Sikkerhetspolitikk for behandling av personopplysninger

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Begynne med side:

Download "Sikkerhetspolitikk for behandling av personopplysninger"

Transkript

1 Sikkerhetspolitikk for behandling av personopplysninger HALDEN KOMMUNE 2009 Copyright Halden kommune Juli 2009 Side 1/19

2 Innholdsfortegnelse 1. BAKGRUNN FOR DETTE DOKUMENTET Definisjoner LEDELSENS ANSVAR Ansvar Kommunens overordnede sikkerhetsmål Sikkerhetsstrategi Register med personopplysninger Egenkontroll ORGANISERING Administrative og tekniske rutiner Føring av loggbok Rutiner/prosedyrer for brukere som behandler personopplysninger Oppfyllelse av melde- og konsesjonsplikt Saklig begrunnelse Frivillig samtykke Opplysningsplikt for DEN behandlingsansvarlige Rett til innsyn Registreringen skal være riktig Feilaktige opplysninger skal rettes Unødvendige opplysninger skal slettes Informasjonssikkerhet skal ivaretas Sikring av integritet Strengere regler ved følsomme opplysninger Bruk av e-post Utskrift og kopiering Makulering av dokumenter Sikkerhet og orden på eget kontor Innleid personell Bruk av hjemmekontor Bruk av bærbar datamaskin Bruk av skanner Copyright Halden kommune Juli 2009 Side 2/19

3 Elektronisk pasientjournal Elektronisk arkiv Lagring på minnepenn Bruk av kameraovervåking Helsenett SIKKERHET Personellsikkerhet Taushetsplikt Fysisk sikring Adgangskontroll kontorer Adgangskontroll IT-utstyr DOKUMENTASJON Copyright Halden kommune Juli 2009 Side 3/19

4 1. BAKGRUNN FOR DETTE DOKUMENTET Lov av 14. april 2000 om Behandling av personopplysninger (personopplysningsloven) er utgangspunktet for dette dokumentet. Denne sikkerhetspolitikken samt dokumentene Sikkerhetspolitikk for bruk av IT i Halden kommune og Norm for informasjonssikkerhet i helsesektoren, forteller hva de ansatte i kommunen er pålagt og hva de ikke kan gjøre ifølge denne loven. Formålet med denne loven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger Definisjoner Følgende definisjoner er brukt i dette dokumentet: 1) personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson, 2) behandling av personopplysninger: enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, 3) personregister: registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen, 4) registrert: den som en personopplysning kan knyttes til, 7) sensitive personopplysninger: opplysninger om o o o o o a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger. Copyright Halden kommune Juli 2009 Side 4/19

5 2. LEDELSENS ANSVAR 2.1. Ansvar Rådmann i Halden kommune har et overordnet ansvar for at de personopplysningene kommunen behandler er tilfredsstillende sikret. Dette ansvaret kan ikke delegeres. Flere steder i dette dokumentet vil du finne ansvarlige for oppgaver som påvirker informasjonssikkerheten Kommunens overordnede sikkerhetsmål. Kommunen ønsker å ha fokus på økt kvalitet på de tjenestene som skal ytes til innbyggerne og samtidig utnytte kommunens ressurser optimalt. Man ønsker å benytte seg av informasjonsteknologi for å oppnå dette. Dette innebærer gode sikkerhetsrutiner for behandling av personopplysninger. Man skal sørge for at personopplysninger skal sikres på en slik måte at opplysningene ikke blir kjent for uvedkommende. Personopplysninger skal lagres på en slik måte at de ikke utilsiktet endres ved behandling. Alle ansatte underskriver nødvendig taushetsplikt og er gjort kjent med regelverket som gjelder ved eventuelt brudd på taushetsplikten Sikkerhetsstrategi Arbeidet med informasjonssikkerhet inngår som en integrert del av de oppgaver som de forskjellige etatene har. Ledelsen har ansvar for at tilfredsstillende informasjonssikkerhet oppnås ved behandling av personopplysning. Kommunen har en helt klar filosofi om at konfidensielle opplysninger ikke skal kunne "tappes" eller tilflyte uvedkommende. Målet er hele tiden å påvirke den enkelte medarbeider til å overholde taushetsplikten som er hjemlet i lov Register med personopplysninger Dette er en oversikt over de personopplysningene som behandles i kommunen. Copyright Halden kommune Juli 2009 Side 5/19

6 Informasjon Formål Kommunalt legekontor Kommunal legevakt Lønn og personal: Lønnsopplysn Personalopplysn. Barnevern: - vurdering og tiltak Hjemmel Lov av 1.januar 1984 om Lov om helsetjenesten i kommunene Lov av 1.januar 1984 om Lov om helsetjenesten i kommunene Lov av 1. januar 1993 om Lov om barneverntjenester Helsestasjon Lov av 1.januar 1984 om Lov om helsetjenesten i kommunene Sosial omsorg: - klient økonomi - sosiale ytelser - støttekontakt - avlastning -sos. lån Saksbehandling og journal Elevadminist rasjon: - elever /foresatte Lov av 1. januar 1993 om Lov om sosial tjenester (sosialtjenesteloven) Lov av 27 August 1998 om Lov om grunnskolen og den videregåande opplæringa Fagsystem Winmed Winmed Unique Lønn personal Familia Winmed Unique Oskar ephorte Sensitive opplysninger Sensitive opplysninger Personopplysninger Sensitive opplysninger Sensitive opplysninger Sensitive opplysninger Personopplysninger Personopplysninger Klassifikasjon Sikringstiltak Sensitiv sone på internt Sensitiv sone på internt Sikker sone på internt Sensitiv sone på internt Sensitiv sone på internt Kommunal desktop NAV/ Sensitiv sone Sikker sone på internt Sikker sone på internt Lagring og kommuni kasjon Ingen ekstern kommunik asjon Ingen ekstern kommunik asjon Ingen ekstern kommunik asjon Ingen ekstern kommunik asjon Kommuni kasjon mot Personkor t NAVsystem M /K / UM * Meld utl. UM UM Meld nr Copyright Halden kommune Juli 2009 Side 6/19

7 Pleie og omsorg- Pasientjournal PPTtjenesten Matrikkelen (Grunn Adresse og Bygningsregister). Flyktningregister Skjenkebevilling Kameraovervåking Rokke avfallsannl. Kameraovervåking Sykehjemmet Adgangskontroll Overformynderi Skatteregister (opplæringsloven) Lov av 1. januar 1993 om Lov om sosial tjenester (sosialtjenesteloven) Lov av 1.januar 1984 om Lov om helsetjenesten i kommunene Lov av 27 August 1998 om Lov om grunnskolen og den videregåande opplæringa (opplæringsloven) Ikke lovpålagt Lov av 1. januar 1990 om Lov om omsetning av alkoholholdige drikk mv Gerica MDflytning Sensitive opplysninger Personopplysninger Personopplysninger Personopplysninger Personopplysninger Kameraovervåking Personopplysninger Person-opplysninger Personopplysninger Sensitiv sone på internt Sensitiv sone på internt Sikker sone på internt Sensitiv sone på internt Sikker sone på internt Sikker sone på internt Sikker sone på internt Sikker sone på internt Ingen ekstern kommunik asjon K M M UM Kameraovervåking strandpromenaden Kameraovervåking M Kamera- Kamera- M Copyright Halden kommune Juli 2009 Side 7/19

8 overvåking Tista senter overvåking * M / K / UM = Meldeplikt / Konsesjonsplikt / Unntatt fra meldeplikten Copyright Halden kommune Juli 2009 Side 8/19

9 2.5. Egenkontroll Virksomheten skal periodisk kontrollere arbeidet med informasjonssystemet og Informasjonssikkerheten. Rådmann har ansvar for iverksetting av egenkontroller og skal ledes av sikkerhetsansvarlig. Gjennomføringen skal utføres av ledelsen. Ved egenkontroll skal eget skjema for dette brukes. Rapporteringsskjema for egenkontroll ligger på Halden kommunes Intranett. Se detaljert beskrivelse i dokumentet Sikkerhetspolitikk for bruk av IT i Halden kommune som ligger på kommunens Intranett. Enheter som jobber med personopplysninger skal kontrolleres etter følgende kontrollplan: Kontrollobjekt Kontrollsted Januar Februar 1. Sosialkontoret/NAV Sosialtjenesten 2. Barnevern- Barnevernstjenesten kontoret 3. PPT-kontoret PPT-tjenesten 4. Legekontoret Legekontor 5. Legevakten, Legevakt Halden sykehus 6. Servicekontor Adgangskontroll 7. Pleie og omsorg 8. Matrikkelen 9. Helsestasjoner 10. Flyktningregister 11. Skjenkebevilling Teknisk avd. Halden kommune Avd. for flyktninger Helse og sosial Mars April Mai Juli Juli August September Oktober November Desember 12. Skolekontoret Skolesystem 13. Rådhuset Skatteregister Dokumentasjon HT HT/HK Copyright Halden kommune Juli 2009 Side 9/19

10 Intern driftsløsning (servere, nett) Intern tilkobling (intern brannmur/ruter) Ekstern tilkobling (ytre brannmur) HT/HK HT/HK HT/HK 3. ORGANISERING 3.1. Administrative og tekniske rutiner Føring av loggbok Systemansvarlige skal fortløpende føre elektronisk loggbok for sine registre. Det skal føres loggbok over: - alle som har vært systemansvarlige - alle brukere med angivelse av hvilke registre de kan bruke 3.2. Rutiner/prosedyrer for brukere som behandler personopplysninger Oppfyllelse av melde- og konsesjonsplikt Personopplysningsloven og helseregisterloven gir kommunene en rekke plikter. Blant disse er konsesjons- og meldeplikt for behandling av personopplysninger. Kommunen skal selv vurdere hvilke behandlinger av personopplysninger som er meldepliktige og hvilke behandlinger som er konsesjonspliktige. Konsesjonsplikten gjelder for elektronisk behandling av sensitive opplysninger. Meldeplikten gjelder for elektronisk behandling av ikke sensitive personopplysninger, samt manuell behandling av sensitive personopplysninger. Kommunen har unntak fra konsesjonsplikt for behandling av personopplysninger som har hjemmel i egen lov. Når behandlingen er unntatt konsesjonsplikt, skal den meldes til Datatilsynet i stedet. Kravet til melding og konsesjon gis i personregisterloven og helseregisterloven. Personopplysningsloven er en generell lov som gjelder all virksomheters bruk av opplysninger om enkeltmennesker. Helseregisterloven er en spesiell lov som gjelder bruk av helseopplysninger i helsetjenesten og i helseforvaltningen. Copyright Halden kommune Juli 2009 Side 10/19

11 Rådmann har ansvar for oppfyllelse av melde og konsesjonsplikten. Registrene kan meldes vha. skjema eller elektronisk på Datatilsynets hjemmesider. Dette skal gjøres av sikkerhetsansvarlig. Etter 4 år må registrene innmeldes på nytt Saklig begrunnelse Behandling av personopplysninger skal være saklig begrunnet. Opplysningene skal samles inn til uttrykkelig angitte og legitime formål, og brukes i overensstemmelse med disse Frivillig samtykke Registrering av personopplysninger skal i størst mulig grad være basert på et frivillig, uttrykkelig og informert samtykke. Opplysninger i offentlige registre hvor registrering er pliktig, skal være lovhjemlet. Før du kan begynne å jobbe med personopplysninger må du få en godkjenning fra den registrerte om at hun eller han godtar behandling av opplysninger om seg selv. Du må sørge for et samtykke fra vedkommende. Du skal gi følgende opplysninger til den som skal registreres: 1. navn og adresse på den behandlingsansvarlige 2. hva opplysningene skal brukes til 3. om opplysningene vil bli utlevert til andre, og eventuelt hvem som er mottaker 4. om det er frivillig å gi fra seg opplysningene 5. informasjon som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, som f.eks. om retten til å kreve innsyn, retting og sletting 6. hvor lenge personopplysningene vil bli behandlet eller oppbevart Den som skal registreres kan samtykke muntlig eller skriftlig, elektronisk eller på papir. Det må imidlertid ikke være tvil om: 1. at den registrerte samtykker 2. hvilke behandlinger samtykket omfatter Copyright Halden kommune Juli 2009 Side 11/19

12 3. hvilke behandlingsansvarlige samtykket rettes til Det må i ettertid ikke være noen tvil om at samtykke er gitt Opplysningsplikt for DEN behandlingsansvarlige Ved innhenting av personopplysninger har den enkelte uoppfordret rett til å få vite om det er frivillig eller obligatorisk å oppgi personopplysningene, hvilket formål opplysningene skal brukes til, og om de vil bli utlevert til andre. Du skal også gi opplysninger som gjør det lettere for den registrerte å ivareta sine rettigheter, som for eksempel retten til innsyn, retting og sletting. Dersom du skal samle inn personopplysninger fra andre kilder, skal vedkommende allikevel få samme informasjon som nevnt ovenfor. Du trenger ikke varsle vedkommende om behandlingen er fastsatt i lov, varslingen er uforholdsmessig vanskelig eller at du er sikker på at vedkommende allerede kjenner informasjonen. Du skal informere uoppfordret og gratis Rett til innsyn Behandling av personopplysninger Den behandlingsansvarlige skal bistå den registrerte med å gi innsyn i hvilke opplysninger som er lagret, hva de skal brukes til, og hvor de er hentet fra. Ønsker vedkommende mer informasjon om en spesifikk behandling, har vedkommende også krav på det. Du kan gi ut følgende opplysninger: Navn og adresse på den behandlingsansvarlige og hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter, formålet med behandlingen, hvilken type personopplysninger som behandles og hvor de er hentet fra. Vedkommende kan også kreve å få vite hvem personopplysningene eventuelt blir utlevert til. Registrerte opplysninger gis ikke ut. Personlige opplysninger Dersom den som kommer med henvendelsen om innsyn er registrert hos deg, har vedkommende rett til å få vite hva som er registrert om ham/henne. Han/hun har også rett til å få vite om tiltakene som skal sikre opplysningene dersom vedkommende spør om det. Du skal kreve at begjæringen om innsyn er skriftlig. Andre opplysninger gis ikke ut. Generelle bestemmelser Copyright Halden kommune Juli 2009 Side 12/19

13 Når noen henvender seg og ber om informasjon, skal du svare innen 30 dager fra den dagen henvendelsen kom inn. Vedkommende kan kreve et skriftlig svar. Dersom det er umulig for virksomheten å overholde fristen, kan den sende et foreløpig svar med opplysninger om årsaken til forsinkelsen og tidspunktet når vedkommende kan vente svar. Det skal alltid vurderes om bestemmelser i særlov begrenser innsynsretten Registreringen skal være riktig Opplysningene som registreres skal være korrekte og ajourførte Feilaktige opplysninger skal rettes Feilaktige personopplysninger skal endres, slettes eller sperres. Opplysningen kan rettes ved at den markeres og suppleres med korrekte opplysninger eller slettes. Hvis den vil kunne ha betydning som dokumentasjon, er hovedregelen at den skal markeres og så suppleres med korrekte opplysninger. Når en feilaktig opplysning kan få betydning for eksempel. Om den ligger til grunn for et vedtak, vil dette være riktig fremgangsmåte Unødvendige opplysninger skal slettes Du skal slette eller sperre opplysninger som ikke lenger er nødvendige for formålet med registreringen. Dette gjelder selv om opplysningene ikke er mangelfulle. Dersom dokumentet blir åpenbart misvisende etter sletting, og supplering med korrekte opplysninger ikke er mulig, skal hele dokumentet makuleres. Dette gjelder ikke dersom opplysningene skal oppbevares i henhold til arkivloven eller annen lovgivning. Dersom du har registrert opplysninger som er sterkt belastende for den registrerte, kan vedkommende kreve at disse personopplysningene sperres. Vedkommende kan også kreve at opplysningene slettes dersom dette ikke strider mot annen lov, og det er forsvarlig å slette opplysningene etter en samlet vurdering av de motstridende interesser. Sletting skal erstattes med registrering av korrekte og fullstendige opplysninger dersom det ligger til rette for det. Copyright Halden kommune Juli 2009 Side 13/19

14 Personopplysninger kan oppbevares til historiske, vitenskapelige og statistiske formål selv om det ikke er nødvendig lenger etter sitt opprinnelige formål. Forutsetningen er at samfunnets interesse i oppbevaringen klart overstiger den registrertes interesse i personvern Informasjonssikkerhet skal ivaretas Den behandlingsansvarlige skal sørge for tilfredsstillende informasjonssikkerhet. Det må kunne dokumenteres at rutiner og tiltak som sikrer personopplysningene blir etterlevd i praksis. I det offentlige må risikovurderingene også omfatte borgernes ulike forutsetninger for å ivareta egen informasjonssikkerhet Sikring av integritet Den behandlingsansvarlige har ansvar for at personopplysninger ikke blir endret utilsiktet. Informasjon om informasjonssystemet og om sikkerhetstiltak skal også sikres mot uautorisert endring når dette er nødvendig for informasjonssikkerheten. Halden kommune har tiltak mot ødeleggende programvare som for eksempel datavirus som kan ødelegge integriteten for program som benyttes for behandling av personopplysninger eller sikkerhetstiltak Strengere regler ved følsomme opplysninger Behandling av følsomme personopplysninger er underlagt særlig strenge regler Bruk av e-post E-post skal ikke inneholde personopplysninger. Skal e-post inneholde personopplysninger må det ikke være mulig å linke innhold til bestemte personer. Man kan for eksempel bruke IDnummer som man må ha tilgang til fagsystem for å forstå i stedet for navn Utskrift og kopiering Utskrift av personopplysninger skal skje på slik måte at uvedkommende ikke har tilgang til utskrifter. Dette kan skje ved at skrivere plasseres i låste rom der uvedkommende ikke har adgang eller ved at bruker må taste kode på skriver for å få ut sin utskrift. Ved kopiering og utskrift av personopplysninger må man være ekstra oppmerksom på at man ikke glemmer igjen papirer i kopimaskin og skriver. Copyright Halden kommune Juli 2009 Side 14/19

15 Makulering av dokumenter Dokumenter som inneholder personopplysninger skal ikke oppbevares lengre enn nødvendig, men i henhold til fastsatte regler og lover vedrørende slike opplysninger. Dokumenter det ikke lengre er behov for skal makuleres Sikkerhet og orden på eget kontor Sikkerhet og orden på eget kontor skal være slik at man har full kontroll over papirer som inneholder personopplysninger og oppbevare dem slik at uvedkommende ikke kan få tilgang til dem Innleid personell Innleid personell som kan få tilgang til personopplysninger skal skrive under taushetsplikt og gjøres kjent med gjeldene sikkerhetsrutiner. Dersom de skal utføre oppgaver som kan påvirke sikkerheten, skal dette logges i egen loggbok. Følgende skal logges: Hvem som utfører arbeides. o Navn, firma, adresse, telefonnummer Når arbeidet har blitt utført. o Dato, klokkeslett Hva som er utført. o Beskrivelse av arbeidet som er gjort Hvor arbeidet er gjort Bruk av hjemmekontor Ved bruk av hjemmekontor skal det ikke lagres personopplysninger lokalt på hjemmekontoret Bruk av bærbar datamaskin Det skal ikke lagres sensitiv informasjon eller personopplysninger på bærbare datamaskiner Copyright Halden kommune Juli 2009 Side 15/19

16 uten at disse er krypterte med en spesiell krypteringsnøkkel Bruk av skanner Skanning av dokumenter med personopplysninger skal gjøres på spesielle skannere med egen sikker løsning på sensitivt nett. Det skal ikke benyttes vanlige multimaskiner til skanning av dokumenter med personopplysninger innhold da overføringsmåten fra disse maskinene er via mail-systemet. Opprettede filer som følge av skanning skal kun lagres og behandles i fagsystem på sensitivt nett Elektronisk pasientjournal Elektronisk pasientjournal skal kun etableres i tilhørende fagsystem på sensitivt nett Elektronisk arkiv Elektronisk arkiv skal kun etableres i tilhørende fagsystem på sensitivt nett. Papirdokumenter med personopplysninger som skal inn i elektronisk arkiv skal skannes inn på egne skannere som er satt opp til dette. Se punkt Lagring på minnepenn Lagring av personsensitive data på minnepenn skal kun forekomme dersom minnepennen er kyptert med dertil egnet kryperingsnøkkel. Virksomheten skal reservekopiere data inneholdende de personopplysninger som behandles. Det betyr at minnepenn alene ikke er nok men at man må ha en kopi av data som ligger på minnepenn et annet sted Bruk av kameraovervåking Bruk av kameraovervåking skal ikke forekomme dersom det er foreligger spesiell grunn for det. Kontakt sikkerhetsansvarlig i kommunen for hjelp til vurdering om du kan sette opp kameraovervåking der du ønsker. Alle kamra som skal settes opp er meldepliktig til Datatilsynet. Sikkerhetsansvarlig foretar innemeldingene. Copyright Halden kommune Juli 2009 Side 16/19

17 Helsenett Ved bruk av helsenett skal Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenett samt Norm for informasjonssikkerhet i helsesektoren benyttes 4. SIKKERHET 4.1. Personellsikkerhet Taushetsplikt Medarbeidere som behandler personopplysninger er pålagt taushetsplikt. Taushetsplikten omfatter også annen informasjon med betydning for informasjonssikkerheten. Taushetsplikten vil aldri opphøre. Dersom taushetsplikten brytes, politianmeldes vedkommende. Taushetsplikten er ikke til hinder for at den behandlingsansvarlige kan informere om sikkerhetstiltak Fysisk sikring Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å behandle personopplysninger. Sikkerhetstiltakene skal også hindre uautorisert adgang til annet utstyr som har betydning for informasjonssikkerheten Utstyr skal installeres slik at ikke påvirkning fra driftsmiljøet får betydning for behandlingen av personopplysninger Adgangskontroll kontorer Man skal hindre at uvedkommende får tilgang til kontorer hvor det arbeides med personopplysninger. Copyright Halden kommune Juli 2009 Side 17/19

18 Adgangskontroll IT-utstyr Alle som skal ha tilgang til servere som inneholder personopplysninger skal ha skrevet under en taushetserklæring for Halden Kommune. Copyright Halden kommune Juli 2009 Side 18/19

19 5. DOKUMENTASJON Halden kommune: Sikkerhetspolitikk for bruk av IT i Halden kommune Sikkerhetspolitikk for behandling av personopplysninger Avviksrapporter Risikovurdering Hafslund IT: Dokumentasjon av driftsløsning og systemteknisk sikkerhet Oversikt over leverandørens sikkerhetsorganisasjon med navngitte sikkerhetsansvarlige. Leverandørens sikkerhetsmål og sikkerhetsstrategi. Rutiner som påvirker informasjonssikkerheten. Sentral dokumentasjon: Norm for informasjonssikkerhet i helsesektoren Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenett Liste over titler som er nevnt i denne sikkerhetspolitikken og hvem som innehar disse titlene: Rådmannens ledergruppe: Rådmann: Per Egil Pedersen Marie Authen - kommunalsjef undervisning og oppvekst Gun Kleve - konst. kommunalsjef helse og omsorg Åsmund Bråtekas - kommunalsjef teknisk og kultur Lars Th. Larsen - kommunalsjef organisasjon og utvikling Astrid Nordstrand - NAV IT & utvikling: May Britt Svensen Karine Engebretsen Randi Sommerseth Jørn Thunem Øyvind Stokseth Mona Carlsen Sikkerhetsansvarlig: Karine Engebretsen Copyright Halden kommune Juli 2009 Side 19/19

BEHANDLING AV PERSONOPPLYSNINGER

BEHANDLING AV PERSONOPPLYSNINGER BEHANDLING AV PERSONOPPLYSNINGER 1.0 Innledning 1.1 Definisjon av personopplysninger 1.2 Behandlingsansvarlig 1.3 Vilkår for å behandle personopplysninger 1.3.1 Samtykke 1.3.2 Krav om informasjon 1.3.3

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen INF1000: IT og samfunn Uke 6, høst 2014 Siri Moe Jensen Oversikt Praktisk om semesterplan og obliger Hilde Lovett, Teknologirådet IT: Eksempler på muligheter og løsninger Kan teknologi styres? Om anvendelse

Detaljer

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer) Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Go to  use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn. INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon? Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon? Mari Hersoug Nedberg, rådgiver Ålesund, 4. September 2009 Hva er person(opplysnings)vern?

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Mari Hersoug Nedberg, seniorrådgiver Pelagisk forening, 23. februar 2012 Disposisjon - Personvern et bakgrunnsbilde

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

DRI1010 Emnekode. Oppgave Kandidatnummer Dato Oppgave 1 361 2015-05-05 For å kunne vite hvilken betydningen det har for anvendelsen av personopplysningsloven når det skal behandles sensitive personopplysninger så må man vite hva «sensitive personopplysninger»

Detaljer

Innsynsrett - Brukers rett til innsyn

Innsynsrett - Brukers rett til innsyn Innsynsrett - Brukers rett til innsyn Operativ sikkerhetsdokumentasjon Ved håndtering av innsynsbegjæringer skal etaten overholde krav gitt i offentleglova, forvaltningsloven INNHOLDSFORTEGNELSE 1. HENSIKT...

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Plan for informasjonssikkerhet Bjugn kommune

Plan for informasjonssikkerhet Bjugn kommune Plan for informasjonssikkerhet Bjugn kommune Våren 2015 1 Innledning...3 Overordnet mål...4 Delmål...4 Grunnkrav...4 System for oversikt behandlinger...4 Akseptkriterier...4 System for behandling av avvik...5

Detaljer

1.6 Sentrale lover og forskrifter

1.6 Sentrale lover og forskrifter 1.6 Sentrale lover og forskrifter Innledning For Midt-Telemarkkommunenes informasjonssikkerhet gjelder en rekke lover og bestemmelser som blant annet tar sikte på å hindre at noen uten lovlig hjemmel får

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale Pilot Digitalt Bortsettingsarkiv Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen. 1.5 Definisjoner Definisjoner i Personopplysningslov og -forskrift 1) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. 2) Behandling av personopplysninger Enhver bruk av

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Personvern eller vern av personopplysninger. Hvem vet hva om oss

Personvern eller vern av personopplysninger. Hvem vet hva om oss Personvern eller vern av personopplysninger Hvem vet hva om oss Vi er i fare overalt Opplysninger fra netthandel misbrukes Kan redusere netthandelen Skattelister brukes til å finne ofre - 2004 Pengeuttak

Detaljer

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL Meldeskjema - for forsknings-/kvalitetsstudier og annen aktivitet som medfører behandling av personopplysninger som er melde- eller konsesjonspliktig i henhold til helseregisterloven og personopplysningsloven

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Retningslinje for elektroniske saker gjeldende barn i barnehager

Retningslinje for elektroniske saker gjeldende barn i barnehager Retningslinje for elektroniske saker gjeldende barn i barnehager Innledning Arkiv er en viktig del av kommunal forvaltning. Arkivene skal dokumentere kommunens saksbehandling, og således være etterprøvbare

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter) Fagkurs for kommuner Personvern og taushetsplikt (75 minutter) 1 Innhold Hva er personopplysninger? Hva er helseopplysninger? Hvorfor skal opplysningene sikres? Den registrerte har rettigheter (samtykke,

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17.

Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17. Personvern og informasjonssikkerhet - Begreper, systematikk og rettslig regulering EL&IT forbundets konferanse (Drammen, 17. september 2007) Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk,

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX

Detaljer

Hva skal i sak/arkivsystemet og hva skal i fagsystem?

Hva skal i sak/arkivsystemet og hva skal i fagsystem? Hva skal i sak/arkivsystemet og hva skal i fagsystem? Solfrid Kjærran, nestleder Arkiv i Nordland 25.11.15 Skulpturlandskap Nordland Meløy Foto: Aina Sprauten Bakgrunn Henvendelser fra kommunene til KS

Detaljer

Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner

Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner IKA KONGSBERG Interkommunalt arkiv for Buskerud, Vestfold og Telemark IKS Forord Med personopplysningsloven

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom Oslo kommune Velferdsetaten Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom Velferdsetaten Org.nr: behandlingsansvarlig og Org.nr.:

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale tale Digitalt I henhold til personopplysningslovens depot 13, jf. 15 personopplysningsforskriftens kapittel 2. mellom Risa; ) cm1iwcwl 09 IKA Trøndelag IKS 1 Avtalens hensikt Avtalens hensikt er å regulere

Detaljer

DEL I TILRÅDING ELLER KONSESJON?

DEL I TILRÅDING ELLER KONSESJON? Veileder: Bruk av sensitive personopplysninger i forskning DEL I TILRÅDING ELLER KONSESJON? Versjon 2.0 publisert 28.03.2017 Innhold Bakgrunn... 3 Målgruppe for veilederen... 3 Ordliste... 4 Hvilken lov

Detaljer

GDPR HVA ER VIKTIG FOR HR- DATA

GDPR HVA ER VIKTIG FOR HR- DATA GDPR HVA ER VIKTIG FOR HR- DATA Ane Wigers og Kjersti Hatlestad VÅRE MEDLEMMER DRIVER NORGE Forordningen stiller tydelige krav til fremgangsmåte ved behandling av personopplysninger Risikobasert tilnærming

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten Vedtatt av Generalsekretæren 20.12.2017 20. desember 2017 Side 1 av 7 Bakgrunn Digitalisering og bruk av IT-løsninger i

Detaljer

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To

Detaljer

IKT & LEDELSE - 8/

IKT & LEDELSE - 8/ . IKT & LEDELSE - 8/11 2006 Vilje, evne og lyst til digitalt lederskap Informasjonssikkerhet eksempler og lederutfordringer Susanne Helland Flatøy 1 Digital Helse as 2 Våre kunder: Fredrikstad kommune

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Personopplysningsloven: Formål og grunnleggende begreper. DR1010 Personvern i offentlig forvaltning Vår 2011 Seniorrådgiver Mona Naomi Lintvedt, Difi

Personopplysningsloven: Formål og grunnleggende begreper. DR1010 Personvern i offentlig forvaltning Vår 2011 Seniorrådgiver Mona Naomi Lintvedt, Difi Personopplysningsloven: Formål og grunnleggende begreper DR1010 Personvern i offentlig forvaltning Vår 2011 Seniorrådgiver Mona Naomi Lintvedt, Difi Ukas sak Dagens tema Personopplysningsloven (pol) Lovens

Detaljer

NAV-evaluering. - behandling av personopplysninger. Voksenåsen, Oslo. Personvernombudet for forskning. 23.oktober 2007

NAV-evaluering. - behandling av personopplysninger. Voksenåsen, Oslo. Personvernombudet for forskning. 23.oktober 2007 NAV-evaluering - behandling av personopplysninger Voksenåsen, Oslo 23.oktober 2007 Instanser å forholde seg til Registerforvalter - SSB - Rikstrygdeverket (melding) Fagdepartementet Arbeidsog inkluderingsdepartementet

Detaljer

Personopplysningsloven

Personopplysningsloven Personopplysningsloven Tittel: Lov om behandling av personopplysninger Dato: 14.04.2000 Sist endret: - Publikasjon: - Departement: Justisdepartementet Kilde: Lovdata INNHOLD Kapittel I. Lovens formål og

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Personvern overvåking og kontrolltiltak i arbeidslivet. Paratkonferansen, 16. november 2010 Bjørn Erik Thon

Personvern overvåking og kontrolltiltak i arbeidslivet. Paratkonferansen, 16. november 2010 Bjørn Erik Thon Personvern overvåking og kontrolltiltak i arbeidslivet Paratkonferansen, 16. november 2010 Bjørn Erik Thon Disposisjon - Kort om Datatilsynet og det lovverk vi forvalter - Kort om regler som regulerer

Detaljer

ekommune 2017 Prosessplan for god praksis om personvern

ekommune 2017 Prosessplan for god praksis om personvern ekommune 2017 Prosessplan for god praksis om personvern Utfordringen Ble tidligere i år klar over at ny EUforordning ville medføre nye krav fra mai 2018 => erkjennelse: Overhalla kommune har et grunnleggende

Detaljer

Personvern. Behandling av personopplysninger om attføringsdeltakere: Advokat Terje Hovet Oktober/november 2008

Personvern. Behandling av personopplysninger om attføringsdeltakere: Advokat Terje Hovet Oktober/november 2008 Personvern Behandling av personopplysninger om attføringsdeltakere: Advokat Terje Hovet Oktober/november 2008 NHO Service NHO Service er tilsluttet NHO. organiserer over 1100 servicebedrifter med til sammen

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

SIKKERHETSINSTRUKS - Informasjonssikkerhet

SIKKERHETSINSTRUKS - Informasjonssikkerhet SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE Hedmark fylkesrevisjon Parkgt. 64 2325 Hamar tlf. 62 54 47 21 Fylkesrevisjonen@hedmark.org Forvaltningsrevisjonsprosjekt INNHOLDSFORTEGNELSE

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 NOTAT Til: Landsstyret Fra: Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 Spørreundersøkelser personvern På det siste møtet før landsmøtet behandlet AU en søknad fra Svarte Nattakonferansen om bruk

Detaljer

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 1. Generelt De enkelte enheter som utgjør SEBs norske virksomheter (SEB) er blant annet gjennom lov

Detaljer

Taushetsplikt og konfidensialitet

Taushetsplikt og konfidensialitet Taushetsplikt og konfidensialitet 1. TAUSHETSPLIKT Taushetsplikt er forbud mot å gi ut opplysninger. Konfidensialitet er å sikre at informasjon bare er tilgjengelig for de som skal ha tilgang. Ansatte

Detaljer

Personvern, offentlighet og utlevering fra matrikkelen. Bakgrunnen for kurset

Personvern, offentlighet og utlevering fra matrikkelen. Bakgrunnen for kurset Personvern, offentlighet og utlevering fra matrikkelen Bakgrunnen for kurset Dagens tema Matrikkelinformasjon er offentlig informasjon Gratis og fri gjenbruk Matrikkelloven gjelder for utlevering fra matrikkelen

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

BINDAL KOMMUNE Helse- og omsorgssektoren Sørfjordveien 14 B 7980 Terråk

BINDAL KOMMUNE Helse- og omsorgssektoren Sørfjordveien 14 B 7980 Terråk BINDAL KOMMUNE Helse- og omsorgssektoren Sørfjordveien 14 B 7980 Terråk KONFIDENSIELT Taushetsplikt offl. 13 jf. fvl. 13.1 Org.nr: 964 983 380 E-post: pleie.omsorg@bindal.kommune.no 75032500 www.bindal.kommune.no

Detaljer

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum. Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.no OH 1 Agenda Hva er personopplysninger Personvern vs informasjonssikkerhet

Detaljer

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Fagkurs for kommuner Ansvar og avtaler (45 minutter) Fagkurs for kommuner Ansvar og avtaler (45 minutter) 1 Innhold 1. Definere sentrale begrep 2. Ansvar 3. Ansvar ved delegering av oppgaver 4. Ansvar og avtaler for databehandler 5. Avtale ved fjernaksess

Detaljer

Fellestema 11.01.2016. Personopplysningsloven overordnet lovverk. Matrikkelen og personvern. Personvern

Fellestema 11.01.2016. Personopplysningsloven overordnet lovverk. Matrikkelen og personvern. Personvern Fellestema Matrikkelen og personvern Kurs i matrikkelføring Sentral matrikkelmyndighet, 2016 Versjon 1.5 Personvern Enkeltpersoners interesse i å ha kontroll med opplysninger som beskriver dem Kan selv

Detaljer