Overordnet styringsdokument for informasjonssikkerhet i Hedmark fylkeskommune

Størrelse: px
Begynne med side:

Download "Overordnet styringsdokument for informasjonssikkerhet i Hedmark fylkeskommune"

Transkript

1 Overordnet styringsdokument for informasjonssikkerhet i Hedmark fylkeskommune Vedtatt av Fylkesdirektøren, mars 2017

2 Innholdsfortegnelse 1 Innledning Om informasjonssikkerhet Om personvern Relevante lover/forskrifter Mål for informasjonssikkerhet Strategi for informasjonssikkerhet Organisering Årshjul og årsplan Ledelsens gjennomgang Personell og sikkerhet Beskyttelsesbehov Fysisk sikkerhet Risikovurderinger Avvikshåndtering Leverandører/samarbeidspartnere Systemteknisk sikkerhet Beredskap Dokumentendringer Dato Punkt Endring Endret av

3 1 INNLEDNING Alle offentlige virksomheter er pålagt risikobasert internkontroll på informasjonssikkerhet og håndtering av personopplysninger i henhold til eforvaltningsforskriften 15, personopplysningsloven 13 og personopplysningsforskriftens kapittel 3. Internkontrollen skal sikre at informasjonssikkerheten og personvernet ivaretas på et nivå og med den ressursinnsats virksomhetsledelsen mener er riktig. Det krever systematisk planlegging, organisering og strukturering. Hedmark fylkeskommune internkontrollsystem baserer seg i store trekk på Datatilsynets rammeverk og består av følgende deler: Overordnet styringsdokument informasjonssikkerhet (dette dokumentet). Dokumentet retter seg i hovedsak retter seg mot ledelsen, herunder hvilke beslutninger og føringer som legges for informasjonssikkerheten. Gjennomførende elementer. Dokumentasjon, oversikter, rutinebeskrivelser, sikkerhetsinstrukser og andre dokumenter av betydning for informasjonssikkerheten. Kontrollerende elementer. Elementer som bidrar til å fange opp avvik fra systemet og til at det gjennomføres periodiske gjennomganger. 1.1 OM INFORMASJONSSIKKERHET Informasjonssikkerhet handler om å sikre informasjonens konfidensialitet, integritet og tilgjengelighet. Med dette menes: Konfidensialitet - Sikre at informasjon er utilgjengelig for uvedkommende. Dette gjelder både når opplysningene samles inn, overføres, lagres eller behandles på annen måte. Integritet sikre at informasjon ikke skal kunne endres eller ødelegges utilsiktet eller av uvedkommende. Tilgjengelighet sikre at informasjon er tilgjengelig for autoriserte brukere når det er bruk for opplysningene i henhold til det formål de er samlet inn for. 1.2 OM PERSONVERN Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Den 13. mai 2014 vedtok Stortinget å styrke vernet om den personlige integritet, ved å ta bestemmelsen om personvern inn i Grunnloven. Personvern er også viktig for å sikre felles goder i et demokratisk samfunn. Uten retten til å ha et privatliv vil det ikke være mulig for det enkelte menneske å skape seg et rom til å utvikle refleksjoner og vurderinger på et selvstendig grunnlag, uten å bli forstyrret eller kontrollert av andre Hva er personopplysninger? Personopplysninger er opplysninger eller vurderinger som kan knyttes til enkeltpersoner, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer). Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om hva du handler, hvilke butikker du går i, hvilke tv-serier du ser på, hvor du beveger deg i løpet av en dag og hva du søker etter på nettet er alt sammen personopplysninger. En av de nyere utfordringene for personvernet er at vi legger igjen så mange digitale spor. Disse opplysningene utnyttes ofte kommersielt uten at du har samtykket til det.

4 Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet eller tiltalt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger. Personvern Sikre at innsamling, behandling, lagring og sletting av personopplysninger gjøres korrekt Tjenesteproduksjon Informasjonssikkerhet Sikre Konfidensialitet, Integritet og Tilgjengelighet (KIT) Arkiv og regnskap Øvrige forvaltningsoppgaver 1.3 RELEVANTE LOVER/FORSKRIFTER Fylkeskommunens hjemler og krav til informasjonsbehandling reguleres av følgende lover og forskrifter: Forvaltningsloven eforvaltningsforskriften Offentlighetsloven Arkivloven Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor Personopplysningsloven Personopplysningsforskriften Helseregisterloven Arbeidsmiljøloven Opplæringsloven Bokføringsloven Bokføringsforskriften Mer informasjon om lovene og forskrifter finnes på

5 2 MÅL FOR INFORMASJONSSIKKERHET Sikkerhetsmålene skal understøtte og sikre fylkeskommunens drift, allmenne tillit og omdømme i det offentlige rom ved å forebygge og begrense konsekvensene av uønskede hendelser. Sikkerhetsmålene beskriver Hedmark fylkeskommunes overordnete mål for beskyttelse av virksomhetens informasjonsbehandling mot interne og eksterne trusler av tilsiktet og utilsiktet art. Hedmark fylkeskommune har følgende mål for informasjonssikkerhet: 1. Informasjon skal behandles i henhold til krav i relevante lover og forskrifter. 2. Informasjonssikkerheten skal være forankret i Hedmark fylkeskommunes ledelse og ivaretas som en integrert del av organisasjonen. 3. Hedmark fylkeskommune skal sikre at medarbeidere som bruker fylkeskommunens informasjonssystemer har tilstrekkelig kompetanse for å ivareta virksomhetens sikkerhetskrav. 4. Fysisk sikring skal hindre at uautoriserte får adgang til lokaler der beskyttelsesverdig informasjon og sensitive personopplysninger lagres og behandles. 5. Tilgang til systemer og informasjon gis kun etter behov (Need to Know), og tilgang til systemer og informasjon for uvedkommende skal forhindres. 6. Hedmark fylkeskommune skal sikre at informasjonsbehandlingen er korrekt og at informasjon ikke forandres uten lovlig tilgang. 7. Hedmark fylkeskommune skal sikre tilgjengelighet til informasjon og informasjonssystemer for de personer som er autorisert. 8. Det skal være mulig å spore uønskede hendelser. 9. Det skal være rutiner for å håndtere uønskede hendelser som også inkluderer systematiske læreprosesser slik at sannsynlighet for tilsvarende eller gjentatte hendelser reduseres.

6 3 STRATEGI FOR INFORMASJONSSIKKERHET Strategien omfatter grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Forholdet mellom ledelse, driftspersonell, sikkerhetspersonell og brukere avklares her. Sikkerhetsstrategien gjør rede for organisatoriske og tekniske strategiske valg, og må være utformet på en måte som gjør at de ansatte forstår hva ledelsen har bestemt. Strategien beskriver hvilke virkemidler virksomheten velger å bruke for å nå målene. Det kan velges ulike strategier for å tilfredsstille samme mål. 3.1 ORGANISERING Daglig leder er ansvarlig for at lovverkets krav følges. Dette innebærer blant annet å sørge for at internkontroll etableres og etterleves. For Hedmark fylkeskommune betyr dette fylkesrådet. Operativt ansvar for daglige arbeidsoppgaver i forbindelse med internkontroll kan delegeres videre, men ansvaret i forhold til loven kan ikke delegeres. Det operative ansvaret for informasjonssikkerheten i Hedmark fylkeskommune er organisert på følgende måte: Fylkesrådet Fylkesdirektør Hanne V. Søberg Informasjonssikkerhetsansvarlig Porteføljeforvalter Endre Hjelseth Behandlingsansvarlige for personopplysninger Se delegasjonsreglement Systemeiere Virksomhets- og enhetsledere Seksjonsleder teknologi Yngve Nordseng Regnskapsleder Ottar A. Persen Arkivleder Daiva Skoglund Fylkestannlegen Claes T. Næsheim Informasjonssikkerhetsansvarlig Informasjonssikkerhetsansvarlig har et overordnet utøvende ansvar for informasjonssikkerheten i Hedmark fylkeskommune. Ansvaret innebærer å organisere, koordinere og styre informasjonssikkerhetsarbeidet, utarbeide retningslinjer, iverksette egenkontroll, gjennomføre forbedringsprosesser samt følge opp at informasjonssikkerheten vedlikeholdes i alle ledd. Informasjonssikkerhetsansvarlig har videre myndighet til blant annet å kunne gjennomføre opplæring i informasjonssikkerhet, risikovurderinger, sikkerhetstester, avvikshåndtering, iverksette korrigerende og andre sikkerhetsrelaterte tiltak. Informasjonssikkerhetsansvarlig rapporterer til fylkesdirektøren i spørsmål som omhandler informasjonssikkerhet.

7 Informasjonssikkerhetsansvarlig skal: Utarbeide og vedlikeholde regime for internkontroll. Utarbeide nødvendige sikkerhetsinstrukser. Påse at de gjeldende sikkerhetsstrategi, instrukser og rutiner blir fulgt. Påse at underlagte sikkerhetsledd har klart definerte oppgaver/forhold for å utøve sine funksjoner, og virkelig utøver disse. Utføre ikke anmeldte inspeksjoner på dag- eller nattid på kontorer, møterom og andre lokaler han/hun finner grunn til å inspisere. Påtale mislighold muntlig eller skriftlig, avhengig av misligholdets karakter. Sørge for at alle ansatte har kjennskap til regimet for Internkontroll og tilhørende sikkerhetsbestemmelser, instrukser og rutiner. Sørge for at avvik håndteres i tråd med retningslinjene Porteføljeforvalter Porteføljeforvalter har et overordnet ansvar for koordineringen av digitaliseringen i Hedmark fylkeskommune. Porteføljeforvalter rapporterer til informasjonssikkerhetsansvarlig i spørsmål som omhandler informasjonssikkerhet. Porteføljeforvalter skal: Utarbeide og vedlikeholde oversikt over fylkeskommunes IT-systemer med tilhørende systemeiere og systemansvarlige. Bistå informasjonssikkerhetsansvarlig i forbindelse med prioritering av tiltak Behandlingsansvarlige for personopplysninger De behandlingsansvarlige er ansvarlig for at personopplysningsloven og personopplysningsforskriften følges. Reglement for delegert myndighet i Hedmark fylkeskommune definerer hvem det operative ansvaret delegeres til innen ulike personkategorier. Behandlingsansvarlige rapporterer til informasjonssikkerhetsansvarlig i spørsmål som omhandler informasjonssikkerhet. Behandlingsansvarlige skal: Bestemme formålet med fylkeskommunens behandlinger av personopplysninger. Utarbeide og vedlikeholde oversikt over behandlinger av personopplysninger og hvilke hjemler som ligger til grunn. Påse at det er utarbeidet rutiner både for oppfyllelse av virksomhetens plikter og de registrertes rettigheter. Gjennomføre risikovurderinger og iverksette nødvendige tiltak i samarbeid med informasjonssikkerhetsansvarlig og systemeiere. Etablere og følge opp nødvendige databehandleravtaler med leverandører og samarbeidspartnere i samarbeid med systemeiere og informasjonssikkerhetsansvarlig.

8 3.1.4 Systemeiere Systemeiere har ansvar for systemteknisk sikkerhet i de informasjonssystemene de er satt til å forvalte. Dette innebærer at informasjonssystemet tilfredsstiller beskyttelsesbehovet for informasjonen som behandles i systemet. Det utøvende ansvaret kan delegeres videre til systemansvarlige. Systemeiere rapporterer til informasjonssikkerhetsansvarlig i spørsmål som omhandler informasjonssikkerhet. Systemeiere skal: Kartlegge beskyttelsesbehovet for systemene med utgangspunkt i beskyttelsesbehovet til informasjonen som behandles. Ulike delsystemer/moduler kan ha ulikt beskyttelsesbehov. Gjennomføre risikovurderinger og iverksette nødvendige tiltak i samarbeid med informasjonssikkerhetsansvarlig og behandlingsansvarlige. Utarbeide driftskrav til systemene og påse at kravene blir fulgt. Utarbeide og vedlikeholde oversikt over tilganger til systemene. Utarbeide rutiner for bruk av systemene og påse at rutinene blir fulgt. Gjennomføre systematiske opplæringstiltak. Etablere og følge opp nødvendige SLA-avtaler med leverandører og samarbeidspartnere i samarbeid med informasjonssikkerhetsansvarlig Virksomhets- og enhetsledere Virksomhets- og enhetsledere har ansvar for at den fysiske informasjonssikkerheten i de aktuelle lokalene er ivaretatt og at kravene til personell og sikkerhet er ivaretatt. Virksomhets- og enhetsledere rapporterer til informasjonssikkerhetsansvarlig i spørsmål som omhandler informasjonssikkerhet. Virksomhets- og enhetsledere skal: Utarbeide og vedlikeholde oversikt over tilganger lokalene. Sørge for adgangskontroll og alarm i tråd med sikkerhetsstrategien. Følge opp kravene til personell og sikkerhet for sine ansatte Seksjonsleder teknologi Seksjonsleder teknologi har ansvar for systemteknisk sikkerhet på fylkeskommunens nettverk, infrastruktur og datamaskiner. Seksjonsleder teknologi rapporterer til informasjonssikkerhetsansvarlig i spørsmål som omhandler informasjonssikkerhet. Seksjonsleder teknologi skal: Utarbeide og vedlikeholde driftsrutiner med utgangspunkt i driftskrav, samt påse at rutinene blir fulgt. Utarbeide og vedlikeholde driftsdokumentasjon. Utarbeide og vedlikeholde oversikt over tilganger til felles infrastruktur og systemløsninger der det ikke er definert andre systemeiere. Gjennomføre systematiske opplæringstiltak av driftspersonell.

9 Gjennomføre risikovurderinger og iverksette nødvendige tiltak i samarbeid med informasjonssikkerhetsansvarlig Regnskapsleder Regnskapsleder har ansvar for at kravene til informasjonssikkerhet i bokføringsloven og bokføringsforskriften blir ivaretatt. Regnskapsleder rapporterer til informasjonssikkerhetsansvarlig i spørsmål som omhandler informasjonssikkerhet. Regnskapsleder skal: Påse at det er utarbeidet rutiner for oppfyllelse av virksomhetens plikter. Gjennomføre risikovurderinger og iverksette nødvendige tiltak i samarbeid med informasjonssikkerhetsansvarlig og systemeiere Arkivleder Arkivleder har ansvar for at kravene til informasjonssikkerhet i arkivloven blir ivaretatt. Arkivleder rapporterer til informasjonssikkerhetsansvarlig i spørsmål som omhandler informasjonssikkerhet. Arkivleder skal: Påse at det er utarbeidet rutiner for oppfyllelse av virksomhetens plikter. Gjennomføre risikovurderinger og iverksette nødvendige tiltak i samarbeid med informasjonssikkerhetsansvarlig og systemeiere Fylkestannlegen Fylkestannlegen har ansvar for at kravene til informasjonssikkerhet i helseregisterloven blir ivaretatt. Fylkestannlegen rapporterer til informasjonssikkerhetsansvarlig i spørsmål som omhandler informasjonssikkerhet. Fylkestannlegen skal: Sørge for at tannhelsetjenesten i Hedmark fylkeskommune benytter «Norm for informasjonssikkerhet helse og omsorgstjenesten» for internkontroll. 3.2 ÅRSHJUL OG ÅRSPLAN Årshjul skal benyttes for å sikre at årlige oppgaver blir gjennomført og kontinuerlig forbedring pågår. Årshjulet deles opp i tertialer og følger kalenderåret fra januar til desember. Det skal utarbeides en detaljert årsplan basert på årshjulet med utgangspunkt forrige års resultater. Planen skal være klar til ledelsens gjennomgang.

10 3. TERTIAL Opplæring og holdningsarbeid Utarbeide årsplan for neste år Oppfølgingstiltak Avviksbehandling 1. TERTIAL Ledelsens gjennomgang Dokumentrevisjon Avviksbehandling 2. TERTIAL Risikovurderinger Øvelse Egenkontroll Avviksbehandling 3.3 LEDELSENS GJENNOMGANG Ledelsen skal årlig gjennomgå internkontrollsystemet. Ledelsen skal kontrollere at internkontrollen er i samsvar med virksomhetens behov og eventuelt oppdatere mål, strategi og organisering. Ved ledelsens gjennomgang deltar fylkeskommunens strategiske ledelse sammen med de som har operativt ansvar (ref. punkt 3.1). I ledelsens gjennomgang representeres systemeiere av porteføljeforvalter og rektorene av rektorenes representant i ledermøtet. Praktisk organisering av gjennomgangen, utarbeidelse av referat og iverksetting av eventuelle tiltak delegeres til informasjonssikkerhetsansvarlig Hensikt Hensikten med ledelsens gjennomgang er: Følge opp de mål som er satt og gjøre korrigerende tiltak. Følge opp iverksatte korrigerende tiltak. Sørge for at internkontrollen er hensiktsmessig, tilstrekkelig, effektiv og at den tilfredsstiller relevante krav i lovverket Gjennomføring Følgende momenter skal minimum være med i ledelsens gjennomgang: 1. Detaljert gjennomgang av de alvorligste hendelsene og avvikene som har vært gjennom året, og summarisk gjennomgang av de mindre alvorlige. Diskusjon bør omfatte årsaker til hendelser og avvik i vid forstand og hvordan hendelser og avvik er håndtert. 2. Gjennomgang av resultater fra gjennomførte øvelser, egenkontroller og risikovurderinger.

11 3. Oppfølging av iverksatte forbedringstiltak og korrigerende tiltak. Dette gjøres ved at resultatene fra egenkontroll og avviksbehandling sammenlignes med de korrigerende tiltakene. 4. Vurdere behov for endringer i internkontrollen, herunder sikkerhetsmål og sikkerhetsstrategi. 5. Iverksetting av nye forbedringstiltak. 6. Beslutte årsplan for informasjonssikkerhetsarbeidet Referat Informasjonssikkerhetsansvarlig skriver referat fra ledelsens gjennomgang. Referatet distribueres til ledelsen og sikkerhetsorganisasjonen. I referatet skal det tydelig fremgå de avgjørelser og aksjoner som er bestemt og med hvilken begrunnelse. 3.4 PERSONELL OG SIKKERHET Ansatte i Hedmark fylkeskommune skal gjennom opplæring og rutiner oppnå tilstrekkelig kunnskap til å forvalte informasjon og systemer på en sikker måte. Alle som får tilgang til beskyttet informasjon skal signere en taushetserklæring. Med beskyttet informasjon menes informasjon som ikke ligger åpent på fylkeskommunens internettsider. Dette gjelder Hedmark fylkeskommunes ansatte, leverandørers ansatte eller andre som måtte komme i kontakt med slik informasjon. Dette gjelder ikke elevers tilgang til informasjon om seg selv. Alle som får tilgang til beskyttede informasjonssystemer skal signere en sikkerhetsinstruks. Med beskyttede informasjonssystemer menes informasjonssystemer beskyttet med brukernavn/passord og systemer som kun er tilgjengelig i fylkeskommunens nettverk. Dette gjelder fylkeskommunens ansatte, leverandørers ansatte eller andre som får slik tilgang. Endringer i konfigurasjon av systemer og nettverk skal bare utføres av kvalifisert personell, og etter godkjenning fra Hedmark fylkeskommune. Brudd på sikkerhetsreglene beskrevet i sikkerhetsinstrukser og taushetserklæring vil bli vurdert i henhold til relevante lover/forskrifter og kan få følger for ansettelsesforholdet.

12 3.5 BESKYTTELSESBEHOV Informasjon skal klassifiseres med tanke på beskyttelsesbehov etter følgende kategorisering: Lavt Normalt Høyt Konfidensialitet Integritet Tilgjengelighet Kladder, arbeidsutkast og Informasjon som tåler å annen informasjon som skal mistes og informasjon som kvalitetssikres/godkjennes før kan gjenskapes fra eksterne den anvendes. kilder. Offentlig tilgjengelig informasjon og annen informasjon uten beskyttelsesbehov. Organisasjonsintern informasjon, ikke-sensitive personopplysninger og annen informasjon som anses som intern eller av andre grunner har et beskyttelsesbehov. Sensitive personopplysninger og annen informasjon med særlige krav til konfidensialitet. Informasjon som ikke klassifiseres med høyt eller lavt beskyttelsesbehov. Arkiverte dokumenter, regnskapsdata, pasientjournaler, elevers fravær/karakterer og annen informasjon der det under noen omstendighet ikke skal være tvil om at informasjonen er korrekt. Informasjon som tåler å være utilgjengelig den tiden det tar å gjenskape data. I særlige tilfeller kan det dreie seg om uker/måneder. Informasjon som må være tilgjengelig innen korte frister og informasjon med særlige krav til langtidslagring. 3.6 FYSISK SIKKERHET Adgangskontroll Adgang til Hedmark fylkeskommunes lokaler for internt og eksternt personell skal godkjennes av aktuell leder. Adgang skal begrenses til det minimum av lokaler som vedkommende har behov for. Adgangskontroll med bruk av nøkkel eller adgangskort med personlig kode utenfor arbeidstid skal være montert. Arkiv, serverrom og rom med annet sentralt IT-utstyr skal sikres og plasseres slik at det er mulig å begrense adgangen til området. Dør til slike områder skal alltid være låst. Utrangerte harddisker beskyttes tilsvarende servere inntil de er forsvarlig slettet med godkjent verktøy. Rom med sensitive personopplysninger og annen konfidensiell informasjon skal sikres og plasseres slik at det er mulig å begrense adgangen til området. Dør til slike områder skal alltid være låst. Ytterdører skal være låst etter arbeidstidens slutt. Når kontor forlates skal datamaskin være låst og fysiske dokumenter som inneholder informasjon med normalt eller høyt beskyttelsesbehov være innelåst. Reserve besøkskort, adgangskort, nøkler og passord skal lagres i safe eller på annen sikker måte Dokumentsikkerhet Alle dokumenter som inneholder informasjon med normalt eller høyt beskyttelsesbehov skal oppbevares, forsendes og destrueres på en slik måte at informasjonen ikke kommer uvedkommende i hende. Flyttbare lagringsmedier (minnepinner etc.) som inneholder informasjon med normalt eller høyt beskyttelsesbehov inneholder skal være kryptert.

13 3.6.3 Alarmsystemer Hedmark fylkeskommunes adgangskontrollsystem skal gi alarm til vaktselskap ved forsøk på uautorisert adgang. Det skal være automatisk branndeteksjon med varsling til brannvesen Katastrofesikring Det skal være automatisk brannslukningsutstyr i serverrom. Arkiv, serverrom og andre relevante rom skal sikres mot vannlekkasje. Brann eller andre uhell skal ikke permanent slette eller ødelegge virksomhetskritisk informasjon. Servere skal sikres mot overspenninger og utilsiktet strømbrudd. Separat strømforsyning skal være tilgjengelig. 3.7 RISIKOVURDERINGER All risiko forbundet med fylkeskommunens informasjonsbehandling skal være akseptabel i henhold til kriterier som ledelsen har fastsatt. For å sikre dette skal det gjennomføres risikovurderinger og iverksettes nødvendige risikobegrensende tiltak. Risikovurdering av eksisterende informasjonsbehandlinger prioriteres med utgangspunkt i informasjonens beskyttelsesbehov. For nye informasjonssystemer, nye integrasjoner og endringer gjelder følgende: Nye informasjonssystemer skal risikovurderes før de tas i bruk. Systemer som kun inneholder informasjon med lavt beskyttelsesbehov unntas risikovurdering, men det skal dokumenteres at systemet ikke inneholder annen informasjon. Risiko skal være definert som akseptabel før systemer tas i bruk. Det skal dokumenteres hvilke risikobegrensende tiltak som er iverksatt. Nye integrasjoner skal risikovurderes før de settes i gang. Integrasjoner mellom systemer som kun inneholder informasjon med lavt beskyttelsesbehov unntas risikovurdering, men det skal dokumenteres at systemene ikke inneholder annen informasjon. Risiko skal være definert som akseptabel før systemer tas i bruk. Det skal dokumenteres hvilke risikobegrensende tiltak som er iverksatt. Systemtekniske endringer som kan ha betydning for informasjonssikkerheten skal risikovurderes før de iverksettes. Endringer på systemer som kun inneholder informasjon med lavt beskyttelsesbehov unntas risikovurdering, men det skal dokumenteres at systemene ikke inneholder annen informasjon. Risiko skal være definert som akseptabel før endring iverksettes. Det skal dokumenteres hvilke risikobegrensende tiltak som er iverksatt.

14 3.7.1 Kriterier for akseptabel risiko I forbindelse med risikovurderinger benyttes følgende kriterier for akseptabel risiko. Konsekvens Liten Moderat Stor Katastrofal Hendelsen kan medføre økonomisk tap men som kan gjenopprettes, eller kan føre til tap av anseelse eller integritet. Eksempelvis kompromittering av opplysninger den registrerte oppfatter som følsomme. Hendelsen kan medføre betydelig økonomisk tap men som kan gjenopprettes, eller kan føre til tap av anseelse eller integritet. Eksempelvis kompromittering av opplysninger den registrerte oppfatter som krenkende, eller som andre kan gjøre nytte av. Hendelsen kan føre til tap av helse, uopprettelig økonomisk tap, eller kan føre til alvorlig tap av anseelse og integritet. Hendelsen kan føre til tap av liv, vedvarende helsetap, betydelig og uopprettelig økonomisk tap eller alvorlig tap av anseelse eller integritet som påvirker liv, helse eller økonomi. Svært høy Hendelsen kan inntreffe flere ganger hvert år Besluttes i hvert enkelt tilfelle av ledelsen Ikke akseptabel risiko Ikke akseptabel risiko Ikke akseptabel risiko Sannsynlighet Høy Moderat Hendelsen kan inntreffe hvert år Hendelsen kan inntreffe hvert 3. år Akseptabel risiko Akseptabel risiko Besluttes i hvert enkelt tilfelle av ledelsen Akseptabel risiko Ikke akseptabel risiko Besluttes i hvert enkelt tilfelle av ledelsen Ikke akseptabel risiko Ikke akseptabel risiko Lav Hendelsen kan inntreffe hvert 5. år Akseptabel risiko Akseptabel risiko Akseptabel risiko Besluttes i hvert enkelt tilfelle av ledelsen 3.8 AVVIKSHÅNDTERING Avvik skal alltid rapporteres til nærmeste leder. Alvorlige hendelser av sikkerhetsmessig betydning skal rapporteres videre til informasjonssikkerhetsansvarlig. Informasjonssikkerhetsansvarlig har ansvar for oppfølging og beslutning av korrigerende tiltak som gjelder hendelser ved brudd på konfidensialitet eller integritet samt enkeltpersoners brudd på sikkerhetsreglene. Hvis personopplysninger er kommet på avveie eller det er mistanke om det samme, skal informasjonssikkerhetsansvarlig orientere Datatilsynet innen Datatilsynets fastsatte frister.

15 Seksjonsleder teknologi har ansvar for oppfølging og beslutning av korrigerende tiltak som gjelder hendelser relatert til tilgjengelighet på fylkeskommunens informasjonssystemer. 3.9 LEVERANDØRER/SAMARBEIDSPARTNERE Alle formaliteter mellom Hedmark fylkeskommune og leverandører/samarbeidspartnere skal være regulert i SLA-avtaler (Service Level Agreement) og eventuelt databehandleravtaler der det er behov for det. Disse skal inkludere relevante sikkerhetskrav. Hedmark fylkeskommune skal alltid ha rett til innsyn og måling av hvorvidt sikkerhetskrav etterleves av en leverandør/samarbeidspartner. Databehandleravtalen skal alltid være en separat avtale, men SLA-krav inngår normalt som en del av en leveranseavtale (kjøp, vedlikehold eller drift) SYSTEMTEKNISK SIKKERHET Generelt Hedmark fylkeskommunes informasjonssikkerhet skal aldri basere seg på at sikkerheten er ivaretatt av andre, men alltid vurdere beskyttelsesbehov, risiko og iverksette egne tiltak dersom det er nødvendig. Sikkerhetstiltak skal vurderes og iverksettes i henhold til definert beskyttelsesbehov. Vurdering av beskyttelsesbehov skal inngå i alle endringer som kan påvirke informasjonssikkerheten. Før programmer eller systemer settes i produksjon skal rutiner for drift, proaktiv overvåkning og beredskap være iverksatt. Før programvaren/systemer settes i produksjon, skal teknisk sikkerhetsnivå verifiseres. Ved feil eller mangler skal retting av eventuelle feil/mangler gjennomføres før systemet settes i produksjon. Rettelser av feil og mangler skal verifiseres. Verifikasjon av sikkerhet gjennom test skal utføres av andre personer enn de som har vært med på å utvikle systemet eller personer som drifter systemer Tilgangskontroll Tilgangskontroll skal så langt det er mulig automatiseres med bakgrunn i autoritative kildesystemer (HRM-system og skoleadministrativt system). Nærmeste leder er ansvarlig for å klarlegge og autorisere en ansatts behov for tilgang og formidle dette til systemansvarlig ved ansettelse eller endringer i ansvar. Nærmeste leder er også ansvarlig for å melde fra når personell slutter slik at tilgangsrettigheter fjernes. Systemeier er ansvarlig for å godkjenne tilgang til egen forvaltet informasjon. Systemeier er ansvarlig for å vedlikeholde tilgangsrettigheter samt holde oversikt over de tilgangsrettigheter som er gitt. Informasjonssystemer skal være konfigurert til å logge uautorisert tilgang eller forsøk på uautorisert tilgang. Tilgang relatert til brukere skal være sporbart til brukernavn/-identifikasjon. Antall passord eller tilsvarende som en bruker må kunne skal minimaliseres. Autentiseringsmekanismer skal fortrinnsvis være integrert med og bygge på underliggende autentiseringsmekanismer i operativsystem og nettverk. Mekanismer i underliggende

16 nettverkskomponenter, operativsystem og annen programvare kan også benyttes for å oppnå at brukere bare har tilgang til relevant informasjon. Sterk autentisering skal som hovedregel benyttes ved pålogging til fylkeskommunens informasjonssystemer fra eksterne nettverk. Avvik fra dette kravet skal risikovurderes med bakgrunn i beskyttelsesbehovet til informasjonen som behandles i systemet Konfigurasjonskontroll Oversikt over gyldig sikkerhetsdokumentasjon, utstyr, programvare og systemkonfigurasjon skal utarbeides og vedlikeholdes. IT-avdelingen har ansvaret for å utarbeide og vedlikeholde oversikt over utstyr, programvare og systemkonfigurasjon. Informasjonssikkerhetsansvarlig har ansvaret for å utarbeide og vedlikeholde oversikt over sikkerhetsdokumentasjon Endringskontroll Ved endringer i Hedmark fylkeskommunes informasjonssystemer skal alltid beskyttelsesbehov vurderes, og om endring kan ha konsekvenser for sikkerheten. Endringer som kan ha konsekvenser for informasjonssikkerheten, skal godkjennes av informasjonssikkerhetsansvarlig. For endringer som kan ha sikkerhetsmessig konsekvens, skal det utarbeides en risikovurdering inkludert forslag til tiltak som oversendes informasjonssikkerhetsansvarlig som en del av endringsforespørsel. Sikkerhet skal være et vurderingspunkt gjennom alle faser av en endring. Krav til sikkerhet og overordnet vurdering av risiko skal inngå i eventuelle forprosjekt. Ved en eventuell kontrakt med tredjepart skal krav til sikkerhet inngå i kontrakten. Produksjonsdata som inneholder sensitive personopplysninger eller annen konfidensiell informasjon skal anonymiseres før de benyttes ved tester knyttet til endringer. Sikkerhetsnivå skal verifiseres før endringer settes i drift Datanettverk og datakommunikasjon Hedmark fylkeskommunes nettverk skal inndeles i soner der nettverkstrafikk mellom sonene begrenses til relevant trafikk. Brannmurer og tilsvarende sikkerhetsbarrierer skal benyttes for å oppnå sikre skiller mellom sonene. Det skal benyttes to separate sikkerhetsbarrierer mellom sikre soner (soner med sensitive personopplysninger) og eksterne nettverk. Kommunikasjon fra usikre soner til sikre soner tillates ikke. Kommunikasjon fra sikre soner til eksterne nettverk tillates ikke. All ekstern kommunikasjon skal rutes via sikkerhetsbarrierer som filtrerer uønsket trafikk. Det skal være elektronisk overvåking av ekstern nettverkstrafikk/kommunikasjon mot virksomhetskritiske systemer og nettverk ved Hedmark fylkeskommune. Support fra leverandører over eksterne linjer skal benytte VPN-løsning med kryptering. Tilkoplingen i Hedmark fylkeskommunes nettverk skal aktivt åpnes/lukkes etter behov. Dersom det likevel etter en risiko/nyttevurdering anses som påkrevd med kontinuerlig forbindelse skal tilkobling skje i egen nettverkssone der trafikk overvåkes og kontrolleres. Datamaskin som ikke eies av Hedmark fylkeskommune skal kun tilkobles fylkeskommunens nettverk i eget nettverk beregnet for dette.

17 Infrastruktur og datamaskiner Programvare- og maskinvareplattformer benyttet i Hedmark fylkeskommunes nettverk skal være standardisert. All installasjon og konfigurering skal utføres av eller i samråd med fylkeskommunens IT-personell. Automatisk passordbeskyttet skjermsparer skal benyttes på datamaskiner og servere. Systemene skal regelmessig oppdateres med relevante sikkerhetspatcher. Server og klienter skal være herdet mot innbrudd og nedetid. To-nivå automatisk viruskontroll og med automatisk oppdatering av signaturer skal være iverksatt. Med to-nivå menes intern viruskontroll og viruskontroll på ytre barriere. Alle datamaskiner tilknyttet Hedmark fylkeskommunes nettverk skal være innkjøpt og konfigurert av Hedmark fylkeskommunes IT-personell. Bærbare PC-er som benyttes av Hedmark fylkeskommunes ansatte skal krypteres og beskyttes mot endringer ved oppstart. Utførelse av rutiner for egenkontroll og drift, samt håndtering av sikkerhetsrelaterte hendelser eller hendelser knyttet til manglende stabil drift, skal logges. Hedmark fylkeskommune systemer og nettverk skal ha synkroniserte klokker BEREDSKAP Informasjonssikkerhet skal innarbeides i Hedmark fylkeskommunes krisehåndteringsplan og inneholde: Ansvar for håndtering av hendelser og hvordan dette skal varsles. Effektiv håndtering sikres gjennom rutiner som er tilgjengelig for relevante personer. Hendelser skal håndteres i henhold til hendelsens alvorlighet. Drift og kontinuitetsplan for å gjenopprette normaldrift.

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

SIKKERHETSINSTRUKS - Informasjonssikkerhet

SIKKERHETSINSTRUKS - Informasjonssikkerhet SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

3.1 Prosedyremal. Omfang

3.1 Prosedyremal. Omfang 3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative

Detaljer

Policy for personvern

Policy for personvern 2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER) Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Er din bedrift klar for ny personopplysningslov?

Er din bedrift klar for ny personopplysningslov? Er din bedrift klar for ny personopplysningslov? 1. Hva er GDPR? GDPR står for General Data Protection Regulation. GDPR er EUs nye personvernforordning som blir norsk lov den 25. mai i år. Innføringen

Detaljer

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen Det frivillige Skyttervesen Del 1 Personvernerklæring Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1 av

Detaljer

Personvern og informasjonssikkerhet

Personvern og informasjonssikkerhet Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom..kommune Behandlingsansvarlig og

Detaljer

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om

Detaljer

Prosedyre for personvern

Prosedyre for personvern Formål: Hensikten med denne prosedyren er å sørge for samsvar med relevant regelverk for vern av personopplysninger. Prosedyren skal også sikre styring, gjennomføring og kontroll av hvordan selskapet håndterer

Detaljer

Policy. for. informasjonssikkerhet. ved NMBU

Policy. for. informasjonssikkerhet. ved NMBU Policy for informasjonssikkerhet ved NMBU Ver: 1.01 Vedtatt: 25. april 2013 Oppdatert: 26. januar 2014 Innholdsfortegnelse NMBUS POLICY FOR INFORMASJONSSIKKERHET - GENERELT 1 INNLEDNING... 1 1.1 Bakgrunn...

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS Rutine for informasjonssikkerhet for personopplysninger i BRIS RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS Innhold 1. Innledning 2 2. Formålet med BRIS 2 3. Personopplysninger i BRIS

Detaljer

Plan for informasjonssikkerhet Bjugn kommune

Plan for informasjonssikkerhet Bjugn kommune Plan for informasjonssikkerhet Bjugn kommune Våren 2015 1 Innledning...3 Overordnet mål...4 Delmål...4 Grunnkrav...4 System for oversikt behandlinger...4 Akseptkriterier...4 System for behandling av avvik...5

Detaljer

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Avviksbehandling Støttedokument Faktaark nr 8 Versjon: 5.1 Dato: 11.12.2018 Formål Formålet med avviksbehandling er å: Håndtere sikkerhetsbrudd

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold VEILEDER GDPR PERSONVERN DEL 2 - personopplysninger utover ansatteforhold Nye krav fra 20. juli 2018 Forordningen ble norsk lov og den gjeldende loven ble erstattet. Det nye lovverket styrker forbrukernes

Detaljer

BEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS

BEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS BEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS Disse rutinene for behandling av personopplysninger («Rutinene») er besluttet av ledelsen i Dekk og Felg AS («Selskapet») og gjelder all behandling av

Detaljer

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg «GDPR i Bodø kommune» 22. januar 2019 Silje Valberg GDPR 20. juli 2018 ble «GDPR», også omtalt som EUs personvernforordning en del av den norske personopplysningsloven. GDPR viktige endringer: De registrerte

Detaljer

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 GDPR General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 en grunnleggende kjedelig men absolutt nødvendig innføring for lag og foreninger i Asker

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,

Detaljer

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Policy for informasjonssikkerhet og personvern i Sbanken ASA Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer

Detaljer

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02 Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr:

Detaljer

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering») Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel

Detaljer

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen») Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig

Detaljer

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale Pilot Digitalt Bortsettingsarkiv Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt

Detaljer

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune W Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune Innhold 1. Bruker-ID og passord... 3 2. Privat bruk og eiendomsrett... 3 3. Innsyn... 3 4. Virus og spam... 4 5. Konfidensialitet...

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Styringsdokument internkontroll

Styringsdokument internkontroll Styringsdokument internkontroll Side 1 av 2 Styringsdokument internkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

Informasjonssikkerhet og personvern Definisjoner

Informasjonssikkerhet og personvern Definisjoner Informasjonssikkerhet og personvern Definisjoner Gjelder for: Alle ansatte Vedtatt av: Rådmannen Dokumentansvarlig (Enhet): Interne tjenester Revisjonsintervall: Årlig Distribusjon: Intranett, hjemmeside,

Detaljer

Databehandleravtale for NLF-medlemmer

Databehandleravtale for NLF-medlemmer Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Hva skal i sak/arkivsystemet og hva skal i fagsystem?

Hva skal i sak/arkivsystemet og hva skal i fagsystem? Hva skal i sak/arkivsystemet og hva skal i fagsystem? Solfrid Kjærran, nestleder Arkiv i Nordland 25.11.15 Skulpturlandskap Nordland Meløy Foto: Aina Sprauten Bakgrunn Henvendelser fra kommunene til KS

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Noen aktuelle tema for personvernombud i finans

Noen aktuelle tema for personvernombud i finans Noen aktuelle tema for personvernombud i finans 31.01.2019 HVEM I ALLE DAGER SKAL (VIL?) VÆRE PERSONVERNOMBUD? Uavhengig rolle Kompetent på juss it - sektor Ikke den som bestemmer eller gir råd om prioriteringer

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur Retningslinje for fysisk sikring av IKTinfrastruktur Type dokument Retningslinje Forvaltes av Økonomi- og eiendomsdirektør Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018

Detaljer

Risikovurdering av cxstafettloggen

Risikovurdering av cxstafettloggen Risikovurdering Side 1 av 6 Risikovurdering av cxstafettloggen Haugesund kommune har gjennomført ei risikovurdering av informasjonssikkerheten i forbindelse med plan om oppstart av CX Stafettloggen. I

Detaljer

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle Databehandleravtale Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 8 Versjon: 5.0 Dato: 21.11.2018 Formål Ansvar Gjennomføring Omfang Målgruppe Dette

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune Overordnede retningslinjer for Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Versjon 1.0 Dato 10.12.2014 Utarbeidet av Sikkerhetskoordinator Side 1 Innhold 1. Ledelsens formål med informasjonssikkerhet...

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

2.12 Sikkerhetsinstruks bruker

2.12 Sikkerhetsinstruks bruker 2.12 Sikkerhetsinstruks bruker Side 1 av 7 2.12 Sikkerhetsinstruks bruker Denne instruksen erstatter tidligere Databrukeravtale ref http://www.svk.no/getfile.php/160353.652/databrukerkontrakt++svk+v+01.pdf

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

GDPR - Personvern

GDPR - Personvern Eid Elektro AS skrevet ut av Ove Kjøllesdal 3/9/18 15:37:31 00.110 GDPR - Personvern Hensikt Personopplysningslovens bestemmelser gir de overordnede rammene for behandling av personopplysninger. Prosedyren

Detaljer

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Personvern - sjekkliste for databehandleravtale

Personvern - sjekkliste for databehandleravtale ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten

Detaljer

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] Databehandleravtale Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] 1 Kontraktens parter Kontrakten inngås mellom databehandlingsansvarlig

Detaljer

ekommune 2017 Prosessplan for god praksis om personvern

ekommune 2017 Prosessplan for god praksis om personvern ekommune 2017 Prosessplan for god praksis om personvern Utfordringen Ble tidligere i år klar over at ny EUforordning ville medføre nye krav fra mai 2018 => erkjennelse: Overhalla kommune har et grunnleggende

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Krav til informasjonssikkerhet

Krav til informasjonssikkerhet Krav til informasjonssikkerhet Innhold Informasjonssikkerhet vs personvern Eksempler på sårbarheter MTU og Normen Krav til informasjonssikkerhet i Normen 17.03.2018 2 Informasjonssikkerhet - begrep Behandler

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene Avtale mellom Eksempel kommune og Arbeids- og velferdsdirektoratet DIGISOS samarbeidsavtale v. 1.0 Side 1 av 7 INNHOLDSFORTEGNELSE:

Detaljer

Prosedyre for skjerming av informasjon

Prosedyre for skjerming av informasjon Prosedyre for skjerming av informasjon FORMÅL: Forebyggende sikkerhet mot kriminelle handlinger. OPPFØLGINGSANSVAR: SB Prosjektledere og PG disiplinledere UTFØRES AV: Alle NÅR: Detaljprosjekt og byggefase.

Detaljer

Databehandleravtale digitale arkiv og uttrekk for deponering

Databehandleravtale digitale arkiv og uttrekk for deponering /X,4 finnmark IXS - J.Ki2tfinmarkun IXS - I3C finnmcirku IXS Deanu gielda - Tana kommune Rådhusveien 24 9845 TANA Vår ref Deres ref Saksbehandler Dato 2017/247-2 Gunnhild Engstad 07.12.2017 direkte tlf.:92671905

Detaljer