Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Størrelse: px
Begynne med side:

Download "Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001"

Transkript

1 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC Forholdsmessige krav om sikring av personopplysninger 2-2 Pålegg fra Datatilsynet 2-3 Sikkerhetsledelse 2-3 Sikkerhetsledelse Gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. For manuelle behandlinger som omfattes av personopplysningsloven, gjelder kun de generelle reglene om i lovens 13. Der det er fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet skal de planlagte og systematiske tiltakene som treffes i medhold av forskriften, stå i forhold til sannsynligheten for og konsekvens av sikkerhetsbrudd. Forholdet til Datatilsynet som offentlig tilsynsmyndighet. Eventuelle pålegg eller kriterier for risiko fra Datatilsynet skal følges Virksomhetens mål Formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål. Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene følges. Sikkerhetsstrategi Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende som resultat. Resultatet fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og strategi Planlegging: Tiltak for å håndtere risiko og muligheter Planlegging: Risikovurdering Planlegging: Risikohåndtering 8.2 Drift: Risikovurdering 8.3 Drift: Risikohåndtering Kontroll A.18.2.Revisjon 4.1 Virksomhetens kontekst: Forstå virksomheten og dens kontekst 4.2 Virksomhetens kontekst: Forstå interessenters behov og forventninger Kontroll A Kontakt med myndigheter Kontroll A.18: Samsvar med krav i regelverk og avtalevilkår 5.1 Ledelse: Ledelse og forpliktelse 5.2 Ledelse: Policy 6.2 Planlegging: Mål for og planlegging for å oppnå disse 5.1 Ledelse: Ledelsen og forpliktelse 5.2 Ledelse: Policy 5.3 Ledelse: Virksomhetenes roller, ansvar og myndighet 5.2 Ledelse: Policy 6.2 Planlegging: Mål for og planlegging for å oppnå disse 9.3 Evaluering av gjennomføring: Ledelsens gjennomgang 9.3 Evaluering av gjennomføring: Ledelsens gjennomgang

2 2-4 Risikovurdering 2-5 Sikkerhetsrevisjon 2-6 Avvik Risikovurdering Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for en. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandling av personopplysninger, jf. Første ledd og 2-2. Resultatet av risikovurderingen skal dokumenteres. Sikkerhetsrevisjon Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikker-hetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf Resultat fra sikkerhetsrevisjon skal dokumenteres. Avviksbehandling Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles. Resultat fra avviksbehandling skal dokumenteres. 4 Virksomhetens kontekst Kontroll A.8.1 Forvaltning av aktiva: Ansvar for aktiva Kontroll A.8.2 Forvaltning av aktiva: Klassifisering av informasjon Planlegging: Tiltak for å håndtere risiko og muligheter Planlegging: Risikovurdering Planlegging: Risikovurdering 8.2 Drift: Risikovurdering 8.3 Drift: Risikohåndtering 8.2 Drift: Risikovurdering 8.3 Drift: Risikohåndtering e) Planlegging: Risikovurdering Planlegging: Risikohåndtering Planlegging: Risikovurdering Planlegging: Risikohåndtering 8.2 Drift: Risikovurdering 8.3 Drift: Risikohåndtering 9.1 Evaluering av gjennomføring: Overvåking, 9.2 Evaluering av gjennomføring: Intern revisjon 9.1 Evaluering av gjennomføring: Overvåking, Kontroll A Leverandørforhold: Overvåkning og revisjon av tjenesteleverandør Kontroll A.18.2 Samsvar: Sikkerhetsrevisjon 10: Forbedring Kontroll A.16 Hendelseshåndtering 9.1 Evaluering av gjennomføring: Overvåking, 9.2 Evaluering av gjennomføring: Intern revisjon Kontroll A.16 Hendelseshåndtering Planlegging: Risikohåndtering 8.3 Drift Risikohåndtering Kontroll A Hendelseshåndtering: Læring av sikkerhetshendelser Kontroll A.17.1 Kontinuitetsplan: Kontinuitet Planlegging Risikovurdering 7.4 Støtte: Kommunikasjon 10.1 Forbedring: Avvik og korrigerende tiltak Kontroll A.16 Hendelseshåndtering

3 2-7 Organisering 2-8 Personell 2-9 Taushetsplikt Organisering Det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. Ansvars- og myndighetsforhold skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder. Informasjonssystemet skal konfigureres slik at tilfredsstillende oppnås. Konfigurasjonen skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder. Bruk av informasjonssystemet som har betydning for en, skal utføres i henhold til fastlagte rutiner. Kompetanse og autorisasjon Medarbeidere hos den behandlingsansvarlige skal bare bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk. Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt. Autorisert bruk av informasjonssystemet skal registreres. Taushetsplikt Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. 5.3 Ledelse: Roller, ansvar og myndighet 7 Støtte 5.3 Ledelse: Roller, ansvar og myndighet 7 Støtte 5.2 Ledelse: Policy 7.5 Støtte: Dokumentasjon 5.1 Ledelse: Ledelse og forpliktelse 5.3 Ledelse: Roller, ansvar og myndighet Kontroll A.14 Anskaffelse, utvikling og vedlikehold Kontroll A.14 Anskaffelse, utvikling og vedlikehold 5.3 Ledelse: Roller, ansvar og myndighet Kontroll A Organisering av : Informasjonssikkerhet roller og ansvar Kontroll A Organisering av : Arbeidsdeling Kontroll A.7.2 Personellsikkerhet: Under ansettelsesforholdet Kontroll A.9 Tilgangskontroll Kontroll A.9.2 Styring av brukertilgang 7.2 Støtte: Kompetanse 7.3 Støtte: Bevisstgjøring Kontroll A12.4 Driftssikkerhet: Logging og overvåkning 7.3 Støtte: Bevisstgjøring Kontroll A.7 Personellsikkerhet Kontroll A Personellsikkerhet: Vilkår og betingelser for ansettelse Kontroll A Personellsikkerhet: Disiplinærprosess Kontroll A Personellsikkerhet: Opphør eller endring av ansvar i ansvarsforhold Kontroll A Forvaltning av aktiva: Akseptabel bruk av aktiva Kontroll A Forvaltning av aktiva: Håndtering av aktiva Kontroll A Aksesskontroll: Bruk av hemmelig autentiseringsinformasjon Kontroll A Kommunikasjonssikkerhet: Konfidensialitets- eller taushetserklæringer

4 2-10 Fysisk sikring 2-11 Sikring av konfidensialitet Taushetsplikten skal også omfatte annen informasjon med betydning for en. Fysisk sikring og adgangskontroll Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å behandle personopplysninger etter forskriften her. Sikkerhetstiltakene skal også hindre uautorisert adgang til annet utstyr av betydning for en. Utstyr skal installeres slik at ikke påvirkning fra driftsmiljøet får betydning for behandlingen av personopplysninger. Sikring av konfidensialitet Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. 7.3 Støtte: Bevisstgjøring Kontroll A.7 Personellsikkerhet Kontroll A Personellsikkerhet: Vilkår og betingelser for ansettelse Kontroll A Personellsikkerhet: Disiplinærprosess Kontroll A Personellsikkerhet: Opphør eller endring av ansvar i ansvarsforhold Kontroll A Forvaltning av aktiva: Akseptabel bruk av aktiva Kontroll A Forvaltning av aktiva: Håndtering av aktiva Kontroll A Aksesskontroll: Bruk av hemmelig autentiseringsinformasjon Kontroll A Kommunikasjonssikkerhet: Konfidensialitets- eller taushetserklæringer 7.3.c) Støtte: Bevisstgjøring Kontroll A.6.2 Organisering av : Mobilt utstyr og fjernarbeid Kontroll A.8.3 Forvaltning av aktiva: Håndtering av medier Kontroll A.6.2 Organisering av : Mobilt utstyr og fjernarbeid Kontroll A.8.3 Forvaltning av aktiva: Håndtering av medier Kontroll A.11.2 Fysisk og miljømessig sikkerhet: Utstyr Kontroll A.6.2 Organisering av : Mobilt utstyr og fjernarbeid Kontroll A Driftssikkerhet: Separasjon av miljøer for utvikling, testing og drift Kontroll A.8.2 Forvaltning av aktiva: Klassifisering av informasjon Kontroll A.9 Aksesskontroll Kontroll A.10 Kryptografi Kontroll A Driftssikkerhet: Beskyttelse av logginformasjon Kontroll A.14.1 Anskaffelse, utvikling og vedlikehold av systemer: Sikkerhetskrav til informasjonssystemer Kontroll A.14.3 Anskaffelse, utvikling og vedlikehold av systemer: Testdata Kontroll A.15.2 Leverandørforhold: Styring av leverandørers tjenesteleveranser

