 16. oktober 2014 gjennomførte

Detaljer

2016/1 l434/hesk 16/ /TJU Pålegg om overtredelsesgebyr - Misbruk av kamerasystem - NTNU - Olympiatoppen Midt-Norge

2016/1 l434/hesk 16/ /TJU Pålegg om overtredelsesgebyr - Misbruk av kamerasystem - NTNU - Olympiatoppen Midt-Norge Datatilsynet Se mottakerliste Unntatt ofientlighet: om 13jfr Fvl 13 nr 1 Deres referanse Vår referanse Dato 2016/1 l434/hesk 16/00824-8/TJU 24.10.2016 Pålegg om overtredelsesgebyr - Misbruk av kamerasystem

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Vedtak om overtredelsesgebyr - Harstad kommune - Publisering av sensitive personopplysninger på Internett

Vedtak om overtredelsesgebyr - Harstad kommune - Publisering av sensitive personopplysninger på Internett Harstad kommune c/o Postmottak, Postboks 1000 9479 HARSTAD Deres referanse Vår referanse Dato 2016/143 / 041 16/00061-6/EOL 17.06.2016 Vedtak om overtredelsesgebyr - Harstad kommune - Publisering av sensitive

Detaljer

Vedtak om pålegg og overtredelsesgebyr - Publisering av sensitive personopplysninger på offentlig postjournal - Årdal kommune

Vedtak om pålegg og overtredelsesgebyr - Publisering av sensitive personopplysninger på offentlig postjournal - Årdal kommune Årdal kommune Statsråd Evensensveg 4 6885 ÅRDALSTANGEN Deres referanse Vår referanse Dato 16/189-23 16/00366-5/KBK 16.06.2016 Vedtak om pålegg og overtredelsesgebyr - Publisering av sensitive personopplysninger

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013. Brønnøy kommune Rådmannen Rådhuset 8905 BRØNNØYSUND Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00452-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport - Brønnøy kommune

Detaljer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet Direktoratet for naturforvaltning Postboks 5672 Sluppen 7485 TRONDHEIM Deres referanse 2012/15619 org-itev Vår referanse (bes oppgitt ved svar) Dato 12/01045-8/KBK 18. februar 2013 Vedtak om pålegg - Endelig

Detaljer

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013. Retura Sør-Trøndelag Postboks 94 7301 ORKANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato TEV/450/99/2013 12/00571-8/HTE 3. juli 2013 Retura Sør-Trøndelag - bruk av GPS - vedtak og overtredelsesgebyr

Detaljer

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014. Lier kommune Postboks 205 3401 LIER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00141-9/MEI 22. oktober 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet Fiskeridirektoratet Postboks 185 Sentrum 5804 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) 11/7937 13/00201-8/HHU 26. juni 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet Utdanningsdirektoratet Postboks 2924 Tøyen 0608 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2012/6050 12/00973-10/KBK 27. februar 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

Endelig kontrollrapport for Protector Forsikring ASA - Vedtak om overtredelsesgebyr

Endelig kontrollrapport for Protector Forsikring ASA - Vedtak om overtredelsesgebyr Protector Forsikring ASA Postboks 1351 Vika 0113 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00060-8/MHN 24. mai 2012 Endelig kontrollrapport for Protector Forsikring ASA - Vedtak

Detaljer

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012 Norsk karkirurgisk register - NORKAR St Olavs Hospital HF Postboks 3250 Sluppen 7006 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 07/00382-12/CBR 26. april 2012 NORKAR - varsel om

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Vedtak om overtredelsesgebyr - Utlevering av sensitive personopplysninger på Internett - Os kommune

Vedtak om overtredelsesgebyr - Utlevering av sensitive personopplysninger på Internett - Os kommune Os kommune Postboks 84 5202 OS Deres referanse Vår referanse Dato 16/7190-12 16/00346-6/EOL 17.06.2016 Vedtak om overtredelsesgebyr - Utlevering av sensitive personopplysninger på Internett - Os kommune

Detaljer

Vedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger Oslo universitetssykehus HF ved Janusbanken

Vedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger Oslo universitetssykehus HF ved Janusbanken OSLO UNIVERSITETSSYKEHUS HF Postboks 4956 Nydalen 0424 OSLO Deres referanse Vår referanse Dato 2016/10950 15/01357-15/CGN 11.12.2017 Vedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00319 Dato for kontroll: 02.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Sosialistisk Venstreparti Sted: Akersgata 35, Oslo Utarbeidet av: Knut-Bredee Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/30431 12/01044-8/MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00320 Dato for kontroll: 05.06.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Høyre Utarbeidet av: Knut-Bredee Kaspersen Sted: Oslo 1 Innledning Datatilsynet gjennomførte

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Vedtak om pålegg kameraovervåking hos Move treningssenter

Vedtak om pålegg kameraovervåking hos Move treningssenter Move Treningssenter AS Arnemannsveien 5 3510 HØNEFOSS Deres referanse Vår referanse Dato 14/01089-7/YMA 05.06.2015 Vedtak om pålegg kameraovervåking hos Move treningssenter Datatilsynet viser til kontroll

Detaljer

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Vår referanse (bes oppgitt ved svar) 12/ /CBR Arbeids- og velferdsdirektoratet - Styringsenheten IKT Postboks 5200 Nydalen 0426 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00116-8/CBR Dato 24. september 2012 Vedtak om pålegg - endelig

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Vedtak om pålegg - endelig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 07/01455-9 /CBR 25. januar 2008 Vedtak om pålegg - endelig kontrollrapport Det vises

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00176 Dato for kontroll: 27.03.2012 Rapportdato: 05.09.2012 Endelig kontrollrapport Kontrollobjekt: Kåfjord kommune Sted: Kåfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet

Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet Utlendingsnemnda Postboks 8175 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00685-8 12/00994-9/MEP 19. februar 2013 Dato Vedtak om pålegg - endelig kontrollrapport - Kontroll hos

Detaljer

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre. Treningssenter AS Postboks OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00001-34/KBK 10. september 2013 Konsesjon til å behandle personopplysninger - Treningssenter - Dopingkontroll

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet Statens Havarikommisjon for Transport Postboks 213 2001 LILLESTRØM Deres referanse Vår referanse (bes oppgitt ved svar) 12/611-6 12/01022-8/HHU 28. februar 2013 Dato Vedtak om pålegg Endelig kontrollrapport

Detaljer

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som Fornyings- administrasjons- og kirkedepartementet Postboks 8004 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/1249 13/00654-2/HHU 20. september 2013 Dato Høring - Endringer i eforvaltningsforskriften

Detaljer

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Saksnummer: 16/00326 Dato for kontroll: 10.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011. Eniro Norge AS avd Trondheim Postboks 2333 7004 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00721-5/MHN 29. august 2011 Vedtak - endelig kontrollrapport for Eniro Norge AS Det

Detaljer

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 13/09/2017 SAK NR 23-2017 Behandling av personopplysninger - oppfølging av styresak 05-2017 Forslag til vedtak: 1. Styret tar redegjørelsen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00754 Dato for kontroll: 08.10.2012 Rapportdato: 08.04.2013 Endelig kontrollrapport Kontrollobjekt: Toll- og avgiftsdirektoratet Sted: Oslo Utarbeidet av: Atle Årnes Cecilie Rønnevik 1 Innledning

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011 Boots Norge AS Postboks 413 Skøyen 0213 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00938-7/SEV 28. februar 2012 Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00934 Dato for kontroll: 25.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 Endelig kontrollrapport Kontrollobjekt: Oslo kommune Sted: Bygdøy skole Utarbeidet av: Martha

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

BEHANDLING AV PERSONOPPLYSNINGER

BEHANDLING AV PERSONOPPLYSNINGER BEHANDLING AV PERSONOPPLYSNINGER 1.0 Innledning 1.1 Definisjon av personopplysninger 1.2 Behandlingsansvarlig 1.3 Vilkår for å behandle personopplysninger 1.3.1 Samtykke 1.3.2 Krav om informasjon 1.3.3

Detaljer

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010. Fjell kommune Postboks 184 5342 STRAUME Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01137-9/RTH 27. februar 2012 Avslutning av sak - kontroll hos Fjell kommune- Internkontroll og informasjonssikkerhet

Detaljer

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680 Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse Dato 16/01763-3/SBL 15.12.2016 Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften

Detaljer

Vår ref. 17/27385/614 A10 &58 oppgis ved alle henv.

Vår ref. 17/27385/614 A10 &58 oppgis ved alle henv. Elgeseter barnehager N- 7004 Trondheim Vår saksbehandler Elin Grønvold Aunet Vår ref. /614 A10 &58 oppgis ved alle henv. Deres ref. Dato Gartneriet barnehage - rapport fra hendelsesbasert tilsyn etter

Detaljer