Endelig kontrollrapport

Størrelse: px
Begynne med side:

Download "Endelig kontrollrapport"

Transkript

1 Saksnummer: 13/00328 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Gjensidige Forsikring ASA Sted: Lysaker Utarbeidet av: Marius Engh Pellerud Cecilie Rønnevik 1 Innledning Datatilsynet gjennomførte kontroll hos Gjensidig Forsikring 14. mai Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med undersøkelser som foretas for å avdekke svik eller forsøk på svik i forsikringsforholdet, såkalt utredningsvirksomhet. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet atilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Til stede under kontrollen Fra virksomheten - Erik Jordet, fungerende behandlingsansvarlig og daglig ansvarlig for virksomhetens behandling av personopplysninger - Espen Jul Larsen, leder Konsernsikkerhet - Stein Ove Kjennvold, produktsjef Produkt og pris - Ole Hermansen, leder Utreder person Fra Datatilsynet - Kathrine Ekeberg, rådgiver - Cecilie Rønnevik, fagdirektør - Marius Engh Pellerud, rådgiver 1 av 23

2 Innhold 1 Innledning Til stede under kontrollen Generelt Datatilsynets kontroll i sak 10/ Om behandling av personopplysninger i forbindelse med utredningsvirksomhet Nærmere om utredningsvirksomheten Opprettelse av sak Søk i virksomhetens egne registre og opplysninger Søk i opplysninger som er allment tilgjengelige Tekniske undersøkelser Innhenting av opplysninger iht fullmakt Utredningssamtale Vitneforklaringer Skjult observasjon (spaning) Når saken er ferdig utredet Funn og avvik fra lovbestemte krav til behandling av personopplysninger Personopplysningslovens virkeområde Det saklige virkeområdet Forholdet til andre lover særlig om forsikringsavtaleloven Personopplysningslovens krav til behandling av personopplysninger Internkontroll Behandlingsgrunnlag for utredningsvirksomheten ( 11 jf 8 og 9) Relevans, nødvendighet og kvalitet ved utredningsvirksomheten ( 11) Sletting ( 11 jf 28) Krav om informasjon og innsyn ( 18 flg) Databehandleravtaler ( 15) Konsesjon ( 33) Krav om informasjonssikkerhet Sikkerhetsledelse, mål og strategi Risikovurdering Sikkerhetsrevisjon Avvikshåndtering/sikkerhetsbrudd Sikkerhetstiltak av 23

3 3 Generelt Gjensidige er et norsk konsern med filialer i Sverige og Danmark. Virksomheten er delt inn i seks forretningsområder innen skadeforsikring, pensjon og sparing og bank. Foreliggende kontroll var i utgangspunktet avgrenset til forsikringsvirksomheten, og da særlig den utredningsvirksomheten som skjer for å avdekke svik eller forsøk på svik i forsikringsforholdet. Under kontrollen fremkom det imidlertid opplysninger som er relevante ut over dette. Det gjelder konkret kravet til internkontroll, som er behandlet i rapportens kapittel 6.2. Utredningsvirksomheten er i hovedsak lagt til en spesialenhet ved Oppgjør Ting i Oppgjør og IKT (for tingskadesaker) og til utrederenheten i Personskade Norden (for personskadesaker). Utredningsvirksomhet har tradisjonelt vært utført av det tradisjonelle oppgjørsmiljøet. I de seneste 10 årene har utredningsvirksomheten vokst, og det har vært behov for flere og mer spesialiserte ansatte. Det er i dag 19 utredere på tingskader og fire utredere på personskader. Utrederne er i all hovedsak tidligere ansatte i politiet, med politifaglig utdannelse og etterforskningskompetanse. De er geografisk plassert i virksomhetens lokale oppgjørsenheter på fire ulike steder i landet, og på virksomhetens hovedkontor på Lysaker. På oppdragsbasis benyttes også utredere som ikke er ansatt i virksomheten. Også disse er tidligere ansatte i politiet. Kontakten formidles via FNO, som administrerer en egen «pool» av etterforskere som står til bransjens disposisjon. I 2012 ble det tilbakeholdt 140 millioner kroner i erstatning som følge av at Gjensidige avdekket svik. I tillegg kommer fortjeneste som følge av at resultater fra utredningsvirksomheten også benyttes til blant annet avkortning og regress. 4 Datatilsynets kontroll i sak 10/00236 Datatilsynet gjennomførte en kontroll av Gjensidige Forsikring BA i Kontrollen var spesielt rettet mot virksomhetens innhenting og videre behandling av helseopplysninger ved inngåelse av avtaler om barneforsikring, jf tilsynets varsel om kontroll og kontrollrapport av 4. august Kontrollen avdekket at personopplysningene ikke ble slettet i tråd med pkt 5 i Datatilsynets konsesjon av 22. juli Dette gjaldt konkret opplysninger om potensielle kunder, når det er avklart at forsikringstilbudet ikke blir benyttet. Det ble heller ikke slettet opplysninger fra etablerte forsikringsforhold, når lovpålagt oppbevaringsplikt bortfalt (etter ti år). Den 4. august 2010 fattet Datatilsynet vedtak om at Gjensidige må slette opplysninger i samsvar med forsikringskonsesjonens pkt 5. 3 av 23

4 I brev av 15. juni 2011 erklærte virksomheten at det hadde innført sletterutiner i samsvar med tilsynets vedtak. Datatilsynet avsluttet derfor kontrollsaken. Med bakgrunn i de funn som er beskrevet i foreliggende rapport har Datatilsynet gjenåpnet den tidligere kontrollsaken, og bedt om en ny redegjørelse for hvordan pålegget ble etterlevd. Den tidligere kontrollen vil likevel nevnes sporadisk i foreliggende rapport, der den er relevant. 5 Om behandling av personopplysninger i forbindelse med utredningsvirksomhet Gjensidiges utredningsvirksomhet har til formål å kontrollere både at forsikringsavtaler inngås på riktige vilkår, og at et eventuelt oppgjør blir korrekt. Utredningsvirksomhet finner sted både i forbindelse med avtaleinngåelse, og i forbindelse med eventuelle oppgjør. Det gjøres blant annet undersøkelser for å avdekke brudd på opplysnings- og meldeplikter hos forsikringstager, den sikrede og den som fremmer krav. Det gjøres også undersøkelser for å avdekke om forsikringstilfeller er fremkalt av den sikrede, og om det foreligger grunnlag for regresskrav mot andre personer eller virksomheter. Utredninger iverksettes normalt med bakgrunn i: - Analyser av opplysninger i virksomhetens informasjonssystemer - Tips eller oppdrag fra egne ansatte (typisk kundebehandlere) - Tips fra eksterne (typisk naboer, politiet og andre virksomheter) 5.1 Nærmere om utredningsvirksomheten Utredningsvirksomheten består av ulike tiltak, gjerne i kombinasjon. Det ble ikke fremlagt dokumenterte rutiner som beskriver beslutningsprosessen bak eller gjennomføringen av de ulike tiltakene. Nedenstående beskrivelse er i hovedsak basert på opplysninger som ble gitt muntlig under kontrollen Opprettelse av sak Når en utreder mottar et tips som vurderes slik at det kan være holdbart opprettes utredningssaken i systemet ESS (tidligere omtalt som «SKUR») Søk i virksomhetens egne registre og opplysninger Det blir gjort søk i egne informasjonssystemer for å få et bilde av kundens historikk som forsikringstaker. Gjensidige bruker systemet S2000 til administrasjon av salg, avtaleforvaltning og oppgjør. Her gjøres det oppslag i kundens historikk i Gjensidige. Det gjøres også søk i FNOs registre ROFF (Register over forsikringssøkere og forsikrede) og FOSS (Forsikringsselskapenes sentrale skaderegister) med samme formål. 4 av 23