5 2-12 Sikring av tilgjengelighet Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for en. Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium utenfor den behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig. For lagringsmedium som inneholder personopplysninger hvor konfidensialitet er nødvendig, skal behovet for sikring av konfidensialitet fremgå ved hjelp av merking eller på annen måte. Dersom lagringsmediet ikke lenger benyttes for behandling av slike opplysninger, skal opplysningene slettes fra lagringsmediet. Sikring av tilgjengelighet og planlegging av alternative løsninger Det skal treffes tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Sikkerhetstiltakene skal også sikre tilgang til annen informasjon med betydning for en. Kontroll A.8.2 Forvaltning av aktiva: Klassifisering av informasjon Kontroll A.9 Aksesskontroll Kontroll A.10 Kryptografi Kontroll A.14.1 Anskaffelse, utvikling og vedlikehold av systemer: Sikkerhetskrav til informasjonssystemer Kontroll A.14.3 Anskaffelse, utvikling og vedlikehold av systemer: Testdata Kontroll A.15.2 Leverandørforhold: Styring av leverandørers tjenesteleveranser Kontroll A.10 Kryptografi Kontroll A.14.1 Anskaffelse, utvikling og vedlikehold av systemer: Sikkerhetskrav til informasjonssystemer Kontroll A.8.2 Forvaltning av aktiva: Klassifisering av informasjon Kontroll A.8.3 Forvaltning av aktiva: Håndtering av medier Kontroll A Fysisk og miljømessig sikkerhet: Sikring av utstyr og aktiva utenfor organisasjonen Kontroll A Forvaltning av aktiva: Avhending av medier Kontroll A Fysisk og miljømessig sikkerhet

6 2-13 Sikring av integritet 2-14 Sikkerhetstiltak Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er utilgjengelig for normal bruk. Personopplysninger og annen informasjon som er nødvendig for gjenoppretting av normal bruk, skal kopieres. Uautoriserte endringer og ødeleggende program Det skal treffes tiltak mot uautorisert endring av personopplysninger der integritet er nødvendig. Sikkerhetstiltakene skal også hindre uautorisert endring av annen informasjon med betydning for en. Det skal treffes tiltak mot ødeleggende programvare. Sikkerhetstiltak Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Kontroll A.12.2 Driftssikkerhet: Beskyttelse mot ødeleggende programvare Kontroll A.16 Styring av sbrudd Kontroll A.12.3 Driftssikkerhet: Sikkerhetskopiering Kontroll A.12.2 Driftssikkerhet: Beskyttelse mot ødeleggende programvare Kontroll A.12.6 Driftssikkerhet: Styring av tekniske sårbarheter 7.3 Bevisstgjøring 8.3 Drift: Håndtering av srisikoene Kontroll A Organisering av : Arbeidsdeling Kontroll A Forvaltning av aktiva: Fysisk overføring av medier Kontroll A.9.2 Aksesskontroll: Styring av brukeraksess Kontroll A.9.4 Aksesskontroll: Kontroll av aksess til systemer og applikasjoner

7 Kontroll A.12.1 Driftssikkerhet: Driftsprosedyrer og ansvar Kontroll A.12.4 Driftssikkerhet: Logging og overvåking 2-15 Sikkerhet hos andre virksomheter Forsøk på uautorisert bruk av informasjonssystemet skal registreres. Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre. Sikkerhetstiltak skal dokumenteres. Sikkerhet hos andre virksomheter Den behandlingsansvarlige skal bare overføre personopplysninger elektronisk til den som tilfredsstiller kravene i forskriften her. Den behandlingsansvarlige kan overføre personopplysninger til enhver dersom overføringen skjer i samsvar med reglene i POL 29 og 30, eller når det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register (gjelder overføring til utlandet). Kontroll A.9 Aksesskontroll Kontroll A Organisering av : Arbeidsdeling Kontroll A.9.2 Aksesskontroll: Styring av brukeraksess Kontroll A.9.4 Aksesskontroll: Kontroll av aksess til systemer og applikasjoner 7.5 Støtte: Dokumentert informasjon 4.1 Virksomhetens kontekst: Fostå organisasjonens og dens kontekst 4.2 Virksomhetens kontekst: Forstå interessepartners behov og forventninger 5.1 Ledelse: Ledelse og forpliktlese 6 Planlegging Kontroll A Kommunikasjonssikkerhet: Avtaler om informasjonsoverføring Kontroll A Kommunikasjonssikkerhet: Konfidensialitets- eller taushetserklæringer Kontroll A Anskaffelse, utvikling og vedlikehold av systemer: Behovsanalyse og beskrivelse av krav til Kontroll A Anskaffelse, utvikling og vedlikehold av systemer: Utkontraktert utvikling Kontroll A Anskaffelse, utvikling og vedlikehold av systemer: Systemakseptansetest Kontroll A.16:1.3 Styring av brudd: Rapportering av svakheter i en Kontroll A Samsvar: Identifisering av gjeldende lovgivning og kontraktsmessige krav beskyttelse av personlig identifiserbar informasjon Kontroll A Samsvar: Samsvar med policyer og standard for sikkerhet 6.2 Planlegging: Informasjonssikkerhetsmål og planlegging for å oppnå disse

8 2-16 Dokumentasjon Leverandører som gjennomfører sikkerhetstiltak, eller gjør annen bruk av informasjonssystemet på den behandlingsansvarliges vegne, skal tilfredsstille kravene i dette kapittelet. Den behandlingsansvarlige skal etablere klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører. Ansvars- og myndighetsforhold skal beskrives i særskilt avtale. Den behandlingsansvarlige skal ha kunnskap om sikkerhetsstrategien hos kommunikasjonspartner og leverandører, og jevnlig forsikre seg om at strategien gir tilfredsstillende. Dokumentasjon og lagring av rutiner og logger med hensyn til bruk av informasjonssystemene Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for en, skal dokumenteres. Dokumentasjon skal lagres i minst 5 år fra det tidsdokumentet ble erstattet med ny gjeldende utgave. Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registreringer av alle andre hendelser med betydning for en. 7 Støtte 5.3 Ledelse: Virksomhetens roller, ansvar og myndighet 7.5 Støtte: Dokumentert informasjon 9.1 Evaluering av gjennomføring: Overvåkning, Kontroll A.12.4 Driftssikkerhet: Logging og monitorering 4.2 Virksomhetens kontekst: Forstå interessepartners behov og forventninger 9.1 Evaluering av gjennomføring: Overvåkning, 4.2 Virksomhetens kontekst: Forstå interessepartners behov og forventninger 9.1 Evaluering av gjennomføring: Overvåkning, Kontroll A.9 Aksesskontroll 3-1 Systematiske tiltak for behandling av personopplysninger Systematiske tiltak for behandling av personopplysninger 3-1, 1. ledd, 1. setn. Den behandlingsansvarlige skal etablere intern-kontroll i samsvar med personopplysningsloven , 1. ledd, 2. setn. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av personopplysningsloven, med særlig vekt på bestemmelser gitt i medhold av personopplysningsloven , 2. ledd Internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner, samt ha denne dokumentasjonen tilgjengelig for de den måtte angå.

9 3-1, 3. ledd Den behandlingsansvarlige skal også ha rutiner for oppfyllelse av sine plikter og de registrertes rettigheter etter det til enhver tid gjeldende personvernregelverk, herunder ha rutiner for: 3-1 a) innhenting og kontroll av de registrertes samtykke, jf. personopplysningloven 8, 9 og 11, 3-1 b) vurdering av formål med behandling av personopplysninger i samsvar med personopplysningsloven 11 bokstav a, 3-1 c) vurdering av personopplysningenes kvalitet i forhold til det definerte formålet med behandling av opplysningene, jf. personopplysningsloven 11 bokstav d og e, 27 og 28, samt oppfølging av eventuelle avvik, 3-1 d) oppfyllelse av begjæringer om innsyn og informasjon, jf. Personopplysningsloven 16 til 24, 3-1 e) oppfyllelse av krav fra den registrerte om reservasjon mot visse former for behandling av personopplysninger, jf. Personopplysningsloven 25 og 26, 3-1 f) oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt, jf. Person-opplysningsloven 31 til 33. g) iverksettelse eller opphør av behandling, h) for sletting av personopplysninger, i) for utlevering av personopplysninger til andre, j) for oppfyllelse av plikt til informasjon, k) innsyn, retting og supplering Dispensasjon Datatilsynet kan dispensere fra hele eller deler av dette kapittelet når særlige forhold foreligger. Avklaringer om eventuelle forhold som kan ha betydning for Evaluering av gjennomføring: Intern revisjon

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

IKT-sikkerhet og sårbarhet i Risør kommune

IKT-sikkerhet og sårbarhet i Risør kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland-6jerstad-Grimstad-Lillesand-Riser-Tvedestrand-Vegarshei-knii 12-\ cx - IKT-sikkerhet og sårbarhet i Risør kommune Forvaltningsrevisjonsrapport - november

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Informasjon interesseorganisasjoner

Informasjon interesseorganisasjoner Informasjon interesseorganisasjoner Behandling av personopplysninger ved gjennomføring av arbeidsrettede tiltak for NAV Implementering av databehandleravtale mellom tiltaksarrangør og NAV Datatilsynet

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom Oslo kommune Velferdsetaten Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom Velferdsetaten Org.nr: behandlingsansvarlig og Org.nr.:

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises

Detaljer

Databehandleravtale etter personopplysningsloven m.m

Databehandleravtale etter personopplysningsloven m.m Databehandleravtale etter personopplysningsloven m.m Databehandleravtale I henhold til personopplysningsloven 13, jf. 15 og personopplysningsforskriftens kapittel 2. Avtalen omhandler også håndtering av

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00320 Dato for kontroll: 05.06.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Høyre Utarbeidet av: Knut-Bredee Kaspersen Sted: Oslo 1 Innledning Datatilsynet gjennomførte

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER) Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013. Brønnøy kommune Rådmannen Rådhuset 8905 BRØNNØYSUND Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00452-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport - Brønnøy kommune

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010. Fjell kommune Postboks 184 5342 STRAUME Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01137-9/RTH 27. februar 2012 Avslutning av sak - kontroll hos Fjell kommune- Internkontroll og informasjonssikkerhet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom.. (barnehagen) og MyKid AS. (databehandler) 1. Avtalens hensikt

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015 PRAKTISK ARBEID MED RUTINER Normkonferansen Scandic Ørnen, 15. oktober 2015 RÅDMANNSMØTET 09.10.2013 ER DERE KLAR FOR EN HEMMELIGHET? Arbeidsseminar Internkontrollsystem for informasjonssikkerhet MANDAG

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02 Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr:

Detaljer

Plan for informasjonssikkerhet Bjugn kommune

Plan for informasjonssikkerhet Bjugn kommune Plan for informasjonssikkerhet Bjugn kommune Våren 2015 1 Innledning...3 Overordnet mål...4 Delmål...4 Grunnkrav...4 System for oversikt behandlinger...4 Akseptkriterier...4 System for behandling av avvik...5

Detaljer

VI BYGGER NORGE MED IT.

VI BYGGER NORGE MED IT. VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

HOVEDHÅNDBOK FOR INFORMASJONSSIKKERHET HARSTAD KOMMUNE. Versjon 3.04

HOVEDHÅNDBOK FOR INFORMASJONSSIKKERHET HARSTAD KOMMUNE. Versjon 3.04 HOVEDHÅNDBOK FOR INFORMASJONSSIKKERHET I HARSTAD KOMMUNE Versjon 3.04 Innholdsfortegnelse 1. DEFINISJONER... 1 2. FORMÅL... 4 3. GRUNNLAG... 4 4. SIKKERHETSORGANISERING OG ANSVARSFORDELING... 4 4.1 LOVEN...

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet Fiskeridirektoratet Postboks 185 Sentrum 5804 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) 11/7937 13/00201-8/HHU 26. juni 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Lagring av forskningsdata i Tjeneste for Sensitive Data

Lagring av forskningsdata i Tjeneste for Sensitive Data AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Lagring av forskningsdata i Tjeneste for Sensitive Data Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer. 1

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer