Universitetet i Stavanger Styret ved Universitetet i Stavanger

Størrelse: px
Begynne med side:

Download "Universitetet i Stavanger Styret ved Universitetet i Stavanger"

Transkript

1 Universitetet i Stavanger Styret ved Universitetet i Stavanger US 17/17 Revisjonsplan 2017 og revisjonsrapport om personvern og informasjonssikkerhet høst 2016 Saksnr: 15/ Saksansvarlig: Rolf Jegervatn, internrevisjonsleder Møtedag: Informasjonsansvarlig: John B Møst, universitetsdirektør Dokumenter i saken: Vedlegg 1: Revisjonsplan 2017 Vedlegg 2: Risikovurdering 2017 Vedlegg 3: Revisjonsrapport UiS personvern og informasjonssikkerhet Vedlegg 4: Oppdragsbeskrivelse Vedlegg 5: Taushetserklæring Vedlegg 6: Instruks Vedlegg 7: Ny forordning 2018 datatilsynets skriv Bakgrunn i sak: Internrevisjonen ved Universitetet i Stavanger (UiS), Universitetet i Agder (UiA), Nord universitet og Høgskulen på Vestlandet (HVL) legger med dette frem revisjonsplan for Tema for revisjon våren 2017: Sidegjøremål og roller i næringslivet. Revisjon høst 2017: Bruk og forvaltning av KD Stipendiatmidler, se vedlagt revisjonsplan for Internrevisjonen utarbeidet høsten 2015 forslag til revisjonsplan for Styrene ved de fire samarbeidende virksomhetene har hatt revisjonsplan for 2016 til behandling og godkjent disse uten merknader. Internrevisjonen har gjennomført en anbefalende revisjon av personvern og informasjonssikkerhet med kontroll av dokumentasjon av internkontrollprosesser knyttet til ansvarsutøvelse i forhold til revidert område. Revisjonen ble gjennomført i samarbeid med ekstern IT-revisor Kenneth Høstland (Conferit AS). Basert på mottatt dokumentasjon og de opplysninger som er fremkommet gjennom intervjuer, er internrevisjonens konklusjon at UiS har et forbedringspotensial innenfor etterlevelse og oppfølging av Personopplysningsloven med forskrift og innen informasjonssikkerhet jf. konklusjoner i vedlagt revisjonsrapport. IT avdelingen ved UiS holder imidlertid et høyt nivå innen informasjonssikkerhet gjennom sertifisering av sitt ledelsessystem / styringssystem etter to ISO sertifiseringer, herunder ISO/IEC 9001:2015 (kvalitetsstyring) og ISO/IEC 27001:2013 (Informasjonssikkerhet). Forslag til vedtak: 1. Styret vedtar den forelagte revisjonsplanen for Styret tar revisjonsrapporten til orientering. Internrevisjonen ber styret å påse at universitetsdirektøren følger opp de bemerkninger og anbefalinger på revidert område som fremkommer i revisjonsrapporten. Stavanger, John B Møst universitetsdirektør 1

2 US 17/17 Revisjonsplan 2017 og revisjonsrapport om personvern og informasjonssikkerhet høst 2016 Revisjonsplan 2017: Planen for internrevisjonsaktiviteter 2017 skal godkjennes av de enkelte virksomhetsstyrene og fremlegges derfor i god tid før første revisjon våren Det vil være internrevisjonsteamet som utarbeider forslag til revisjonsplan i dialog med virksomhetene. Internrevisjonsteamet ble bedt om å utarbeide en metodikk for hvordan man skal komme frem til forslag til revisjonsplan for fremtiden jf. styresak (US 109/15 Internrevisjon ved UiS). Dette ble løst gjennom å rette direkte forespørsel/dialog med samtlige av de fire virksomheters ledelse medio november Alle de fire virksomhetenes ledelse ble bedt om å adressere internrevisjonens ønske om innspill til neste års revisjon. Det planlegges i utgangspunktet to revisjoner for 2017 dersom det ikke bestemmes annet. Dette må også vurderes opp mot økonomiske rammer. Den enkelte virksomhet står fritt til å benytte eksterne konsulenter til revisjon av andre områder som er særskilte på den enkelte institusjon. Revisjonsplanen skal også foreslå mulige fremtidige revisjoner, slik at de enkelte styrene gis mulighet til å gi tilbakemeldinger til revisjonsteamet om mulige tema. Internrevisjonen planlegger å gjennomføre to revisjoner for 2017 jf. vedlagt revisjonsplan. Vår 2017: Sidegjøremål og roller i næringslivet. Det er vanlig i UH-sektoren at vitenskapelig ansatte innehar sidegjøremål (bierverv) og roller i andre virksomheter som i næringsliv, i organisasjoner og i offentlig virksomhet. Riksrevisjonen har tidligere omtalt forholdet i dokument 1 og viser til at det i enkelte tilfeller er mangelfulle rutiner og åpenhet rundt dette på de institusjoner som har vært revidert på dette området. Internrevisjonen ønsker å gjennomføre en revisjon med fokus på i hvilken grad fakulteter og institutter etterlever lover og regler samt virksomhetenes egne interne retningslinjer som foreligger på området. Høst 2017: Bruk og forvaltning av KD Stipendiatmidler Hvordan forvaltes Kunnskapsdepartementets tildelinger av stipendiatmidler (PhD) i forhold til KDs føringer og forventninger. Revisjonsrapport personvern og informasjonssikkerhet: Internrevisjonen har gjennom denne revisjonen kartlagt om kontroller, dokumentasjon, prosedyrer, prosesser og andre aktiviteter er effektivt gjennomført, vedlikeholdt og oppfyller lovmessige og regulatoriske krav, samt krav stilt i egne styrings- og ledelsessystemer for informasjonssikkerhet og personvern. I tillegg har revisjonen gitt en anbefaling av hvilke tiltak virksomhetene må foreta seg for å imøtekomme de nært forestående endringene jf. EU 2018 krav knyttet til personvern. Hovedkonklusjoner fra revisjonsrapport Basert på mottatt dokumentasjon og de opplysninger som er fremkommet gjennom intervjuer, er internrevisjonens konklusjon at UiS har et forbedringspotensial innenfor etterlevelse av Personopplysningsloven med forskrift og innen informasjonssikkerhet jf. konklusjoner i vedlagt revisjonsrapport. Internrevisjonen vil benytte anledningen til å påpeke at UiS har igangsatt og gjennomført flere forbedringer på dette området etter Riksrevisjonens revisjon av persondatasikkerhet knyttet til prosjekter i 2010/2011. IT avdelingen ved UiS holder imidlertid et høyt nivå innen informasjonssikkerhet takket være sertifisering av sitt ledelsessystem / styringssystem etter to ISO sertifiseringer, herunder ISO/IEC 9001:2015 (kvalitetsstyring) og ISO/IEC 27001:2013 (Informasjonssikkerhet). 2

3 Revisjonsrapportene for Universitetet i Agder, Nord Universitet og Høgskulen på Vestlandet er tilgjengelig på forespørsel. Forslag til vedtak: 1. Styret vedtar den forelagte revisjonsplanen for Styret tar revisjonsrapporten til orientering. Internrevisjonen ber styret å påse at universitetsdirektøren følger opp de bemerkninger og anbefalinger på revidert område som fremkommer i revisjonsrapporten. Stavanger, John B Møst universitetsdirektør Rolf Jegervatn internrevisjonsleder Saksbehandler: Rolf Jegervatn internrevisjonsleder 3

4 Utarbeidet i samarbeid mellom

5 REVISJONSPLAN 2017 Internrevisjonen Revisjoner 2016: 1. Reiseregninger 2. Personvern og informasjonssikkerhet Punkter til oppfølging fra 2016 revisjonene Internrevisjonen mottok tilsvar fra samtlige reviderte virksomheter i etterkant av revisjonen av reiseregninger. Internrevisjonen ber om at virksomhetene gir tilbakemelding på hvordan oppfølgingspunktene/funnene etter revisjonene for 2016 følges opp, dette for at internrevisjonen kan kvittere punktene som ferdigstilt. Vi ønsker også tilbakemelding på hvordan oppfølgingen i etterkant av revisjonen av personvern følges opp. Tilbakemelding til internrevisjonen kan skje løpende enten ved direkte kontakt med internrevisjonsteamet eventuelt kan styrets kontaktperson videreformidle til internrevisjonen. Internrevisjonens funksjon Internrevisjon er en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å tilføre merverdi og forbedre organisasjonens drift. Den bidrar til at organisasjonen oppnår sine målsettinger ved å benytte en systematisk og strukturert metode for å evaluere og forbedre effektiviteten og hensiktsmessigheten av organisasjonens prosesser for risikostyring, styring og kontroll og governance. Risikovurdering I tråd med internrevisjonsmetodikken har internrevisjonen gjennomført risikovurdering som grunnlag for utarbeidelse av revisjonsplanen for 2017 (se vedlegg risikovurdering). Risikovurderingen har hatt til hensikt å identifisere områder som kan ha en risiko for virksomhetene og der internrevisjonen kan bidra til å bekrefte eller avkrefte om kontrolltiltakene er gode, samt områder der internrevisjonen kan være mest effektiv og gi størst verdi og ikke overlapper med annet revisjonsarbeid fra Riksrevisjonen. Revisjonsprosjektene har ikke nødvendigvis blitt valgt ut fordi de representerer høyest risiko for virksomhetene, men snarere en kombinasjonen av risiko og verdipotensialet internrevisjonen kan ha for virksomhetene samlet sett. Revisjonsplanen følger kalenderåret For påfølgende år vil det bli utført en justering av risikovurdering som grunnlag for 2018 planen. Forslag til revisjonstema - revisjonsplan for 2017: Nedenfor er internrevisjonens forslag til internrevisjonsplan for 2017 med beskrivelse av planlagte internrevisjonsprosjekter i perioden. Planen skal godkjennes av styret. I tråd med tidligere års praksis er vårt forslag oversendt Universitetsdirektør som underlag til aktuell styresak. Nedenfor følger en beskrivelse av revisjonsprosjektene som inngår i revisjonsplanen. Disse er gjennomgått og diskutert av internrevisjonen. I forbindelse med oppstart av de enkelte revisjonsprosjektene vil det i tillegg bli utarbeidet egne planleggingsmemo som gir en detaljert oversikt over omfang og gjennomføring av de to endelige valgte tema for revisjon i Dette utføres når tema for revisjon 2017 er fastsatt av styrene. Internrevisjonen oppfordrer styret til å komme med innspill for eventuelle tema Vi anbefaler at følgende internrevisjonsprosjekter vedtas av styret og blir gjennomført i 2017: 1. Sidegjøremål og roller i næringslivet Det er vanlig i UH-sektoren at vitenskapelig ansatte innehar sidegjøremål (bierverv) og roller i andre virksomheter som i næringsliv, i organisasjoner og i offentlig virksomhet. Riksrevisjonen har tidligere omtalt forholdet i dokument 1 og viser til at det i enkelte tilfeller er mangelfulle rutiner og åpenhet rundt dette på de institusjoner som har vært revidert på dette området.

6 Internrevisjonen ønsker å gjennomføre en revisjon med fokus på i hvilken grad fakulteter og institutter etterlever lover og regler samt virksomhetenes egne interne retningslinjer som foreligger på området. 2. Bruk av KD Stipendiatmidler Hvordan forvaltes Kunnskapsdepartementets tildelinger av stipendiatmidler (PhD) i forhold til KDs føringer og forventninger. Forslag til senere revisjoner: 3. Beredskap 4. HMS

7 Risikovurdering 2017 Internrevisjonsenheten Mål: Ev.delmål: Kritiske suksessfaktorer # Internrevisjonen ved UiS, Nord, UiA og HVL tilstreber til enhver tid å følge IIA standardene: Internrevisjonen tilstreber å gi bekreftelser på virksomhetenes prosesser for governance, risikostyring og kontroll for å hjelpe virksomhetene å nå sine strategiske-, operasjonelle-, finansielle- og etterlevelsesmål. Internrevisjonen tilstreber videre å være en pådriver for å forbedre virksomhetenes hensiktsmessighet og effektivitet ved at den gir innsikt og anbefalinger basert på analyser og vurderinger av informasjon og forretningsprosesser. Gjennom sin integritet og ansvarlighet gir internrevisjonen verdi til de styrende organer og toppledelsen ved at den er en objektiv kilde til uavhengige anbefalinger. 1) Sikring av etterlevelse av myndighetskrav 2) Sikre at det er tiltak mot bestikkelser og korrupsjon i virksomheten 3) Sikre at det ikke skjer uheldige tredjepartsrelasjoner 4) Sikre den strategiske tilpasningen 5) Internrevisjonsgruppen i seg selv (iboende risiko) Gjennom sin integritet og ansvarlighet gir internrevisjonen verdi til de styrende organer og toppledelsen ved at den får mulighet til å opptre som en objektiv kilde til uavhengige anbefalinger. Identifisere risiko (trusler) 1) Internrevisjonen avdekker direkte brudd på gjeldende lover/regelverk gjennom revisjonen. Sannsynlighet (Usikkerhet) L, M og S Risikovurdering Konsekvens (Hva står på spill) L, M og S Akseptabelt Risikonivå L, M og S Foreliggende risikonivå M M-S L-M M Risikoreduserende tiltak (redusere konsekvens og/eller sannsynlighet) Hvordan kan internrevisjonen bistå: - Lage en oversikt over myndighetsorganer og -krav som påvirker virksomhetene. - Evaluere virksomhetenes respons til eventuelle nevneverdige tilfeller av manglende etterlevelse. - Sørge for at opplæringsprogrammer i compliance som tilbys til medarbeidere og andre interessenter er egnet for rollen.

8 2) Internrevisjonen ser viktigheten av å holde høyt fokus på, samt søke å identifisere risikoer som oppstår i forbindelse med myndighetskrav og compliance, så som den som introduseres ved interaksjon mellom tredjeparter. 3) Internrevisjonen ser risiko knyttet til tredjepartsrelasjoner mht motivet for å øke egen produktivitet og effektivitet. Virksomheter kan komme til å basere seg i stadig større grad på tredjeparter for å utføre viktige forretningsfunksjoner. Men bruk av tredjeparter kan eksponere virksomhetene for nye risikoer og potensielle L-M S L L-M M M-S L-M L-M - Internrevisjonen kan gjennomføre en vurdering av virksomhetens eksisterende prosedyrer mot bestikkelser og korrupsjon i forhold til ledende praksis i veiledning for myndighetskrav. - Sikre at utformingen og den driftsmessige effektiviteten til virksomhetenes relevante kontroller for forebyggelse og oppdagelse er god. - Forbedre internrevisjonens prosedyrer mot bestikkelser og korrupsjon i sine eksisterende/planlagte revisjoner og oppsynsaktiviteter overfor tredjeparter. - Evaluere kontraktsforvaltningsprosess er som brukes av ledelsen for å holde oversikt over tredjepartsrelasjoner - Overvåke utviklinger i myndighetskrav relatert til tredjeparter.

9 feil som kan føre til bøter, søksmål og omdømmeskade. 4) Internrevisjonen ser risiko knyttet til det å sikre at internrevisjonen er samstemt med selskapets strategiske prioriteringer og forblir relevant i lys av organisatorisk og annen endring. 5) Internrevisjonen ser egen sårbarhet ifbm fravær av gruppens deltakere. M M L-M M L L-M L-M L-M - Sørge for at ressurser blir allokert til virksomhetenes viktigste målsettinger og initiativer. - Fastslå hvordan virksomheten vurderer risiko relatert til større strategiske initiativer og hvordan det håndterer endring relatert til de initiativene. - Sørge for at internrevisjonen er godt tilpasset selskapets strategi.

10 Utsatt offentlighet jf. Off.lova 14 REVISJONSRAPPORT Revisjon av informasjonssikkerhet og personvern Distribuert til: Styret Universitetsdirektør Deltakere ved intervju Gjennomført av enhet for internrevisjon: Annette Sundsdal (UiA), Rolf Jegervatn (UiS), Kristine Tangen (HiB), Cathrine Vasset Rasmussen (Nord) og IT-revisor Kenneth Høstland (Conferit AS) Stavanger

11 1. Innledning og bakgrunn Denne rapporten reflekterer den overordnede gjennomgangen av informasjonssikkerhet som ble gjennomført hos Universitetet i Stavanger (heretter kalt UiS) i november Arbeidet er forankret i universitetets styregodkjente revisjonsplan for 2016 der revisjonen utføres i samarbeid med internrevisjonen ved Universitetet i Stavanger (UiS), Nord Universitet, og Universitetet i Agder (UiA). Arbeidet er utført som en overordnet anbefalende revisjon av informasjonssikkerhet og personvern ved virksomhetene for å bistå virksomhetene i sitt forbedringsløp innen internkontroll. Rapporten gir en overordnet vurdering av hvorvidt kontroller, dokumentasjon, prosedyrer, prosesser og andre aktiviteter er effektivt gjennomført og vedlikeholdt og oppfyller regulatoriske krav og krav stilt i egne styrings- /ledelsessystemer for informasjonssikkerhet og personvern, samt EUs nye krav til personvern som skal være oppfylt innen mai Kartleggingen er gjennomført ved hjelp av intervju med sentrale personer ved virksomheten og med basis i «beste praksis», i forhold til systematikken i ISO 27001, samt relevante regulatoriske krav, Personopplysningsloven (POL) med forskrift (POF). Målsettingen med revisjonen er å etablere hensiktsmessige styrings- og kontrollmekanismer som balanserer risiko, kontroll og kost/nytte. Videre mål er å sikre at styrings- og kontrollmekanismene fungerer effektivt og som forutsatt, samt at kontrollmekanismene blir dokumentert, og at dokumentasjonen blir systematisert i styrende dokumenter for informasjonssikkerhet. Mål- og resultatstyring er det overordnede styringsprinsipp i all virksomhetsstyring. God mål- og resultatstyring forutsetter at ledelsen er kjent med og håndterer de utfordringer og usikkerheter som kan påvirke måloppnåelsen på en negativ måte. God virksomhetsstyring inneholder for eksempel typisk krav om at all styring, oppfølging, kontroll og forvaltning i virksomheten skal tilpasses virksomhetens egenart samt risiko og vesentlighet. 2. Hovedkonklusjoner Basert på mottatt dokumentasjon og de opplysninger som er fremkommet gjennom intervjuer, er vår konklusjon at UiS har et klart forbedringspotensial innenfor etterlevelse av Personopplysningsloven med forskrift og innen informasjonssikkerhet. IT avdelingen ved UiS holder imidlertid et høyt nivå innen informasjonssikkerhet takket være sertifisering av sitt ledelsessystem / styringssystem etter to ISO sertifiseringer, herunder ISO/IEC 9001:2015 (kvalitetsstyring) og ISO/IEC 27001:2013 (Informasjonssikkerhet). Det er ikke gjennomført revisjon av den tekniske informasjonssikkerheten hos UiS. Internrevisjonen har notert følgende funn i form av avvik og observasjoner; Virksomheten har mangelfull oversikt over hvilke personopplysninger som behandles og hvor disse lagres / hvordan disse opplysningene er sikret, samt under hvilket formål, jf. POF 2-4. Informasjonssikkerhets policy, rutiner, retningslinjer (slik som i forhold til sikker lagring mv) er vanskelig å finne i virksomhetens interne web sider. Noe dokumentasjon som er tilgjengelig er utdatert, slik som Håndbok for behandling av personopplysninger i forskningsprosjekter av

12 Siden virksomheten ikke kan fremskaffe dokumentasjon over «alle endringer med betydning for informasjonssikkerheten» (Jf. POF 2-4), er det uklart hvorvidt det er gjennomført risikovurderinger av informasjonssikkerhet i nødvendig grad. Det er uklart hvorvidt IT strategien er forankret i virksomhetens ledelse. Det er ikke etablert årshjul for sikkerhet på overordnet nivå i virksomheten (IT avdelingen har dette etablert for sin virksomhet). Manglende årshjul for informasjonssikkerhet i virksomheten som et hele gir risiko for manglende fokus og gjennomføring av ulike tiltak for å fremme sikkerheten. Egne sikkerhetstiltak eller sikkerhetstiltak hos databehandlere er ikke gjennomgått, Jf. POF Oversikt over Databehandlere inkluderer ikke underleverandører og UIS har ikke skaffet oversikt over den faktiske sikkerheten hos disse, Jf. POF 2-14, Virksomheten er ikke forberedt med hensyn til etterlevelse av EUs forordning for personvern som blir norsk lov i mai 2018 og vil erstatte POL og POF. Det betyr at man får nye regler for personvern i Norge, som gir virksomheter nye plikter. Personer som får sine personopplysninger registrert får nye rettigheter. De nye personvernreglene vil bety (ikke avgrenset til, jf. vedlagte informasjon fra Datatilsynet): o Personvern skal bygges inn i nye løsninger, det vil si at krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. o Det skal etableres forståelig personvernerklæring, det vil si at informasjon om hvordan virksomheten behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. o Alle skal vurdere risiko og personvernkonsekvenser. Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. o Alle offentlige og mange private virksomheter skal opprette personvernombud. Ombudet kan være en ansatt eller en profesjonell tredjepart. o Reglene gjelder også virksomheter utenfor Europa. o Alle databehandlere får nye plikter. o Alle får nye krav til avvikshåndtering. o Alle må kunne oppfylle borgernes nye rettigheter. 3. Anbefalinger Internrevisjonen vil anbefale at UiS utbedrer de mest alvorlige funn/avvik med relevante tiltak. Dette gjelder særlig følgende prosesser og tiltak: Virksomheten (UiS utenom IT avdelingen) bør videreutvikle sin risikostyring som inkluderer: o Gjennomføring av risikovurderinger ved enhver endring som har betydning for informasjonssikkerheten. o Etablering av et risikoregister der også restrisiko dokumenteres. o Etablering av systematikk for vurdering av restrisiko og risikoenes muligheter («Upside of risk»). o Gjennomføring av risikovurderinger i forhold til mål- og resultatstyringen. Sikkerhetspolicy med tilhørende rutiner, retningslinjer og veiledere bør oppdateres og tilgjengeliggjøres i virksomhetens interne web sider. 3

13 Det overordnede sikkerhetsansvar (CSO) bør forankres tilstrekkelig sentralt i organisasjonen. Imidlertid har virksomheten lagt planer om å besette CSO funksjonen med sentral forankring i virksomhetens ledelse (Administrasjonen). IKT sikkerhetsarkitekturen bør kritisk gjennomgås hos Databehandlere. Det bør etableres Databehandleravtaler som i tillegg til de fokusområder som er omhandlet i forslag til avtale fra UNINETT også inkludere Databehandlers ansvar ved opphør. Databehandler skal som del av ytelsen stille nødvendige tjenester til rådighet i avviklingsperioden, slik at nødvendige handlinger kan gjennomføres uten driftsmessige forstyrrelser for den behandlingsansvarlige. Oversikten over databehandlere bør også inkludere oversikt over alle underleverandørene. Virksomheten bør utarbeide rolle beskrivelser med funksjon, ansvar, oppgaver, samt rollenes tilgangsnivå i ulike fagsystemer. Meldingsarkivet hos NSD bør utvides til å inkludere hvor personopplysningene er lokalisert og hvordan disse er sikret. Etablere hehetlig systemoversikt som også inkluderer (ikke avgrenset til); hvilke type opplysninger systemene inneholder, sikkerhets nivå (hvilken sone), hjemmel for opplysningene, mv. Det bør undersøkes nærmere hvorvidt personopplysninger der konfidensialitet er nødvendig er tilstrekkelig sikret hos Databehandlere i egen IT revisjon. Det bør etableres eget årshjul for informasjonssikkerhet (på overordnet nivå i virksomheten utenom IT avdelingen), og som gjerne kan kombineres / integreres med IT avdelingens øvrige og overordnede fokusområder. I forhold til den nye Personvernforordningen i EU bør virksomheten: o Sette seg inn i de nye reglene og foreta en konsekvens vurdering. o Lage en plan for hvordan virksomheten skal møte de nye reglene. o Sette av ressurser for å kunne etterleve de nye reglene. Det er tilfredsstillende å observere at UiS har: Etablert sikkerhetsmål og strategi (policy). Sterkt fokus på informasjonssikkerhet og deriblant har etablert mandat for prosjekt med å etablere / vitalisere arbeidet med internkontroll. En IT avdeling som er sertifisert innen to omfattende ISO standarder, ISO/IEC 9001:2015 og ISO/IEC 27001:2013. Høy kompetanse innen sikkerhet og stor omstillingsevne. Gjennomført risikovurderinger av både informasjonssikkerhet både ved IT avdelingen og ute i virksomheten. Gjennomført hyppige revisjoner ved IT avdelingen og har gjennomført dette også ved fakultetene. Prosess for etablering av Databehandleravtale med UNINETT, som er igangsatt. Etablert systemoversikt som inkluderer oversikt over systemeiere. Imidlertid er det noen mangler ved denne som nevnt ovenfor. Har god oversikt over avvik relatert til IT avdelingen 4

14 Mer detaljert beskrivelse av funn og anbefalinger er å finne i vedlegget. 4. Gjennomføring, forutsetninger og avgrensninger av IT-revisjonen Det er benyttet erfaring og skjønn sammen med tilgjengelig dokumentasjon fra UiS for en sikkerhetsvurdering av informasjonsforvaltningen ved UiS opp mot «beste praksis» og regulatoriske krav, slik som personopplysningsloven med forskrift. «Beste praksis» (også betegnet «god IT-skikk») bygger bl.a. på CobiT (Control Objectives for Information and Related Technology), utarbeidet av ISACA. ISO/IEC 27001:2013. «God IT-skikk», utarbeidet av ISACA og publisert i Norge av Den norske dataforening. Information Security Forums forskjellige sikkerhetskontroller. 5. Gjennomføring og metode IT-revisor 1 Kenneth Høstland (Conferit AS) ble engasjert av Internrevisjonen for å gjennomgå informasjonssikkerheten og etterlevelse av Personopplysningsloven (POL) med forskrift (POF). IT-revisjonen ble gjennomført med bedriftsbesøk og intervjuer den 23 november 2016 i Stavanger. Det har i tillegg vært oppfølging via e-post og telefon i etterkant av intervjuene. Kartleggingen er gjennomført ved hjelp av intervjuer med sentrale personer ved UiS med basis i «beste praksis» og relevante regulatoriske krav som nevnt ovenfor. Det er foretatt overordnet verifikasjon av informasjonssikkerhet, rutiner og dokumentasjon i form av stikkprøver. Det er ikke benyttet tekniske verktøy i denne revisjonen. 6. Omfang av IT- revisjonen Sikkerhetsstatus og tiltak ble gjennomgått med følgende personer: Navn Funksjon Dato Rolf Jegervatn Internrevisjonsleder Cathrine V. Rasmussen Internrevisor Annette Sundsdal Internrevisor Kristine Tangen Internrevisor Kenneth Høstland IT-revisor (Conferit AS) Marina Davidian IT-direktør Gro Sokn Fakultetsdirektør TN Lone Litlehamar Fakultetsdirektør SV Marianne Gjerlaugsen Rådgiver SV-fakultetet CISA, CRISC 5

15 Ingunn Folgerø Fakultetsdirektør HUM Marianne Trå Rådgiver FOU, HUM FAK John B. Møst Universitetsdirektør Halfdan Hagen HR-direktør Lise Grønnevik Leverandøransvarlig Per Langholm Tjenestekoordinator Tore Wilmar Jakobsen CTO Referanse og underlagsdokumenter Følgende dokumentasjon og underlag er forelagt og vurdert i sikkerhetskartleggingen: Navn på dokument / Beskrivelse/ Dato 1 Hovedanbefalinger fra IT revisjonen hos TN Unix-anlegget Prosessbeskrivelse ansettelser 3 Prosedyre for håndtering av nøkler 4 ROS-vurdering_TN_etter WS_13.11_v092 5 Sammendrag fra møtet i sikkerhetsforum Følgende ble vist på skjerm hos IT avdelingen: 7 Prosjektoversikt 8 IT avdelingens sikkerhets- og kvalitets policy 9 IT avdelingens Sikkerhets- og kvalitetshåndbok 10 Risikoregister 11 Eksempel på risikovurderinger 12 Sikkerhetspolicy for UiS 13 Sonemodellen 14 Avviks oversikt, definisjon og håndtering 15 Kontinuitetsplan for IT med rapport fra test 16 Årshjul sikkerhet IT avdelingen 17 IT strategi 18 Systemoversikten 19 Prosedyre for risikovurderinger 8. Vedlegg IT revisjon UiS_List_of_Findings_v0.9_uPWDokumentasjon fra UiS Informasjon fra Datatilsynet Dokumentasjon fra UiS Cathrine Vasset Rasmussen Kristine Tangen Annette Sundsdal Kenneth Høstland 6

16

17

18

19

20

21

22

23 Nye personvernregler fra Hva betyr det for din virksomhet? Hva blir nytt? 1 Alle norske virksomheter får nye plikter Alle virksomheter må sette seg inn i den nye lov givningen og finne ut hvilke nye plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft. 2 Alle skal ha en forståelig personvernerklæring Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå. 3 Alle skal vurdere risiko og personvernkonsekvenser Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. Hvis utredningen viser at risikoen er stor og dere selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser. 4 Alle skal bygge personvern inn i nye løsninger De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer. 5 Mange virksomheter må opprette personvernombud Alle offentlige og mange private virksomheter skal opprette personvernombud. Et personvernombud er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Ombudet kan være en ansatt eller en profesjonell tredjepart. 6 Reglene gjelder også virksomheter utenfor Europa Virksomheter som holder til utenfor Europa må også følge forordningen, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land. Dette gjelder også om de ikke direkte tilbyr tjenester, men kartlegger adferden til europeiske borgere på nett. De som er etablert i flere land i Europa, skal bare trenge å snakke med personvernmyndighetene i det landet der de har sitt europeiske hovedkvarter. 7 Alle databehandlere får nye plikter Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT-tjenester. De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Oppdragsgiver skal også godkjenne data behandlerens underleverandører. Databehandlere kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiver. 8 Alle bør samarbeide i egne nettverk og følge bransje normer De nye reglene oppmuntrer til sektorvis utforming av retningslinjer og bransjenormer. Om dere følger bransjenormer, vil dere ha de viktigste rutinene på plass. Datatilsynet skal godkjenne bransjenormene. 9 Alle får nye krav til avvikshåndtering Reglene for håndtering av sikkerhetsbrudd blir strengere. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles. Kort sagt skal man si fra raskere og oftere enn man gjør i dag. 10 Alle må kunne oppfylle borgernes nye rettigheter Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Dette kalles «retten til å bli glemt». Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles «dataportabilitet». De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen en måned. Hva bør dere gjøre nå? 1 Ha oversikt over hvilke personopplysninger dere behandler Alle virksomheter som samler inn eller bruker personopplysninger skal ha oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen. Sørg for å ha en slik oversikt. Det er et krav som gjelder også etter dagens lov. 2 Sørg for å oppfylle dagens lovkrav Overgangen til de nye reglene blir lettere om dere etterlever kravene i personopplysningsloven, som gjelder i Norge i dag. Har dere gode rutiner for internkontroll som fungerer etter hensikten og er kjent i organisasjonen, er det lettere å få oversikt over hva dere må endre. 3 Sett dere inn i det nye regelverket Dere finner forordningsteksten på Datatilsynets nettsider. Der fyller vi også på med artikler om de nye reglene etter hvert som vi utarbeider dem. 4 Lag rutiner for å følge de nye reglene Gå gjennom rutinene dere har for behandling av personopplysninger. Oppdater dem etter nytt regelverk der det trengs. Dokumenter de nye rutinene, og legg en plan for nødvendige endringer. Er systemene deres laget for å ivareta kravet til innebygd personvern, dataportabilitet og personvern som standardinnstilling? Klarer dere å fange opp og besvare henvendelser fra borgerne innen én måned? Endringer i systemer og rutiner tar tid. Begynn allerede nå! datatilsynet.no/forordning

Universitetet i Stavanger Styret ved Universitetet i Stavanger

Universitetet i Stavanger Styret ved Universitetet i Stavanger Universitetet i Stavanger Styret ved Universitetet i Stavanger US 97/17 Videreføring av samarbeid internrevisjonen og innspill til revisjonsplan 2018 Saksnr: 15/06999-9 Saksansvarlig: Rolf Jegervatn leder

Detaljer

Nye personvernregler

Nye personvernregler Nye personvernregler Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til

Detaljer

Nye personvernregler

Nye personvernregler Nye personvernregler Agenda Hva er personvern og personopplysninger Bakgrunn for nye personvernregler De viktigste endringene fra idag til 2018 Hva nå? - våre forventninger og råd om veien videre Innledning

Detaljer

Nye personvernreglar Kva betyr det for Seljord kommune?

Nye personvernreglar Kva betyr det for Seljord kommune? Nye personvernreglar Kva betyr det for? Mai 2018 Bakgrunn Alle norske verksemder får nye plikter Alle skal ha ei forståelig personvernerklæring Alle skal vurdere risiko- og personvernkonsekvensar Alle

Detaljer

NORID - Registrarseminar 26. april 2017

NORID - Registrarseminar 26. april 2017 NORID - Registrarseminar 26. april 2017 26.04.2017 Bakgrunn for ny personvernforordning Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den

Detaljer

Universitetet i Stavanger Styret ved Universitetet i Stavanger

Universitetet i Stavanger Styret ved Universitetet i Stavanger Universitetet i Stavanger Styret ved Universitetet i Stavanger US 16/18 Revisjonsplan 2018 og internrevisjonsrapport - revisjon av KD-finansierte ph.d.-stillinger 2017 Saksnr: 15/06999-10 Saksansvarlig:

Detaljer

Hva gjør så KiNS og KS med GDPR?

Hva gjør så KiNS og KS med GDPR? 1 Hva er KiNS Foreningen Kommunal Informasjonssikkerhet KiNS 2003 Over 200 kommuner/fylkeskommuner Samarbeider nært med KS, Datatilsynet, DiFi, NSM, ehelse, Senter for IKT i undervisningen. KiNS arrangerer

Detaljer

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 3 Agenda Hva er personvern og personopplysninger Bakgrunn

Detaljer

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen Nye personvernregler fra mai 2018 - Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen Bakgrunn Ny personvernforordning vedtatt i EU 14. april 2016 Trer i kraft

Detaljer

EUs nye forordning for personvern

EUs nye forordning for personvern EUs nye forordning for personvern Norsk Arkivråds høstseminar, 2. november 2016 Nye personvernregler 1. Om de nye reglene 2. De nye reglene 2 1. Om forordningen Arbeidet startet i 2012 Vedtatt i 2016 og

Detaljer

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen Nye personvernregler fra mai 2018 - Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen Bakgrunn Ny personvernforordning vedtatt i EU 14. april 2016 Trer i kraft

Detaljer

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt Instruks for internrevisjon i Garanti-Instituttet for Eksportkreditt 2005 Side 1 av 5 Internrevisjonsinstruksen setter rammer

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Internrevisjon et samarbeid på tvers

Internrevisjon et samarbeid på tvers Internrevisjon et samarbeid på tvers Med anbefaling om «Best practice» For Universitetet i Stavanger Universitetet i Agder Universitetet i Nordland Høgskolen i Bergen Regler og krav Reglementet for Økonomistyring

Detaljer

Universitetet i Stavanger Styret ved Universitetet i Stavanger

Universitetet i Stavanger Styret ved Universitetet i Stavanger Universitetet i Stavanger Styret ved Universitetet i Stavanger US 72/17 Internrevisjonens rapport sidegjøremål/bierverv ved UiS Saksnr: 15/06999-8 Saksansvarlig: Rolf Jegervatn, Leder for internrevisjonen

Detaljer

Informasjonssikkerhet i forordningen

Informasjonssikkerhet i forordningen Informasjonssikkerhet i forordningen 19.10.2016 Agenda Personopplysninger Bakgrunn om forordningen Dagens krav til informasjonssikkerhet Krav til informasjonssikkerhet i nytt regelverk Thinkstock.com 2

Detaljer

EUs nye forordning for personvern

EUs nye forordning for personvern EUs nye forordning for personvern 22.03.2017 Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger

Detaljer

Personvern i digitalisering av forvaltningen

Personvern i digitalisering av forvaltningen Personvern i digitalisering av forvaltningen En varde av ettertanke «Slik kan man ( ) tenne en varde av ettertanke ved den stadig sterkere automatiseringen innen offentlig forvaltning. Hvordan kontrollerer

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 2 Agenda Hva er personvern og personopplysninger Bakgrunn

Detaljer

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om

Detaljer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel

Detaljer

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 13/09/2017 SAK NR 23-2017 Behandling av personopplysninger - oppfølging av styresak 05-2017 Forslag til vedtak: 1. Styret tar redegjørelsen

Detaljer

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert

Detaljer

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Mottaker: Kunnskapsdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold til lov om Riksrevisjonen

Detaljer

Databehandleravtale for NLF-medlemmer

Databehandleravtale for NLF-medlemmer Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av

Detaljer

Personvern - sjekkliste for databehandleravtale

Personvern - sjekkliste for databehandleravtale ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten

Detaljer

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av Instruks for Konsernrevisjonen Helse Sør-Øst Erstatter instruks av 26.02.2009 Fastsatt av styret i Helse Sør-Øst RHF 07.02.2012 Innhold 1 Konsernrevisjonens formål... 3 2 Organisering, ansvar og myndighet...

Detaljer

Underbygger lovverket kravene til en digital offentlighet

Underbygger lovverket kravene til en digital offentlighet Underbygger lovverket kravene til en digital offentlighet Personvern Hva er det? Side 2 Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 3 Personopplysninger hvor er de? 4 Digitalisering

Detaljer

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen») Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig

Detaljer

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Policy for informasjonssikkerhet og personvern i Sbanken ASA Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer

Detaljer

U N I V E R S I T E T E T I B E R G E N

U N I V E R S I T E T E T I B E R G E N U N I V E R S I T E T E T I B E R G E N Styre: Styresak: Møtedato: Universitetsstyret 101/17 28.09.2017 Dato: 15.09.2017 Arkivsaksnr: 2017/11804 Internrevisjonsplan 2017/2018 Henvisning til bakgrunnsdokumenter

Detaljer

Perspektiver og planer ved Universitetet i Oslo

Perspektiver og planer ved Universitetet i Oslo Perspektiver og planer ved Universitetet i Oslo Nye personvernregler Maren Magnus Jegersberg Juridisk seniorrådgiver UiO Personvern handler om retten til et privatliv og retten til å bestemme over egne

Detaljer

Nye personvernregler fra mai 2018, hva nå?

Nye personvernregler fra mai 2018, hva nå? Nye personvernregler fra mai 2018, hva nå? Agenda Litt om personvern og personopplysninger Bakgrunn for nye personvernregler De viktigste endringene fra i dag til 2018 Hva nå? våre forventninger og råd

Detaljer

Noen aktuelle tema for personvernombud i finans

Noen aktuelle tema for personvernombud i finans Noen aktuelle tema for personvernombud i finans 31.01.2019 HVEM I ALLE DAGER SKAL (VIL?) VÆRE PERSONVERNOMBUD? Uavhengig rolle Kompetent på juss it - sektor Ikke den som bestemmer eller gir råd om prioriteringer

Detaljer

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april 2018 Seniorrådgiver Linda Svendsrud Presentasjon av KS-Konsulent as Visjon Kompetente kommuner lokale løsninger Verdier Utfordrende

Detaljer

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017 Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017 Personvern - Hva er det 3 Hva er personopplysninger? Side 4 5 Viktig nytt i forordningen

Detaljer

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Styret Helse Sør-Øst RHF 14. desember 2017

Styret Helse Sør-Øst RHF 14. desember 2017 Saksframlegg Saksgang: Styre Møtedato Styret Helse Sør-Øst RHF 14. desember 2017 SAK NR 122-2017 ORIENTERINGSSAK - INFORMASJONSSIKKERHET OG PERSONVERN. NY PERSONVERNLOVGIVNING I EU/EØS (GDPR) Forslag til

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Informasjonssikkerhet i UH-sektoren

Informasjonssikkerhet i UH-sektoren Informasjonssikkerhet i UH-sektoren Per Arne Enstad CSO Forum, 13-14 juni 2012 Dagens tekst Bakgrunn Gjennomføring Hvorfor sikkerhetspolicy? Erfaringer så langt Veien videre 2 Bakgrunn Tradisjonelt: Sikkerhet

Detaljer

1. FORMÅL 2. PROFESJONELT GRUNNLAG

1. FORMÅL 2. PROFESJONELT GRUNNLAG Vedlikeholdes av: Chief Compliance Officer Side: 1 av 5 1. FORMÅL Internrevisjonen skal fremme og beskytte GIEKs verdier gjennom å gi risikobaserte og objektive bekreftelser, råd og innsikt. Den skal bidra

Detaljer

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3

Detaljer

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET Sykehuset Innlandet HF Styremøte 29.08.18 SAK NR 061 2018 INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET Forslag til VEDTAK: Styret

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018 Nye personvernregler fra mai 2018 27.04.2017 Datatilsynet Opprettet 1980, lokalisert i Oslo Ca 50 medarbeidere Uavhengig forvaltningsorgan under KMD To roller tilsynsorgan og ombud Regelverk: Personopplysningsloven

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

SUHS konferansen 2013. Infomasjonssikkerhetsspor (CSO)

SUHS konferansen 2013. Infomasjonssikkerhetsspor (CSO) SUHS konferansen 2013 Infomasjonssikkerhetsspor (CSO) Velkommen til SUHS 2013 Gevinstrealisering Hvordan få til gevinstrealisering i arbeidet med informasjonssikkerhet? Er det lett å selge at forhindre

Detaljer

Møteinnkalling - Kontrollutvalget i Høylandet kommune

Møteinnkalling - Kontrollutvalget i Høylandet kommune Møteinnkalling - Kontrollutvalget i Høylandet kommune Arkivsak: Møtedato/tid: 08.03.2018 Kl. 09:00 Møtested: Helsesentret i kommunen Møtedeltakere: Laura Sve Øie Kåre Georg Grongstad Rita Rosendal Johannes

Detaljer

GDPR Ny personvernforordning

GDPR Ny personvernforordning GDPR Ny personvernforordning Sunndalsøra, 1. mars 2018 Vindel morgenseminar Advokat Martin Marsteen Williams 1. Personopplysninger dagens regelverk 2. GDPR/Personvernforordningen 3. Hvordan oppfylle kravene

Detaljer

Styringssystem i et rettslig perspektiv

Styringssystem i et rettslig perspektiv Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet

Detaljer

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering») Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU US 42/2015 Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU Universitetsledelsen Saksansvarlig: Økonomi- og eiendomsdirektør Saksbehandler(e): Jan E. Aldal, Hans Chr Sundby, Siri

Detaljer

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye EUs personvernforordning - hva kreves? #Oppdatert 2017 19. oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye Innhold 1. Personvernforordningen hva er det EU vil og hva er nytt? 2.

Detaljer

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, Utkast instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 08.12.2010 Innhold 1 Internrevisjonens formål... 3 2 Organisering, ansvar og myndighet... 3 3 Oppgaver...

Detaljer

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021 Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018 Ny personopplysningslov Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018 Det det handler om: Personvernforordningen, fortalen, pkt 1 «Vern av fysiske personer i forbindelse med behandling

Detaljer

Ny styringsmodell for informasjonssikkerhet og personvern

Ny styringsmodell for informasjonssikkerhet og personvern Ny styringsmodell for informasjonssikkerhet og personvern Direktoratet for IKT og fellestjenester i høyere utdanning og forskning Rolf Sture Normann CISA, CRISC, ISO27001LI Fagleder informasjonssikkerhet

Detaljer

Innføring av nytt personvernregelverk ved UiO

Innføring av nytt personvernregelverk ved UiO Innføring av nytt personvernregelverk ved UiO PK-nettverket 25.04.2018 Asbjørn Tingulstad Hem juridisk rådgiver USIT Nytt regelverk EU har vedtatt ny personvernforordning General Data Protection Regulation

Detaljer

Instruks for konsernrevisjonen Helse Sør-Øst

Instruks for konsernrevisjonen Helse Sør-Øst Instruks for konsernrevisjonen Helse Sør-Øst Godkjent av revisjonskomiteen Helse Sør-Øst RHF 26.02.2009 Innhold 1 Konsernrevisjonens formål... 3 2 Organisering, ansvar og myndighet... 3 3 Oppgaver... 3

Detaljer

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Forvaltningsrevisjon IKT sikkerhet og drift 2017 Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD

Detaljer

UNIVERSITETET I BERGEN

UNIVERSITETET I BERGEN UNIVERSITETET I BERGEN Styre: Styresak: Møtedato: Universitetsstyret 147/16 20.10.2016 Dato: 06.10.2016 Arkivsaksnr: 2011/12877 Internrevisjon, revisjonsplan 2016/2017 Henvisning til bakgrunnsdokumenter

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Hovedkonklusjon informasjonssikkerhet tillegges større vekt enn tidligere, både kvalitativt og kvantitativt Agenda gjennomgå hovedreglene

Detaljer

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg «GDPR i Bodø kommune» 22. januar 2019 Silje Valberg GDPR 20. juli 2018 ble «GDPR», også omtalt som EUs personvernforordning en del av den norske personopplysningsloven. GDPR viktige endringer: De registrerte

Detaljer

Hva betyr det for din virksomhet?

Hva betyr det for din virksomhet? Nye personvernregler i 2018 Hva betyr det for din virksomhet? I 2018 får Norge nye regler for personvern, når EUs forordning erstatter dagens regelverk. Alle virksomheter som behandler personopplysninger

Detaljer

GDPR - PERSONVERN. Advokat Sunniva Berntsen

GDPR - PERSONVERN. Advokat Sunniva Berntsen GDPR - PERSONVERN Advokat Sunniva Berntsen Hvorfor personvern? Viktig i et demokratisk samfunn EMK artikkel 8 Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.

Detaljer

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr Databehandleravtale I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016 (GDPR), artikkel 28, jf. artikkel 29 og 32-36, inngås følgende avtale mellom

Detaljer

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS Innhold Avtalens hensikt...3 Formål...3 Behandlingsansvarliges plikter...4 Databehandlers plikter...4 Bruk av underleverandør...4 Avtale med

Detaljer

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017 Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017 GDPR kommer! 4 Nye personvernregler - oversikt Bakgrunn / begrunnelse Tilpasning til ny

Detaljer

Personopplysningsvern med ProFundo som databehandler

Personopplysningsvern med ProFundo som databehandler Personopplysningsvern med ProFundo som databehandler 09:00 - Registrering 09:15 - Ny personopplysningslov v/ Therese Fevang 10:00 - Personvernombudsrollen v/ Ove Skåra, fagdirektør, Datatilsynet 10:30

Detaljer

Nye personvernregler Gullik Gundersen juridisk rådgiver

Nye personvernregler Gullik Gundersen juridisk rådgiver Nye personvernregler Gullik Gundersen juridisk rådgiver 19.10.2017 Nye personvernregler 1. Om de nye reglene 2. De nye reglene 3. Hva gjør vi nå? 2 Om de nye reglene 3 Om de nye reglene Kommer fra EU («forordning»)

Detaljer

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING Frokostseminar 25. oktober 2016 V/advokat Christopher Clausen og advokatfullmektig Helene Bjørgo 1 DAGENS LOVGIVNING Personopplysningsloven Sentrale

Detaljer

Nye personvernregler fra 2018

Nye personvernregler fra 2018 Nye personvernregler fra 2018 Agenda Personopplysninger Bakgrunn for nye personvernregler Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Innebygd personvern og DPIA Personvernombud

Detaljer

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 21.09.2017 Agenda Bakgrunn for nye personvernregler De viktigste endringene fra i dag til 2018 Hva nå? våre forventninger og råd

Detaljer

Policy for personvern

Policy for personvern 2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...

Detaljer

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Årsrapport 2014 Internrevisjon Pasientreiser ANS Årsrapport 2014 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Miljøsertifisering etter standarden ISO 14001 om nødvendige dokumenter og prosesser er implementert

Detaljer

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden... Personvern - GDPR Aktualitet - mål Alle virksomheter som behandler personopplysninger - dvs. de fleste - må sørge for å opptre iht. gjeldende personvernlovgivning. Virksomheten er ansvarlig, og kan ikke

Detaljer

Nye personvernregler (GDPR)

Nye personvernregler (GDPR) Nye personvernregler (GDPR) 10.10.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse PVO, internasjonalt

Detaljer

Nye personvernregler fra mai 2018, hva nå?

Nye personvernregler fra mai 2018, hva nå? Nye personvernregler fra mai 2018, hva nå? Agenda Hva er personvern og personopplysninger Bakgrunn for nye personvernregler De viktigste endringene fra i dag til 2018 Hva nå? våre forventninger og råd

Detaljer

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober INFORMASJONSSIKKERHET & GDPR Kundeforum 18.oktober Den nye personvernforordningen GDPR (General Data Protection Regulation) Hvem gjelder den for? Lovverket gjelder for alle EU- og EØS-land og alle bransjer

Detaljer

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse Bakgrunn General Data Protection Regulation (GDPR) ble formelt vedtatt av EU i april 2016 GDPR trer i kraft

Detaljer

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personvern i skyen Medlemsmøte i Cloud Security Alliance Personvern i skyen Medlemsmøte i Cloud Security Alliance 31. oktober 2018 Trond Ericson Agenda Personvern i skyen Kort om Devoteam Kort om GDPR GDPR i skyen Oppsummering Devoteam Fornebu Consulting Devoteam

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern Etableringsplan Internkontroll for informasjonssikkerhet og personvern Innholdsfortegnelse 1 Innledning... 2 2 Formål... 2 3 Informasjonssikkerhet og personvern... 2 4 Etableringsaktiviteter... 3 5 Lenker...

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER Avtale innledning ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER For den behandlingen av personopplysninger som AddSecure utfører på vegne av kundene sine, er AddSecure databehandler for kunden. Hvis du er

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

FULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017

FULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017 FULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017 - I n t r o d u k s j o n - Det er et krav i de internasjonale standarder for profesjonell utøvelse av internrevisjon utgitt av

Detaljer