5 Det gjøres søk i systemet KLE (Kunde, Logg og engasjement). Dette erstattes nå av systemet Dynamic. Her ligger informasjon om kundehenvendelser og virksomhetens kunderådgivning. I tillegg kan utrederne be om notater fra kunderådgiveres kontakt med kunde Søk i opplysninger som er allment tilgjengelige Det blir også gjort søk i opplysninger som er allment tilgjengelige, typisk på internett. Blant annet blir det gjort søk på åpne Facebook-profiler Tekniske undersøkelser Det gjøres undersøkelser av åsteder og på gjenstander som er relevante for forsikringstilfellet, typisk på en branntomt. Disse gjennomføres og dokumenteres normalt av takstmenn Innhenting av opplysninger iht fullmakt Det hentes inn opplysninger i henhold til den fullmakten som er gitt i tilknytning til egenerklæringsskjemaet. Det dreier seg typisk om helseopplysninger fra behandlende helsepersonell Utredningssamtale 1 Forsikringstager, den sikrede og/eller den som fremmer et krav møter til utredningssamtale, for å avgi en nærmere forklaring i saken. Innkallingen skjer normalt pr telefon. Under kontrollen ble det forklart at slike samtaler er frivillige, og at det normalt opplyses om dette, men at det blir stilt spørsmål ved hvorfor man ikke ønsker å gjennomføre en slik samtale. Det brukes lydopptak for å dokumentere samtalen, dersom den som er innkalt har samtykket til det. Dette gjelder også for samtaler som gjøres pr telefon. Det gjøres skjult lydopptak i saker som omhandler trusler, truende adferd og vold mot virksomhetens ansatte, eller dersom informasjonen om at det gjøres lydopptak vil hemme informasjonsinnhentingen. Dette gjelder både telefonsamtaler og ved fremmøte. Dersom det ikke brukes lydopptak lages det et referat av samtalen, som skal godkjennes av den som var inne til samtale. Utredningssamtalen resulterer i to dokumenter: egenrapport i skadesak og rapport i skadesak Vitneforklaringer Det hentes inn ytterligere opplysninger fra tipsere eller andre som antas å ha relevant informasjon. Vitneforklaringer skjer ifølge selskapet på samme måte som utredningssamtaler (jf pkt ) Skjult observasjon (spaning) Det gjennomføres skjult observasjon av personer, steder, ting og hendelser. Det ble under kontrollen opplyst at dette bare gjøres dersom man har gjennomført andre tiltak uten at det har 1 Utredningssamtaler er også benevnt som konfrontasjonssamtaler i virksomhetens egne dokumenter 5 av 23

6 gitt nødvendig avklaring, eller det ellers er klart at andre tiltak ikke vil gi nødvendig avklaring. Beslutningen om at det skal iverksettes observasjon treffes ikke av den enkelte utreder, men drøftes av lederne i utredningsavdelingene. Endelig beslutning om skjult observasjon gjøres av direktør for Oppgjørsavdelingen. Utrederne benytter foto og videofilming for å dokumentere observasjonene. Det skrives også en observasjonslogg som i detalj beskriver hvem og hva som ble observert, samt tid og sted for observasjon. Et eksempel er i anonymisert form lagt ved denne rapporten. 5.2 Når saken er ferdig utredet Dersom saken er vurdert til ikke å være et tilfelle av svik går saken tilbake til kundebehandler, for avtaleinngåelse eller utbetaling. Ved avtaleinngåelse kan utredningen få betydning for de nærmere vilkårene, herunder at det gjøres reservasjoner i dekningen. Det kan også medføre at Gjensidige helt avslår å inngå forsikringsavtale. Dersom utredningen viser svik skriver utreder en innstilling til avslagsbrev. Avslaget kan være helt eller delvis (nedsatt). Denne innstillingen sendes skadevurderingsutvalget (SVU) i Gjensidige. Dersom SVU vurder det slik at saken står seg og svik kan påvises blir det sendt et avslagsbrev. Det gis normalt ikke informasjon om hvilke utredningstiltak som er gjennomført, annet enn at det oversendes referat fra samtaler som vedkommende eventuelt har vært til stede i. 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Personopplysningslovens virkeområde Det saklige virkeområdet Gjensidige har lagt til grunn at skjult observasjon og film- og lydopptak ikke er underlagt noen rettslig regulering. Datatilsynet finner det imidlertid klart at virksomhetens behandling av personopplysninger i forbindelse med utredningsvirksomhet som beskrevet i kapittel 5, i sin helhet faller innenfor lovens saklige virkeområde. Personopplysningslovens bestemmelser gjelder for behandling av personopplysninger som skjer helt eller delvis med elektroniske hjelpemidler, og annen behandling når opplysningene inngår i eller skal inngå i et personregister, jf personopplysningsloven 3 første ledd litra a og b. I nesten alle deler av utredningsvirksomheten blir det behandlet personopplysninger ved bruk av elektroniske hjelpemidler eksempelvis elektroniske tekstbehandlingssystemer. For de (eventuelle) manuelle behandlingenes vedkommende er formålet åpenbart å samle opplysninger som er ment å skulle inngå i ett eller flere personregistre hos Gjensidige. Dette 6 av 23

7 gjelder også for opplysninger som hentes inn ved skjult observasjon og i utredningssamtaler, med eller uten bruk av film- og/eller lydopptak Forholdet til andre lover særlig om forsikringsavtaleloven Personopplysningslovens bestemmelser gjelder «om ikke annet følger av særskilt lov som regulerer behandlingsmåten», jf dennes 5. Personopplysningslovens bestemmelser gjelder utfyllende. Dette innebærer at eventuell særlovgivning går foran personopplysningsloven ved kollisjon mellom regelsettene. Forsikringsavtaleloven regulerer avtalepartenes rettigheter og plikter i et forsikringsforhold. Loven inneholder enkelte bestemmelser om forsikringsselskapets behandling av personopplysninger og den enkeltes rettigheter i den forbindelse, herunder ved innhenting av personopplysninger ved avtaleinngåelse og i forbindelse med oppgjør. Forholdet til forsikringsavtaleloven vil bli vurdert ved gjennomgangen av de ulike pliktene som personopplysningsloven oppstiller (pkt 6.2 flg). 6.2 Personopplysningslovens krav til behandling av personopplysninger Internkontroll I henhold til personopplysningsloven 14 plikter Gjensidige å etablere og holde ved like planlagte og systematiske tiltak som er nødvendige for oppfylle de øvrige kravene i loven. Tiltakene skal være dokumenterte. Før kontrollen ba Datatilsynet om å få oversendt virksomhetens dokumentasjon på etterlevelse av internkontrollplikten, særlig hva gjaldt utredningsvirksomheten. Tilsynet mottok følgende dokumenter: Instruks for behandling av personopplysninger (datert 11. april 2013) Personopplysninger ved utredninger (datert 31. januar 2013) FNOs felles etiske retningslinjer ved utredning av svindel og kriminalitet rettet mot forsikringsbransjen (datert juni 2011) Under kontrollen mottok Datatilsynet også to andre dokumenter som er relevante for internkontrollplikten ved utredningsvirksomhet. Det var «Retningslinjer for observasjon som metode ved utredning og bruk av foto/video som dokumentasjon» og «Retningslinjer for bruk av lydopptak ved samtaler i forbindelse med utredning». Begge er datert 13. desember Under kontrollen ble det forklart at det var etablert rutiner i utredningsenhetene for hvordan utredningsvirksomheten skulle gjennomføres i praksis, men at disse ikke var skriftlige. Det ble heller ikke ført noen systematisk kontroll med hvorvidt og hvordan disse ble etterlevd. Etter kontrollen mottok Datatilsynet instruksen «Konsernkrav informasjonssikkerhet». Enkelthetene i alle disse dokumentene vil bli vurdert opp mot personopplysningslovens grunnkrav til behandling av personopplysninger, samt dens bestemmelser om de registrertes 7 av 23

8 rettigheter og om informasjonssikkerhet mv (jf punkt flg og 6.3). Først vil vi knytte generelle kommentarer til de ulike dokumentene som er fremlagt, opp mot internkontrollplikten etter personopplysningslovens Om «Instruks for behandling av personopplysninger» I henhold til det opplyste 2 er dette en instruks som «gjelder generelt og for hele konsernet». Sammen med de felles etiske retningslinjer utgjør dette dokumentet «rammeverket ved behandling av personopplysninger i forbindelse med utredningsvirksomheten». Datatilsynet vil bemerke at dokumentet er svært generelt utformet, og antas å gi ingen eller liten veiledning for de ansatte ved behandling av personopplysninger. Dokumentet er etter sin form og omfang betydelig mangelfullt, og ikke egnet til å holde tilfredsstillende kontroll med egen virksomhet. For en virksomhet av Gjensidiges art og størrelse må det kunne forventes at det er etablert konkrete gjennomførende og kontrollerende rutiner knyttet til alle de ulike behandlinger som finner sted i virksomheten. Det innebærer normalt en angivelse av hvilke personer/roller i virksomhetene som skal gjøre nærmere angitte oppgaver og til hvilken tid (gjennomførende rutine). Det må også forventes at det etableres rutiner for å kontrollere hvorvidt de gjennomførende rutinene etterleves i praksis (kontrollerende rutiner), og et egnet system for avvikshåndtering og regelmessig revisjon av rutinene. Datatilsynet mener det er særlig bekymringsfullt at dette dokumentet ligger til grunn for all behandling av personopplysninger i Gjensidigekonsernet - ikke bare utredningsvirksomheten, men for eksempel også forsikringsvirksomheten generelt, bankvirksomheten og behandling av opplysninger om egne ansatte Om FNOs «Felles etiske retningslinjer» Datatilsynet vil bemerke at dette dokumentet er svært generelt utformet, idet det viser til standarder som «god forretningsskikk» og «faglig forsvarlig». Det antas ikke å gi noen praktisk veiledning til Gjensidiges ansatte, ved deres behandling av personopplysninger. Dokumentet antas etter dette å være uten relevans ved vurdering av internkontrollplikten, eller øvrige plikter etter loven Om «Personopplysninger ved utredninger» Under kontrollen fremkom det at dette dokumentet ikke er en del av internkontrollen, men er satt opp rett i forkant av denne kontrollen for å gi tilsynet en oversikt over virksomhetens ulike behandlinger og informasjonssystemer. Dokumentet antas etter dette å være uten relevans ved vurdering av internkontrollplikten, eller øvrige plikter etter loven Om «Retningslinjer for bruk av observasjon som metode ved utredning og bruk av foto/ video som dokumentasjon» og «Retningslinjer for bruk av lyd- og bildeopptak» Gjensidige har vurdert at behandling av personopplysninger som skjer ved hjelp av lyd- og bildeopptak, og i forbindelse med skjult observasjon, ikke er rettslig regulert. 2 Gjensidiges brev av 3. mai 2013 til Datatilsynet. 8 av 23

9 Datatilsynet mener imidlertid at personopplysningslovens bestemmelser kommer til anvendelse på utredningsvirksomheten i sin helhet, jf denne rapportens om personopplysningslovens saklige virkeområde. Det innebærer at det skulle ha vært etablert internkontrollsystem for å sikre at alle lovens bestemmelser ble etterlevd, også når disse metodene tas i bruk Om «Konsernkrav informasjonssikkerhet» Dokumentet legger overordnede føringer på all behandling av personopplysninger i Gjensidige med datterselskaper. Her beskrives hvilke rutiner, regler og systemer som skal etableres, men gir ingen detaljert beskrivelse av hvordan dette gjennomføres. De enkelte delene av dokumentet er nærmere vurdert i denne kontrollrapportens del Konklusjon om internkontrollplikten Under kontrollen spurte tilsynet gjentatte ganger om hvorvidt det forelå andre dokumenterte rutiner enn de som tilsynet hadde fått fremlagt. De som var til stede under kontrollen kunne ikke vise noen slike rutiner. Det kunne heller ikke de ansatte som ble intervjuet under kontrollen. Datatilsynet har kommet til at det foreligger store og alvorlige mangler ved Gjensidiges etterlevelse av internkontrollplikten etter personopplysningslovens 14. Dette gjelder for virksomhetens behandling av personopplysninger generelt, og for undersøkelsesvirksomheten spesielt. Det foreligger også mangler ved internkontrollplikten knyttet til informasjonssikkerhet, blant annet når det gjelder manglende gjennomføring av risikovurderinger, utstrakt lagring av personopplysninger med behov for konfidensialitetsbeskyttelse på filområder og manglende beskyttelse av personopplysninger ved bruk av e-post. Mangelfullt internkontrollsystem gjør det vanskelig for Datatilsynet når det skal kontrollere hvorvidt de øvrige vilkårene i loven etterleves. Tilsynet har allikevel valgt å knytte enkelte kommentarer til virksomhetens ivaretagelse av de øvrige pliktene etter loven. Dette gjøres med utgangspunkt i «Instruks for behandling av personopplysninger» og de verifikasjoner som ble gjennomført under kontrollen Behandlingsgrunnlag for utredningsvirksomheten ( 11 jf 8 og 9) I henhold til personopplysningsloven 11 a skal enhver behandling av personopplysninger ha et behandlingsgrunnlag etter 8. Dersom det behandles sensitive personopplysninger kommer også de skjerpede vilkårene i 9 til anvendelse. I Datatilsynets konsesjon av 22. juli 2005 til Gjensidige er det bestemt at det primære behandlingsgrunnlaget skal være samtykke fra den registrerte, jf personopplysningslovens 2 nr 7. Det er videre bestemt at samtykket skal være skriftlig. Krav om samtykke gjelder likevel ikke dersom behandlingen kan hjemles i et av de øvrige behandlingsgrunnlagene i 8 og 9. Det er ikke særskilt angitt hvilke(t) behandlingsgrunnlag som er aktuelt for utredningsvirksomheten. 9 av 23

10 I virksomhetens «Instruks for behandling av personopplysninger» av 11. april 2013 er det beskrevet ulike behandlingsgrunnlag, uten at det er vurdert konkret hvilke(t) grunnlag som eventuelt kan hjemle undersøkelsesvirksomheten (eller andre behandlinger) hos Gjensidige. Under kontrollen ble det i tillegg vist til forsikringsavtalelovens bestemmelser, og antydet at utredningsvirksomheten hadde hjemmel i denne lov. Denne vurderingen var ikke dokumentert. Da virksomheten ikke selv har foretatt dokumenterte vurderinger av om det foreligger behandlingsgrunnlag for utredningsvirksomhet, hvilke de er og hvor langt de eventuelt rekker, er det vanskelig for Datatilsynet å kontrollere og konkludere om hvorvidt selskapet følger loven på dette punktet. Tilsynet vil likevel gjøre noen vurderinger av aktuelle behandlingsgrunnlag Samtykke som behandlingsgrunnlag ( 8 jf 9a) Samtykke ofte er ansett å være det foretrukne behandlingsgrunnlaget for behandling av personopplysninger. I forbindelse med avtaleinngåelse og ordinært oppgjør vil samtykke kunne være et hensiktsmessig behandlingsgrunnlag. Samtykket må imidlertid anses å være mindre egnet for utredningsvirksomhet som har til hensikt å avdekke svik og andre lov- og avtalebrudd. Det vises til at deler av virksomheten holdes skjult for den registrerte (skjult observasjon, skjult lydopptak og innhenting av vitneforklaringer). For den utredningsvirksomheten som ikke er skjult, vil i tillegg kravet til at samtykket skal være frivillig bli kraftig utfordret Forsikringsavtaleloven som behandlingsgrunnlag ( 8 jf 9b) Forsikringsavtaleloven har en rekke bestemmelser som pålegger forsikringstakeren, den sikrede og den som fremmer krav opplysnings- og meldeplikter. Datatilsynet vurderer at slike bestemmelser gir Gjensidige rettslig grunnlag for å innhente opplysninger fra forsikringstager etter blant annet lovens 4-1 og 13 1a, den sikrede etter blant annet 4-10, 8-1, 13-1a og og fra den som fremmer krav mot selskapet etter blant annet 18-1, på de vilkår som der er nevnt. Dette vil i utgangspunktet også gjelde for opplysninger som innhentes gjennom utredningssamtaler. Datatilsynet vil allikevel bemerke at loven ikke oppstiller noen krav til hvordan opplysnings- og meldeplikten skal etterleves. Bestemmelsen kan altså ikke leses som en plikt for disse til å møte i utredningssamtaler. Det må etter tilsynets vurdering bero på frivillighet fra den som kalles inn om opplysningene i stedet skal avgis skriftlig, eller på annen måte. Bestemmelsen gir uansett ikke behandlingsgrunnlag for innhenting av opplysninger fra andre enn den som er angitt å være opplysningspliktig, typisk fra vitner, politiet eller andre virksomheter med mindre det foreligger en fullmakt fra den opplysnings- eller meldepliktige eller en klar hjemmel i lov. 10 av 23

11 Bestemmelsen kan etter Datatilsynet vurdering heller ikke forstås slik at den gir hjemmel for skjult observasjon eller skjult lydopptak. Det vises til at forsikringsavtalelovens bestemmelser klart forutsetter en informert og aktiv deltagelse fra den som skal avgi opplysningene Når behandlingen er nødvendig for å «fastsette, gjøre gjeldende eller forsvare et rettskrav» ( 8 b jf 9e) Personopplysningsloven 8 b jf 9 e gir grunnlag for å behandle personopplysninger, herunder sensitive, når «det er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav». Datatilsynet legger til grunn at forsikringsselskapers behandling av sensitive personopplysninger med det formål å fastsette korrekt oppgjør i et forsikringstilfelle etter sin art kan omfattes av dette alternativet. Bestemmelsen gir imidlertid anvisning på en skjønnsmessig forholdsmessighetsvurdering av tiltakets art og omfang, jf vilkåret om at behandlingen må være nødvendig. Den gir altså ikke hjemmel for ethvert tiltak som kan tenkes gjennomført for dette formålet Konklusjon om behandlingsgrunnlag Det finnes flere behandlingsgrunnlag som alene eller i kombinasjon kan være aktuelle for den beskrevne utredningsvirksomheten. Det er først og fremst den behandlingsansvarlige som skal vurdere hvorvidt og eventuelt hvor langt de ulike behandlingsgrunnlagene er anvendelige. Denne vurderingen skal reflekteres i de rutiner som pliktes etablert i medhold av personopplysningsloven 14. Manglende internkontroll 3 vanskeliggjør Datatilsynet kontroll av om kravet til behandlingsgrunnlag er oppfylt i alle enkeltsaker som har vært og er under utredning, og kan derfor ikke konkludere vedrørende dette. Tilsynet nøyer seg her med å vise til at virksomheten ikke har gjort dokumenterte vurderinger av om det foreligger behandlingsgrunnlag for disse tiltakene, og at det ikke er etablert dokumenterte rutiner for å sikre at det ikke skjer behandlinger som det ikke er grunnlag for. Datatilsynet vil bemerke at særlig skjult observasjon og skjult lydopptak medfører et betydelig inngrep i personvernet til den som observeres, og at det derfor kan stilles spørsmål ved om dette er tiltak som overhode kan gjennomføres uten klar hjemmel i lov Relevans, nødvendighet og kvalitet ved utredningsvirksomheten ( 11) I henhold til personopplysningsloven 11 litra d plikter den behandlingsansvarlige å sørge for at det kun behandles personopplysninger som er relevante og nødvendige utfra formålet med behandlingen, og til å sørge for at opplysningene har tilfredsstillende kvalitet. Også i Datatilsynets konsesjon av 22. juli 2005 finnes det bestemmelser som konkretiserer disse pliktene. 3 Jf rapportens pkt av 23

12 Instruks for behandling av personopplysninger I virksomhetens «Instruks for behandling av personopplysninger» er dette lovkravet omhandlet under punkt 6.3 om Kvalitetssikring. Etter sitt innhold er bestemmelsen i stor grad en omskriving av ordlyden i personopplysningsloven, uten at kravene der er utdypet eller konkretisert. I instruksens kapittel 7 «Krav til saksbehandling» er det forsøkt beskrevet nærmere hvilke opplysninger som kan benyttes til saksbehandling, hvordan de skal hentes inn, kontrolleres, om de kan leveres ut mv. Begrepet «saksbehandling» har et uklart innhold. Det legges imidlertid til grunn at det også omfatter utredningsvirksomhet. For en stor del er også kapittel 7 en gjengivelse og omskrivning av personopplysningslovens bestemmelser, og bestemmelser om utlevering i annet regelverk. Kvalitetssikring er også regulert i instruksens kapittel 9. Hvorvidt dette kapittelet også gjelder for utredning og annen saksbehandling, eller om dette er uttømmende regulert i kapittel 7 er imidlertid uklart. Enkeltelementer i instruksen er vanskelig tilgjengelige. Dette gjelder for eksempel pkt 7.1 siste kulepunkt, hvor det heter at virksomheten i saksbehandlingen kan benytte «opplysninger som utelukkende skal benyttes i den interne saksbehandlingen og som er nødvendig å samle inn uten å informere den opplysningene gjelder for å hindre svik eller lignende». Datatilsynet stiller spørsmål ved at adgangen til å samle inn opplysninger er koblet til en eventuell adgang til å holde informasjon om dette tilbake fra den registrerte. Datatilsynet vil generelt anbefale at det konkretiseres hvilke personer eller roller i virksomheten de ulike bestemmelsene i instruksen retter seg mot. Det vises blant annet til pkt 9.2 hvor det heter at «Selskapet skal sørge for». De interne ansvarsforholdene er imidlertid uavklart. Datatilsynet kan ikke se at instruksen etter sin oppbygning og innhold gir tilfredsstillende veiledning for at de ansatte skal ivareta virksomhetens plikt til å sikre opplysningenes relevans, nødvendighet og kvalitet - heller ikke i forbindelse med utredningsvirksomhet. Datatilsynet mener at det bør etableres egne rutiner som er konkret tilpasset utredningsvirksomheten. Det vises til at denne virksomheten omfatter tiltak som er spesielt inngripende i den enkeltes personvern «Retningslinjer for bruk av lydopptak ved samtaler i forbindelse med utredning» Det er regulert at en begrunnet forespørsel om å gjennomføre skjult lydopptak skal oversendes Leder Utredning, som treffer endelig beslutning. Av begrunnelsen må det fremgå hvorfor slik lydopptak er nødvendig. 12 av 23

13 «Retningslinjer for bruk av observasjon som metode ved utredning og bruk av foto/video som dokumentasjon» Det er regulert at dette er metoder som kan tas i bruk for å hente inn opplysninger «fortrinnsvis i saker hvor det ikke foreligger andre rimelige alternative muligheter for å fremskaffe avgjørende bevismateriale». Det er videre regulert at en begrunnet forespørsel om å gjennomføre skjult lydopptak skal oversendes Leder Utredning, som oversender denne til endelig beslutning av Leder Oppgjør Person og Leder Oppgjør Ting. Av begrunnelsen må det fremgå hvorfor slik lydopptak er nødvendig Verifikasjon Det kunne ikke legges frem eksempler på forespørsler om og dokumenterte beslutninger vedrørende bruk av skjult observasjon eller lyd- og bildeopptak. Det ble opplyst at dette normalt skjedde i «muntlig form» i ordinær mailkorrespondanse. Datatilsynet ba om innsyn i et par utredningssaker, for å se hvorvidt og hvordan kravene ble etterlevd i praksis. Tilsynet fikk da lese en rapport fra en skjult observasjon, og et notat hvor utreder gjør egne vurderinger av en gjennomført utredningssamtale og et samtalereferat i en annen sak. Disse er i ettertid oversendt Datatilsynet i anonymisert form. Det benyttes maler for nevnte utredningsdokumenter. De er i all hovedsak basert på fritekst, og styrer i liten grad hvilke opplysninger som behandles. Skjult observasjon Denne saken gjaldt en mann som har fått utbetalt forsikring etter å ha blitt arbeidsufør. Med bakgrunn i opplysninger blant annet fra mannens Facebook-profil, ble det gjennomført skjult observasjon. Formålet var å se om hans daglige gjøremål samsvarer med den uføregraden som ble lagt til grunn i forsikringsoppgjøret. Observasjonen skjedde rundt mannens bolig og nærmiljø, over en periode på to dager. Det er registrert opplysninger om mannens bevegelser og gjøremål utenfor hjemmet, ned til minste detalj («2 poser er gule, formentlig fra COOP Prix»). Det er foretatt filming av hans to besøk i butikken. Det er også notert opplysninger om hvilke biler og personer som til enhver tid ankom og forlot mannens bolig, og hvem han oppholdt seg sammen med. Disse er identifisert med angivelse av bilenes registreringsnummer og beskrivelser av utseende på personene («En lys, blond kvinne med hestehale»). Datatilsynet stiller spørsmål ved omfanget av og detaljeringsnivået på observasjonene. Særlig er det grunn til å stille spørsmål ved om det er nødvendig og relevant å registrere opplysninger om tredjepersoner i den utstrekning det her er gjort. 13 av 23

14 Utredningssamtale Denne saken gjaldt spørsmål om barneforsikring. Foreldrene ble kalt inn til utredningssamtale for å utdype spørsmål om barnets helsetilstand forutfor avtaleinngåelse. I rapporten gjør utreder rede for sine vurderinger av foreldrenes oppførsel og svar under samtalen. Også her stiller Datatilsynet spørsmål ved om omfanget av registreringen er nødvendig. I tillegg stilles det spørsmål ved om opplysningene kvalitetssikres tilfredsstillende. Det vises til at opplysningene er rent subjektive vurderinger fra utreder, og at foreldrene ikke får informasjon om eller innsyn i notatet, og derved er avskåret fra å korrigere eventuelle feil eller misforståelser Konklusjon om nødvendighet, relevans og kvalitet Det er først og fremst den behandlingsansvarlige som skal vurdere hvilke opplysninger som er relevante og nødvendige for den aktuelle behandlingen. Det er også den behandlingsansvarlige som skal vurdere hvorvidt en opplysning har tilfredsstillende kvalitet for det formålet den behandles for. Disse vurderingene skal reflekteres i de rutiner som pliktes etablert i medhold av personopplysningslovens 14, herunder i eventuelle skjemaer som etableres for de ansatte behandling av personopplysninger. Manglende internkontroll vanskeliggjør Datatilsynet kontroll av om behandlingsreglene er oppfylt i alle enkeltsaker som har vært og er under utredning, og tilsynet kan derfor ikke konkludere vedrørende dette. Tilsynet nøyer seg her med å vise til at virksomheten ikke har gjort dokumenterte vurderinger av lovens krav, eller etablert dokumenterte rutiner for å sikre at disse etterleves. Datatilsynet legger til grunn at de saksdokumentene som tilsynet har sett er representative, og vil bemerke at man står overfor tiltak hvor særlig nødvendighetskravet må vurderes grundig Sletting ( 11 jf 28) I henhold til personopplysningsloven 11 litra e er det forbudt å lagre personopplysninger lenger enn det som er nødvendig ut fra formålet med behandlingen, jf lovens 27 og 28. Også i Datatilsynets konsesjon av 22. juli 2005 er det gitt konkrete bestemmelser om sletting. Gjensidiges etterlevelse av disse behandles i Datatilsynets sak 10/ I det følgende vurderes de generelle slettepliktene som personopplysningsloven oppstiller Instruks om behandling av personopplysninger I virksomhetens instruks for behandling av personopplysninger er sletting behandlet både i kapittel 7.2 og i kapittel 9.3. Disse er i stor grad en omskriving av personopplysningslovens bestemmelser, og gir liten eller ingen veiledning til de ansatte som behandler personopplysninger Om «Retningslinjer for bruk av observasjon som metode ved utredning og bruk av foto/ video som dokumentasjon» og «Retningslinjer for bruk av lyd- og bildeopptak» Av begge retningslinjene fremgår det at opplysningene som hentes inn ved bruk av slike metoder «skal slettes i henhold til personopplysningslovens bestemmelser». 14 av 23

15 En henvisning til et regelverk som er så komplisert og skjønnsmessig som i dette tilfelle, er ikke en rutine som er egnet til å sørge for at de ansatte etterlever lovens sletteplikter Verifikasjon Gjensidige kunne ikke under kontrollen gjøres rede for om det har vært gjennomført årlige vurderinger av om behandlingsformålet er opphørt, jf kapittel 9.3 siste ledd. Det var heller ikke klart hvem i virksomheten som pliktet å foreta en slik gjennomgang som instruksen gir anvisning på Rutine for automatisk sletting i ESS Gjensidige har i etterkant av Datatilsynets varsel om vedtak og foreløpig rapport etablert sletterutiner i ESS. Disse rutinene innebærer at opplysninger i ESS slettes når avtale om forsikringer i S2000 avsluttes. Denne rutinen er ment å gjennomføres årlig og vil kun slette personopplysninger i ESS når kundeforhold avsluttes. Datatilsynet har vurdert denne løsningen i vårt vedtak Konklusjon om sletting Det er først og fremst den behandlingsansvarlige som skal vurdere når personopplysninger eventuelt skal slettes. Disse vurderingene skal reflekteres i de rutiner som pliktes etablert i medhold av personopplysningslovens 14. Manglende internkontroll vanskeliggjør Datatilsynet kontroll av om sletteplikten er oppfylt i alle enkeltsaker som har vært og er under utredning, og tilsynet kan derfor ikke konkludere vedrørende dette. Tilsynet nøyer seg her med å vise til at virksomheten ikke har gjort dokumenterte vurderinger av lovens krav eller etablert dokumenterte rutiner for å sikre at disse etterleves Krav om informasjon og innsyn ( 18 flg) I henhold til personopplysningslovens 18 flg har Gjensidige plikt til å gi informasjon om sin behandling av personopplysninger, og på nærmere vilkår å gi innsyn til de registrerte. Forsikringsavtaleloven 8-1 har også bestemmelser om rett til informasjon og innsyn i personopplysninger ved oppgjør. Mens personopplysningsloven gir innsynsrett til «den registrerte», gir forsikringsavtaleloven innsynsrett til «den som fremmer krav» Instruks for behandling av personopplysninger I henhold til personopplysningslovens 5 går forsikringsavtalelovens bestemmelser foran personopplysningslovens bestemmelser ved motstrid. Det ville derfor vært naturlig å harmonisere og reflektere begge disse regelsettene i virksomhetens internkontrollrutiner for informasjon og innsyn. Informasjon og innsyn er regulert i instruksens kapittel 8. Hovedreglene om informasjon og innsyn er i stor grad en omskriving av personopplysningslovens bestemmelser. 15 av 23

16 Når det gjelder unntakene som er beskrevet, mener tilsynet at disse beror på uriktig forståelse av personopplysningsloven (og eventuelt forsikringsavtalelovens) bestemmelser. Disse kommenteres løpende: Det finnes ikke støtte i personopplysningsloven for å begrense innsynsretten til «hva den registrerte særlig har behov for innsyn i», jf instruksens pkt 8.1 annet avsnitt. Unntaket for interne dokumenter i personopplysningsloven 23 litra e kan som utgangspunkt også påberopes av private virksomheter. Hvilke dokumenter hvis opplysninger kan unntas fra innsynsretten er imidlertid uklart, jf instruksens pkt 8.2 litra a. Det medfører fare for at unntaket benyttes i større grad enn loven gir anledning til. Unntaket i personopplysningsloven 23 litra b, for opplysninger som det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger, gir kun anvisning på en utsatt informasjonsplikt. Plikten oppstår når det ikke lenger er påkrevd med hemmelighold, for eksempel når saken er ferdig utredet. Det skal også bemerkes at uttrykket «påkrevd» tilsier en streng nødvendighetsvurdering. Disse reservasjonene reflekteres ikke i virksomhetens instruks. Datatilsynet legger forøvrig til grunn at unntaket i forsikringsavtaleloven 8-1 må forstås på samme måte som personopplysningslovens unntak, og ikke gir grunnlag for unntak utover de som personopplysningsloven fastsetter. Avslutningsvis vil tilsynet bemerke at personopplysningslovens 24 regulerer hvordan informasjonen skal gis. Tilsynet kan ikke se at instruksens pkt 8.1 siste avsnitt er i overensstemmelse med denne Informasjon som gis ved avtaleinngåelse egenerklæringsskjema Ved avtaleinngåelse plikter den forsikrede å avgi en egenerklæring, og gi Gjensidige fullmakt til innhenting av personopplysninger som er nødvendige for å vurdere risiko. Datatilsynet kan ikke se at det i den forbindelse gis konkret informasjon om at virksomheten også henter inn opplysninger for å avdekke svik gjennom skjult observasjon, herunder med bruk av bilde og film. Det skal uansett bemerkes at denne informasjonen ikke kommuniseres systematisk til andre registrerte enn den som inngår avtalen Verifikasjon Under kontrollen fremkom det at det ikke blir gitt informasjon om utredningstiltak som har vært foretatt, dersom det ikke har resultert i opplysninger som har fått betydning for avtaleinngåelsen eller oppgjøret. Datatilsynet spurte en utreder om hvorvidt det ble gitt informasjon om og innsyn i hennes vurderinger av utredningssamtalen, slik disse fremgår av dokumentet «egenrapport i skadesak». Det ble opplyst at det ikke gis rutinemessig informasjon om at dette dokumentet eksisterer, men at den som har vært inne til samtale trolig vil få innsyn i dokumentet dersom 16 av 23

17 han allikevel ber om det. Dokumentet «Samtalereferat» ble i alle tilfeller sendt til den som har vært inne til utredningssamtale Konklusjon om informasjon og innsyn Det er først og fremst den behandlingsansvarlige som skal vurdere hvorvidt og på hvilke vilkår den registrerte skal gis informasjon og innsyn. Disse vurderingene skal reflekteres i de rutiner som pliktes etablert i medhold av personopplysningslovens 14. Virksomhetens instruks inneholder uklare bestemmelser, som på sentrale punkter er i direkte strid med personopplysningslovens bestemmelser. Det er etter dette høyst tvilsomt hvorvidt alle de registre får informasjon og innsyn i den utstrekning de har krav på Databehandleravtaler ( 15) I henhold til personopplysningslovens 15 plikter den behandlingsansvarlige å inngå skriftlige avtaler med eventuelle databehandlere som behandler personopplysninger på vegne av virksomheten Instruks om behandling av personopplysninger I Instruks for behandling av personopplysninger er dette regulert i pkt 9.4 om utkontraktering, hvor det er bestemt at det skal inngås en databehandleravtale «før personopplysninger overføres til en annen databehandler». Virksomheten har utarbeidet en standard databehandleravtale, som tilpasses det enkelte oppdraget. Datatilsynet vil bemerke at ordlyden kan virke misvisende, idet plikten til å inngå databehandleravtaler ikke er begrenset til de tilfeller hvor opplysninger «overføres» til en databehandler, men også gjelder når noen henter inn opplysninger på vegne av virksomheten Verifikasjon Under kontrollen ble det forklart at Gjensidige benytter en rekke databehandlere. De fleste er knyttet til drift og vedlikehold av virksomhetens informasjonssystemer. Det ble forklart at alle disse forholdene var regulert i databehandleravtaler, som kunne fremlegges for tilsynet. Det fremkom imidlertid at virksomheten ikke har inngått databehandleravtaler med eksterne utredere, som benyttes på oppdragsbasis. Disse har kun signert en taushetserklæring. Disse eksterne utrederne benytter sitt eget utstyr i sitt utredningsarbeid. Krav til sikkerhet ved behandling av personopplysninger skal nedfelles i databehandleravtale. Dette skal omfatte sikkerhetskrav til eksternes utstyr «Rammeavtale mellom FNO og Oppdragstaker konsulentoppdrag vedrørende utredning» Etter kontrollen fikk Datatilsynet oversendt «Rammeavtale mellom FNO og Oppdragstaker konsulentoppdrag vedrørende utredning». Datatilsynet kan ikke se at den fremlagte avtalen alene tilfredsstiller personopplysningslovens 15 om databehandleravtale. 17 av 23

18 Det vises til at den behandlingsansvarlige (Gjensidige) ikke er angitt å være part i avtalen. Det ble heller ikke fremlagt noen avtale mellom FNO og Gjensidige, som enten gir Gjensidige partsrettigheter eller som gir FNO adgang til å handle på Gjensidiges vegne. Endelig skal det bemerkes at Gjensidige ikke har lagt frem oppdragsbeskrivelser, utarbeidet i henhold til avtalens pkt 1.2. En oppdragsbeskrivelse antas utgjøre en vesentlig del av avtalen i det enkelte tilfellet, idet den skal angi de nærmere rammene for behandlingen, både mht metoder og omfang (jf også avtalens punkt 4.2). Da den fremlagte rammeavtalen ikke ble nevnt under kontrollen, og er av ny dato (17. januar 2013), mener tilsynet det er tvilsomt om avtalen ennå er tatt i bruk av eller gjort gjeldende for Gjensidige Konklusjon vedrørende databehandleravtaler Manglende databehandleravtaler med eksterne utredere innebærer et brudd på personopplysningsloven 15. Dette har som konsekvens at Gjensidige mangler kontroll med den behandling av personopplysninger som disse utrederne gjennomfører på virksomhetens vegne Konsesjon ( 33) Konsesjonsplikt I henhold til personopplysningsloven 33 jf personopplysningsforskriften 7-2 foreligger det konsesjonsplikt for tilbydere av forsikringstjenester, for deres behandling av personopplysninger i forbindelse med «kundeadministrasjon, fakturering og gjennomføring av avtaler». Gjensidige forsikring har hatt konsesjon både etter personregisterloven og personopplysningsloven. Gjeldende konsesjon ble gitt den 22. juli Konsesjonen er en standardkonsesjon, utarbeidet i samarbeid med bransjen. Datatilsynet legger under sterk tvil til grunn at konsesjonen også omfatter behandlinger som har til formål å avdekke svik og andre misligheter i forsikringsforholdet (utredningsvirksomhet). Selv om slik virksomhet ikke er beskrevet i detalj, er det å avdekke svik sporadisk nevnt både i søknaden og i merknader til konsesjonen Etterlevelse av konsesjonsvilkårene Datatilsynet konsesjon er gitt under forutsetning av at personopplysningslovens bestemmelser etterleves ved behandlingen. Det er også angitt enkelte nærmere vilkår, fastsatt med hjemmel i personopplysningsloven 35. I forbindelse med at Gjensidige søkte om konsesjon i 2003 ble det krysset av for at det var etablert internkontrollrutiner i samsvar med personopplysningsloven 14 (søknadsskjemaets kapittel 2). Ivaretagelse av internkontrollplikten ble utdypet i vedlegget til søknaden. Som det fremgår av denne rapportens pkt mener Datatilsynet at det foreligger store og alvorlige mangler ved virksomhetens internkontroll. 18 av 23

19 Konklusjon vedrørende konsesjon Mangelfull internkontroll representerer et klart brudd på konsesjonens vilkår. Internkontrollplikten er en sentral plikt som er etablert for at den behandlingsnansvarlige skal ha løpende kontroll med at lovens øvrige bestemmelser etterleves. Tilfredsstillende internkontroll er derfor et ufravikelig krav, også når Datatilsynet behandler konsesjonssøknader i henhold til personopplysningslovens 33. Når internkontrollen er så mangelfull som i dette tilfellet, kan ikke Datatilsynet ha tillit til at virksomheten etterlever øvrige vilkår i personopplysningsloven. Det foreligger etter tilsynets vurdering en klar og uakseptabel risiko for at de registrertes personvern krenkes gjennom lovstridig behandling av personopplysninger. Datatilsynet ser seg derfor nødt til å vurdere om gjeldende konsesjon kan videreføres. 6.3 Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten, gjennom planlagte og systematiske, tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel Sikkerhetsledelse, mål og strategi I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om det er hensiktsmessig for virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten Funn At det skal etableres en sikkerhetspolicy for Gjensidige er nedfelt i dokumentet Konsernkrav informasjonssikkerhet. Selve sikkerhetspolicyen har ikke Datatilsynet sett på under denne kontrollen. Datatilsynet har valgt å ikke forfølge dette ytterligere i denne kontrollen Konklusjon Ingen avvik konstatert Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og 19 av 23

20 konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres Funn Det framkommer av Gjensidiges dokument Konsernkrav informasjonssikkerhet at risikovurderinger skal gjennomføres etter kravene i personopplysningsloven. Dokumentet konkretiserer imidlertid ikke hvordan dette skal gjøres eller hvor ofte det skal skje. Under den stedlige kontrollen framkom det at det ikke er gjennomført risikovurdering som omfatter utredningsvirksomheten i løpet av den tiden leder for utredning har hatt jobben. Det innebærer at utredningsområdet ikke er risikovurdert på minimum 4 ½ år. Etter kontrollen ettersendte Gjensidige en risikovurdering av oppgjørsområdet fra Denne omfatter verken utredningsarbeid eller sikring av personopplysninger på oppgjørsområdet Konklusjon Manglende risikovurdering av den behandling av personopplysninger som skjer i forbindelse med Gjensidiges utredningsvirksomhet er et avvik fra personopplysningsloven 13, ref. personopplysningsforskriften 2-4, 2. ledd Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. personopplysningsforskriften Funn Det ble hevdet under den stedlige kontrollen at Gjensidige har gjennomført internrevisjoner av utredningsvirksomheten som del av revisjon av oppgjørsarbeidet i virksomheten. Gjensidige ble bedt om å ettersende eksempler på gjennomførte revisjoner som er personvernrelevante. Datatilsynet mottok ett dokument som inneholder en henvisning til et avvik vedrørende sletteplikt, jf konsesjon gitt av Datatilsynet. Dette er en sletteplikt som Datatilsynet selv påpekte i en kontrollsak fra 2010 med påfølgende purring fra Datatilsynet overfor Gjensidige i 2011 (se Datatilsynets sak 10/00236). Det oversendte materiellet kan ikke sies å tilfredsstille lovens krav til gjennomføring av sikkerhetsrevisjon. 20 av 23

Varsel om vedtak og foreløpig kontrollrapport Gjensidige Forsikring ASA

Varsel om vedtak og foreløpig kontrollrapport Gjensidige Forsikring ASA Gjensidige Forsikring ASA Postboks 276 1326 LYSAKER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00328-6/CBR 17. juni 2013 Varsel om vedtak og foreløpig kontrollrapport Gjensidige Forsikring

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger.

Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger. Virksomhet XY Postboks 1234 9999 STED Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00431-15/XXX 8. juli 2011 Konsesjon forsikring XY Det vises til søknad av xx.xx.xxxx om konsesjon til

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Bransjenorm. Forsikringsselskapenes felles retningslinjer innen utredning ved mistanke om forsikringssvindel

Bransjenorm. Forsikringsselskapenes felles retningslinjer innen utredning ved mistanke om forsikringssvindel Bransjenorm Forsikringsselskapenes felles retningslinjer innen utredning ved mistanke om forsikringssvindel Finans Norge Enhet økonomisk kriminalitet 12.12.2014 Innholdsfortegnelse Om forsikringsselskapenes

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Forsikringselskaper adgang til etterforskning

Forsikringselskaper adgang til etterforskning Forsikringselskaper adgang til etterforskning Forum rettsinformatikk Foreningen for jus & EDB 03.09.2015 2 Saksbehandling / utredning Saksbehandling vs. Utredning 3 Tiltak Samtaler med kunder og andre

Detaljer

Gjensidige Forsikring ASA endelig kontrollrapport og vedtak

Gjensidige Forsikring ASA endelig kontrollrapport og vedtak Gjensidige Forsikring ASA Postboks 276 1326 LYSAKER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00328-20/CBR 20. september 2013 Gjensidige Forsikring ASA endelig kontrollrapport og vedtak

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas

Detaljer

Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat etterforskningsvirksomhet

Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat etterforskningsvirksomhet AS Scan Detect Postboks 54 1330 FORNEBU Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00327-14/MEP 12. november 2013 Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/30431 12/01044-8/MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Saksnummer: 13/00933 Dato for kontroll: 15.10.2013 Foreløpig rapport: 19.12.2013 Endelig rapport: 07.07.2014 Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av:

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Adressemekling. Innhold INNLEDNING AKTØRENE

Adressemekling. Innhold INNLEDNING AKTØRENE Adressemekling Oppdatert februar 2012 Innhold Adressemekling... 1 INNLEDNING... 1 AKTØRENE... 1 1. Når kan man foreta mekling uten samtykke?... 2 2. Når krever bruk av adresselister samtykke?... 3 3. Den

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Vedtak og endelig kontrollrapport

Vedtak og endelig kontrollrapport Securitas AS Postboks 35 Grønland 0133 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00329-11/CBR 21. november 2013 Vedtak og endelig kontrollrapport Det vises til Datatilsynets foreløpige

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Smart Club AS v/ Advokatene Kjetil Bull og Bjørn Tore Flaatten Postboks 1173 Sentrum 0107 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00831-9/HVE 21. desember 2011 Vedtak om pålegg

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00118 Dato for kontroll: 6.3.2014 Foreløpig rapport: 29.4.2014 Endelig rapport: 8.8.2014 Endelig kontrollrapport Kontrollobjekt: Bjerkås barnehage Sted: Vollen, Asker Utarbeidet av: Martha

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00139 Dato for kontroll: 18.03.2014 Foreløpig rapport: 22.04.2014 Endelig rapport: 14.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Kongsberg kommune, Skrim ungdomsskole Sted: Kongsberg

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00753 Dato for kontroll: 17.08.2012 Rapportdato: 08.04.2013 Endelig kontrollrapport Kontrollobjekt: Statens vegvesen Sted: Oslo Utarbeidet av: Atle Årnes Cecilie Rønnevik 1 Innledning Datatilsynet

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00707 Dato for kontroll: 11.07.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: BIT Oslo City Utarbeidet av: Stian D Kringlebotn Sted: Oslo City Mari Hersoug Nedberg

Detaljer

Brannetterforskning i privat regi. Advokat Jardar Aas, Gjensidige Forsikring ASA

Brannetterforskning i privat regi. Advokat Jardar Aas, Gjensidige Forsikring ASA Brannetterforskning i privat regi Advokat Jardar Aas, Gjensidige Forsikring ASA Brannetterforskning i privat regi Forsikringsbransjens utredning av brannsaker Advokat Jardar Aas, Gjensidige Forsikring

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01089 Dato for kontroll: 08.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

Foreløpig kontrollrapport. Kontrollobjekt: Kreftregisteret Sted: Fridtjof Nansens gate 19, Oslo

Foreløpig kontrollrapport. Kontrollobjekt: Kreftregisteret Sted: Fridtjof Nansens gate 19, Oslo - Datatilsynet Saksnummer: 09/01148-3 Dato for kontroll: 13. oktober 2009 Rapportdato: 2. desember 2009 Foreløpig kontrollrapport Kontrollobjekt: Kreftregisteret Sted: Fridtjof Nansens gate 19, Oslo Utarbeidet

Detaljer

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet Statens Havarikommisjon for Transport Postboks 213 2001 LILLESTRØM Deres referanse Vår referanse (bes oppgitt ved svar) 12/611-6 12/01022-8/HHU 28. februar 2013 Dato Vedtak om pålegg Endelig kontrollrapport

Detaljer

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Veileder 25.11.2010 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport Oppegård Kommune Postboks 510 1411 KOLBOTN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/137-11 13/01092-10/MEP 21. mai 2014 Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) NorgesGruppen ASA Postboks 2775 Solli 0203 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00832-9/MAB 1. februar 2012 Vedtak om pålegg - Endelig kontrollrapport for Trumf AS Det vises

Detaljer

Overenskomst mellom nedenstående forsikringsselskaper og Nemnda for helsevurdering

Overenskomst mellom nedenstående forsikringsselskaper og Nemnda for helsevurdering Overenskomst mellom nedenstående forsikringsselskaper og Nemnda for helsevurdering Vedtatt av Bransjestyre liv og pensjon i FNH / FNH Servicekontor Vedtagelsestidspunkt 26.06.2007 Ikrafttredelse og 26.06.2007

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00119 Dato for kontroll: 24.02.2014 Foreløpig rapport: 11.04.2014 Endelig rapport: 07.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Norlandiabarnehagene, Myrertoppen barnehage Sted:

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00376 Dato for kontroll: 15.05.2012 Rapportdato: 21.11.2012 Endelig kontrollrapport Kontrollobjekt: Statens arbeidsmiljøinstitutt Sted: Oslo Utarbeidet av: Cecilie L.B. Rønnevik Marius Engh

Detaljer

Kontroll av reseptformidleren 11122013 endelig kontrollrapport

Kontroll av reseptformidleren 11122013 endelig kontrollrapport Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 30.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Oslo kommune, Foss videregående skole Sted:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak

Vedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009. Avslutning av sak - kontroll hos kommune - Internkontroll og informasjonssikkerhet Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av

Detaljer

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport Telenor Norge AS Snarøyveien 30 1331 FORNEBU Deres referanse Vår referanse (bes oppgitt ved svar) 11/00339-14/MAB Dato 7. mars 2012 Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 10/01153-3 Dato for kontroll: 05.10.2010 Rapportdato: 18.01.2012 Endelig kontrollrapport Kontrollobjekt: Stiftelsen SUSS-telefonen Sted: Gøteborggata 23, Oslo Utarbeidet av: Henok Tesfazghi

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Saksnummer: 16/00326 Dato for kontroll: 10.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00122 Dato for kontroll: 7.3.2014 Foreløpig rapport: 16.5.2014 Endelig rapport: 12.8.2014 Endelig kontrollrapport Kontrollobjekt: Espira Gruppen AS Sted: Blåveisbakken barnehage Utarbeidet

Detaljer

Bruk av sporingsteknologi i virksomheters kjøretøy (april 2016)

Bruk av sporingsteknologi i virksomheters kjøretøy (april 2016) Bruk av sporingsteknologi i virksomheters kjøretøy (april 2016) Innhold 1. Innledning... 2 2. Regelverk... 2 2.1. Arbeidsmiljøloven... 2 2.2. Personopplysningsloven... 3 2.2.1. Behandlingsgrunnlag... 3

Detaljer

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011. Eniro Norge AS avd Trondheim Postboks 2333 7004 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00721-5/MHN 29. august 2011 Vedtak - endelig kontrollrapport for Eniro Norge AS Det

Detaljer

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 1. Generelt De enkelte enheter som utgjør SEBs norske virksomheter (SEB) er blant annet gjennom lov

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato

Deres ref Vår ref (bes oppgitt ved svar) Dato Datatilsynet TELE AS Deres ref Vår ref (bes oppgitt ved svar) Dato XXXX XXXXXX KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER BEHANDLING AV OPPLYSNINGER OM ABONNENTERS BRUK AV TELETJENESTER I medhold av Lov

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer