Svar på krav om redegjørelse - ny epostløsning

Størrelse: px
Begynne med side:

Download "Svar på krav om redegjørelse - ny epostløsning"

Transkript

1 NARVIK KOMMUNE Datatilsynet Boks 8177 Dep 0034 OSLO Vår ref. (oppgi ved henvendelse) Deres ref. Narvik, /1210-6/PEJA 11/ /FUE Svar på krav om redegjørelse - ny epostløsning Vi viser til Datatilsynets brev med krav om redgjørelse om ny e-postløsning i Narvik kommune datert 30.juni 2011, og vil her redegjøre for de spørsmålsstillingene som Datatilsynet ønsker svar på. Narvik kommune har gjennom mange år benyttet Lotus Notes som sin plattform for e-post. Denne løsningen har krevd stadig mer ressurser til sikker drift og vedlikehold og kommunen har med dagens økonomiske og ressursmessige situasjon funnet det formålstjenlig å se etter ny og bedre løsning for kommunens ansatte som krever mindre driftsressurser og følgelig er rimeligere i drift. Løsningen som kommunen valgte for e-post Google Apps er en moderne og framtidsrettet løsning som også har andre funksjoner for bedre og mer effektiv samhandling som kommunen kan velge å ta i bruk etter behov. I dette ligger det mulighet for effektiv deling av informasjon gjennom dokumenter, presentasjoner, regneark, skjema og verktøy for tegning. Ved å også ta i bruk disse verktøyene vil kommunalt ansatte få mulighet til å samhandle internt på en effektiv og ressursoptimal måte. Løsningen med Google Apps baserer seg på at drift skjer i Google sine datasenter, og følgelig vil data lagres i deres systemer. Google har beskrevet en høy prestandard for datasikkerhet gjennom sitt Security Whitepaper som er vedlagt. Kommunen har i denne prosessen hatt fokus på brukervennlighet, rasjonell drift, personvern og sikkerhet for lagrede data. IT drift og utvikling, Rådhuset, 8512 Narvik Tlf.: , Faks: E-post:

2 1. Spørsmål fra Datatilsynet om redgjørelse for hvilke personopplysninger som kommunen skal behandle i ny e-post løsning (Google Apps). sv: Det primære anvendelsesområdet er e-post til/fra- og mellom kommunens ansatte. Kommunens reglement er tydelig på at ingen person-sensitive opplysninger (innhold) skal sendes med e-post og dette har vært gjeldende også med tidligere system for e-post. Avsender har ansvar for e-postens innhold og for kommunalt ansatte vil risiko for å sende ut e-post med sensitive personopplysninger med a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger - begrenses ved systematisk opplæring og kommunikasjon av gjeldende interne rutiner. Hvis avsender er ekstern part er det som med tidligere system avsender selv som er ansvarlig for sending av innhold i egen e-post og har bekreftet ved innsending at dette faktisk kan sendes med e-post. Man kan allikevel forestille seg at avsender ikke innehar nok teknisk kompetanse til å vurdere om den elektroniske kommunikasjonskanalene er sikker nok for sitt bruk, men dette vil da også kunne sees i parallell til ordinær postforsendelse, der en vanlig avsender ikke kan anses å kunne vurdere gjeldende sikkerhetsnivå i postens distribusjonssystem. Kommunen har for øvrig en rekke IT-fagsystemer som benyttes av de tjenesteytende enhetene for utførelse av ulike kommunale tjenester og for saksbehandling på en sikker og akseptabel måte der systemmessig personvern og informasjonssikkerhet er ivaretatt. Personopplysningslovens 2 1. ledd viser til at personopplysninger defineres som opplysninger og vurderinger som kan knyttes til en enkeltperson. I denne konteksten (e-post konto for kommunalt ansatte) vil personopplysninger som fast (systemmessig) behandles som del av løsningen være opplysninger om fornavn og etternavn, samt kryptert passord til den enkelte kommuneansatte. Dette utgjør da sammen den kommunalt ansatte sin epostkonto hos Google. Da Google Apps også inneholder andre verktøy for effektiv intern samhandling gjennom deling av dokumenter, presentasjoner, regneark, skjema eller tegning- er det formålstjenlig for Narvik kommune å utnytte det fulle potensialet som ligger i verktøyet ved å vurdere andre anvendelser som kan gi ressursmessige, eller økonomiske gevinst for Narvik kommune og kommunens ansatte. Vi vil poengtere at det i dette ikke ligger noen form for saksbehandling da all saksbehandling foregår i andre kommunale fagsystemer. Noen få eksempler på områder som kan være aktuelt å benytte de øvrige verktøyene i Google Apps til er: a. Ferielister der navn på enhetsleder og kommunalt telefonnummer lagres sammen med tidsperiode for ferie. b. Rutiner og retningslinjer som skal være kjent for alle kommunalt ansatte (eks. Rutiner for bruk av Internett og e-post) c. Dokumenter for opplæring og formidling av kompetanse i organisasjonen. d. Register over IT systemer/fagapplikasjoner- med tilhørende navn på teknisk driftsansvarlig, systemeier og systemansvarlig. e. Rammeverk for interne avtaler om leveranse av tjenester mellom kommunale enheter - SLA (Service Level Agreement). f. Samstilling av økonomitall fra ulike enheter til sentral støttefunksjon i økonomienheten. g. Påmeldinger til felles samlinger og kurs for kommunalt ansatte. Side 2 of 11

3 De personopplysningene det vil være snakk om å lagre i ovennevnte eksempler gjelder kommunalt ansatte og innebærer navn, telefonnummer, e-postadresse og organisasjonstilhørighet. Alt dette er åpent tilgjengelige personopplysninger som også publiseres på kommunens websider. 2. Spørsmål fra Datatilsynet om risikovurderinger som kommunen har foretatt i anledning behandling av personopplysninger i Google Apps. sv: Det er gjennomført en helhetlig risikoanalyse tilknyttet innføringen av nytt IT-system som er gjennomgått i Kommunens informasjonssikkerhetsutvalg og vedlagt her i sin helhet. Liste over de forhold som er vurdert opplistes for ordens skyld allikevel her: a. En systematisk analyse av hvilke trusler opplysningene er utsatt for. b. Hvor stor sannsynlighet er det for at uvedkommende vil forsøke å få tilgang til opplysninger? c. Hvor stor er faren for at opplysninger blir endret? d. Hvor stor er faren for at opplysningene ikke er tilgjengelig når de behøves? e. Vurdere risikoen for at det kan skje systematiske eller menneskelige feil som påvirker sikkerheten rundt opplysningene. f. Er det fare for at opplysningene eksponeres for ytre fysisk påvirkning som vanninntregning, brann eller elektromagnetisme? g. Vurdere hvilke skadevirkninger det vil få dersom noen av de risikoene som knytter seg til behandlingen skulle materialisere seg. h. På bakgrunn av dette vurdere hvilke sikkerhetstiltak som må etableres for å oppnå kravet om tilfredsstillende informasjonssikkerhet. i. Sikkerhetstiltak både innenfor organisatoriske, fysiske og tekniske må beskrives. j. Vurdere hvordan sikkerheten knyttet til bruken av mobile enheter ivaretas. Risiko er i vedlegget beskrevet ut fra sannsynlighet/hyppighet (eks. sjelden..svært ofte) og skadeomfang/konsekvens (eks. ubetydelig..katastrofe). Det er verd å merke seg at det i flere tilfeller ikke kan beskrives noen sannsynlighet/hyppighet da det ikke forefinnes noe anvendbart referansemateriale for denne typen hendelser. Hovedområder for hvilke scenarier en slik løsning er utsatt for kan kort oppsummeres til: uønsket tilgang, tap av data, tjenesten (Google Apps) er ikke tilgjengelig- og at ansvar for tjenesten (inkludert sikkerhetsrevisjon) utydeliggjøres. Narvik kommune mener å ha gjennomført en grundig risikoanalyse tilknyttet tjenesten for e-post med Google Apps og gjennom egen trusselvurderingen som er inkludert i risikoanalysen. De emnene som tas opp i trusselvurderingen er: k. Identifisering risiko ved bekjentgjøring av fornavn og etternavn i e-postadresse. l. Autentisering gjennom kombinasjon av navn og passord fare for avsløring. m. Autorisasjon hvem har tilgang og utøver administrasjon for informasjonssystemet. n. Data-innbrudd fare for uautorisert tilgang. o. Kontinuitet planlagt eller ikke planlagt nedetid for tjenesten. p. Monitorering av hendelser mulighet til å oppdage uautorisert bruk. q. Lagring av informasjon innen EU eller USA 3dje parts innsyn. r. Exit overgang til annen leverandør. s. Kompromittering av sensitive opplysninger ved samhandling og deling. t. Mulige juridiske hinder ved iverksettelse av ny teknologi-plattform. Ved vurdering av risikobildet for flytting fra eksisterende løsning var det klart at fysiske lokaliteter og tilgang på teknologi-ressurser utgjorde en viktig faktor. I dette ligger det risiko for at organisasjonen ikke klarer å skaffe og vedlikeholde spesialkompetanse til drift av nok et Side 3 of 11

4 spesialisert IT-system, samt at eksisterende fysiske rammer tilsier at det på nåværende tidspunkt ikke er ønskelig å belaste kommunens datasentral ytterligere ved å tilføre nytt system for e-post. Google gjennomfører jevnlig sikkerhetsrevisjoner av egne systemer. Dette skjer ved at et 3. parts revisjonsfirma reviderer og tilgjengeliggjør sine funn i en revisjonsrapport. Narvik kommune har avtale med Google om å få tilgang til disse 3. parts revisjonsrapportene og vil gjennom innsyn i disse ta opp tema som kan være aktuelle i kommunens informasjonssikkerhetsutvalg. Gjennom systematisk fokus på hendelser og utfordringer tilknyttet bruk av ulike IT systemer i kommunens sikkerhetsutvalg bestående av kommunens sikkerhetsansvarlig samt representanter fra ulike områder og tillitsvalgte vil generelle tiltak for håndtering og sikring av personopplysninger ivaretas. Risiko tilknyttet ulike IT-systemer og menneskers behandling av opplysninger enten dette er på et fysisk eller elektronisk nivå vil alltid være tilstede men ved systematisk gjennomgang og fokus på bygging av kompetanse i organisasjonen er det mulig å minske risiko og i noen tilfeller eliminere denne helt. 3. Spørsmål fra datatilsynet om eventuell avtale inngått med Google direkte, samt oversikt over sikkerhetstiltak Google kan tilby for løsningen. Sv: I vedlagte Security Whitepaper beskrives databehandler (Google) sine strategier med flere lag av sikkerhet for datalagring, datatilgang og overføring. Dette bygger på kontroll over ti nøkkelkomponenter som beskrives kort her. All tekst under er utdrag hentet fra Google s dokument Security Whitepaper: Google Apps Messaging and Collaboration Products og er ment som hjelpetekst. For korrekte definisjoner om innhold og omfang- viser vi til orginalversjonen av Security Whitepaper (vedlagt). Google Corporate sikkerhets-policy. Grunnlaget for Google s engasjement for sikkerhet beskrives gjennom et sett av retningslinjer som dekker fysisk, konto, data, organisatoriske tjenester, nettverk og sikkerhet for datasystemer, applikasjonstjenester, systemtjenester, endrings-styring, hendelses-styring og data senter sikkerhet. Disse retningslinjene gjennomgås regelmessig internt hos Google for å sikre at de er hensiktsmessige og tilpasset. Organisatorisk sikkerhet. Google har opprettet et eget team med en ekspertgruppe innen informasjonssikkerhet, applikasjonssikkerhet og nettverkssikkerhet. Dette teamet er ansvarlig for å vedlikeholde selskapets forsvarssystemer, vedlikeholde prosesser tilknyttet sikkerhetsrevisjoner og bygging av sikker infrastruktur. Verdier klassifisering og kontroll. Google har en omfattende fokus på kontroll og praksis for å ivareta sikkerhet for kundeinformasjon. Google sine applikasjoner kjøres i et distribuert miljø der man i stedet for å samle kundedata på en server eller sett med servere- distribuerer kundedate over en delt infrastruktur sammensatt av Google sine egnenutviklede servere som er lokalisert på mange av Google sine datasenter. Google Apps benytter et distribuert filsystem utviklet for å håndtere store mengder data fra et stort antall maskiner. Brukerdata lagres strukturert i en stor distribuert database. Data deles opp i mange mindre fragmenter og spres utover mange systemer slik at at ingen data forsvinner hvis et del-system faller ut. Disse data-fragmentene gis også tilfeldige filnavn og lagres ikke i klar tekst slik at de ikke skal kunne leses av mennesker. Tilgang til data fra applikasjonsingeniører i en feilrettingssituasjon hos Google er basert Side 4 of 11

5 på streng kontroll der autentisering av personell skjer gjennom utstedelse av et eget x509 sertifikat. Videre fordrer administrativ tilgang til produksjonsdatabaser at oppkobling skjer ved bruk av PKI. (Public Key Infrastructure). Tilgang vil også alltid behovprøves. Personellsikkerhet. Google sine ansatte er påkrevd å oppføre seg i henhold til selskapets normer med hensyn til konfidensialitet, etikk, hensiktsmessig bruk og profesjonelle standarder. Ved ansettelse vil Google ikke bare verifisere utdannelse og tidligere arbeidsforhold, men vil også utføre referansesjekker internt og eksternt. Hvis mulig vil det gjennomføres rulleblad, kreditt, immigrasjon og sikkerhetssjekk. Omfanget av bakgrunnssjekk avhenger av hvilken posisjon som er aktuell. Alt personell gjennomgår opplæring innen sikkerhet ved oppstart. Alle ansatte hos Google er ansvarlig for å videreformidle hendelser innen sikkerhet og personvern til ansatte med spesielt ansvar for sikkerhet. Interne rapporteringsrutiner sikrer at ansatte anonymt kan rapportere enhver etisk problemstilling som oppstår. Fysisk og miljømessig sikkerhet. Google sine datasenter er geografisk distribuert og baserer seg på mange ulike fysiske sikringstiltak. Teknologi og sikkerhetsmekanismer som benyttes på disse lokasjonene kan variere ut fra lokale forhold som bygningsmessig lokasjon og regionale forhold. Datasenter vil alltid være utrustet i henhold til industristandard beste praksis og innebærer bruk av teknologi for tilgangskontroll, alarmsystem, interne og eksterne kamera samt sikkerhetsvakter. Alle kamera og alarmer overvåkes sentralt og områdene patruljeres regelmessig av sikkerhetsvakter ved bruk av sykler, Segway og T3 motion scootere. Det benyttes videre høyoppløselige kamera med videoanalyse og andre systemer for å oppdage og finne forsøk på innbrudd. Tilgang til et Google datasenter begrenses til Google ansatte, godkjent besøk og godkjent tredjepart som jobber i datasenteret. Retningslinjer for besøkende gjelder også for Googleansatte som ikke normalt har tilgang til produksjonsområdene. Google begrenser tilgang inne i datasenter basert på roller ikke posisjon. Dette resulterer i at selv øverste ledelse ikke har automatisk tilgang til Google sine datasenter. IT arkitekturen er bygget på overlapping og dublering av funksjoner for robusthet og kontinuerlig vedlikehold. For å støtte kontinuerlig drift 24/7 er datasentrene utrustet med redundant strømtilførsel der også dieselaggregater med generatorer tar over strømproduksjon ved utfall over lengre tid. Andre systemer som ivaretar fysisk sikring inkluderer kjøleanlegg i datarom og brannalarm. Side 5 of 11

6 Operasjonell sikkerhet. Skadelig programvare er en signifikant risiko i dagens IT miljøer. Google tar slike trusler mot eget nett og kunder seriøst, og benytter ulike metoder for å forebygge, oppdage og ufarliggjøre skadelig programvare. Strategisk innebærer første del av dette å forebygge mot infeksjon ved manuell og automatisert skanning ved å sjekke Google sin søke-index for webområder med skadelig innhold. Dernest tas det i bruk ulike antivirus skannere for å finne skadelig programvare som kan ha sluppet igjennom første skanning. Monitorering på interne systemer ivaretas ved innhenting av data om nettverkstrafikk, Google sine ansattes bruk av systemene og annen kjennskap til sårbarheter. Vurdering av sårbarhet håndteres fortløpende gjennom et eget team som jobber aktivt med scanning for å finne sikkerhets-trussler. Når en legitim trussel oppdages av sikerhetsteamet blir denne logget og prioritert etter alvorlighetsgrad og deretter tildelt en intern eier for videre oppfølgning. Innmeldte hendelser som kan påvirke konfidensialitet, integritet eller tilgjengelighet til systemets data- håndteres gjennom en egen prosess for sikkerhetshendelser. For å sikre at hendelser som gjelder informasjonssikkerhet får en rask behandling er et sikkerhetsteam tilgjengelig 24/7 som støtte for alt personell. Nettverkssikkerhet ivaretas av flere lage med forsvarsmekanismer. Dette for å beskyttenettverket fra forsøk på eksterne dataangrep. All datatrafikk må tilfredsstille Google sine krav til sikkerhet for å kunne overføres på nettverkene. Uautoriserte pakker blir automatisk droppet. Operativsystemene på Google sine servere er basert på en strippet og herdet variant av Linux som er tilpasset med kun de komponentene som er nødvendig for å kjøre Google sine applikasjoner. Systemet er designet for å ivareta full kontroll over både maskinvare og programvare. Sikkerhetsoppdateringer foretas på lik linje til hele den homogene infrastrukturen og hvis en modifisering oppdages som ikke er Google standard, vil systemet returnere automatisk til forrige tilstand. Slike automatiserte, selvhelbredende mekanismer er utformet med tanke på å kunne monitorere og oppdage forandringer som skaper ustabilitet og til å gi informasjon om uønskede hendelser i nettverket. Ved å benytte et robust system med rutiner for endringshåndtering der man benytter sentraliserte mekanismer for registrering, godkjenning og sporing av forandringer ønsker Google å minimalisere risiko for å introdusere uautoriserte modifikasjoner til Google sitt operativsystem. Tilgangskontroll. Alle ansatte i Google får ved ansettelse tildelt en konto for brukeridentifikasjon. Denne kontoen blir benyttet for å identifisere den ansattes aktivitet på Google sitt nettverk inkludert tilgang til ansattdata og kundedata. Ved ansettelse får en ansatt tildelt brukerident fra HR avdelingen og gis da tilgang til et sett med standard privilegier. Der det benyttes passord eller passordfraser vil systemene være satt opp til å benytte sterke regler for passord inkludert utløpsdato, restriksjoner for gjenbruk av passord og tilstrekkelig passord lengde. Kontroll med autorisasjon inkludert tilgangsrettigheter og nivå baseres på den ansatte sin jobb-funksjon og rolle. I dette benyttes konseptet med minst mulig privilegier og need to know for å matche nødvendig tilgang til definerte ansvarsområder. Ansatte i Google vil i utgangspunktet kun tildeles begrensede tilganger til interne ressurser som epost, intranett og ansatt-informasjon. Forespørsel om utvidet tilgang følger en formell prosess som innebærer en forespørsel og en tilgang gitt av data eller systemeier basert på Google sin sikkerhetsinstruks. Tilganger administreres av arbeidsflytverktøy som vedlikeholder inspeksjonslogg over alle endringer. Google har som policy å loggføre all administrativ tilgang til ethvert produksjonssystem og data. Hvis nødvendig er disse loggdata Side 6 of 11

7 tilgjengelig for sikkerhetspersonell hos Google. Systemutvikling og vedlikehold. Gjennom hele levetiden til applikasjoner, systemer og tjenester vurderer Google rutinemessig sikkerhet og implikasjoner tilknyttet disse. I dette ligger det at individer og team tilknyttet Google skal implementere passende sikkerhetsforanstaltninger i applikasjoner, systemer og tjenester som utvikles i samsvar med kjennskap til eventuell risiko. Google benytter en rekke tiltak for å sikre at de programvareprodukter og tjenestene som tilbys brukere holder en høy standard av sikkerhet. Gjennom interne konsulenttjenester til Google sine produkt og engineering team, tilbyr Google Security Team intern bistand innenfor: o Evaluering av sikkerhet og risiko ved prosjekter på design nivå. o Risikovurderinger tilknyttet implementering av produkter. o Gjennomgående konsultasjoner om risiko og mulige løsninger. Sikkerhet er betraktet som kjernen i design og utviklingsprosessene hos Google der utviklerteamene kan bygge på ulike rammeverk for et prosjekt. Google har utviklet og tilpasset sikkerhetsrevisjoner til ulike rammeverk. Hos Google har man innsett viktigheten- og behovet for at alle ressurser innehar kompetanse innen sikkerhet og tilhørende praksis ved programmering. Det gjennomføres derfor et kompetansebyggings program som i dag inkluderer: o Sikkerhetsopplæring for nye ingeniører o Utvikling og vedlikehold av omfattende dokumentasjon for sikkerhet ved programmering. o Målrettede referanser til dokumentasjon og opplæringsmateriell. o Tekniske presentasjoner om sikkerhetsspørsmål o Nyhetsbrev innen tema sikkerhet o Gjentagende konferanser med sikkerhet som tema. Sikkerhet på implementeringsnivå gjennomføres av medlemmer av Google Security Team og vil typisk gjennomføres i de senere stadier av utviklingsprosessen med fokus på sikkerhet ved implementering. Målsettingen er å validere at produktet er robust i forhold til relevante sikkerhets-trussler. Gjenvinning av data ved katastrofe, opprettholdelse av drift. For å minimalisere avbrudd på grunn av maskinvare som feiler, naturkatastrofer eller annet, har Google implementert et system for krisehåndtering ved alle sine datasenter. Dette systemet innebærer multiplisering av komponenter for å minimalisere risikoen for at enkeltkomponenter skal kunne forårsake nedetid: o Data replikering og backup til multiple systemer i datasenter og til sekundært datasenter. o Høy-hastighets forbindelser mellom flere geografisk spredte datasenter gir lavere risiko hvis en hendelse inntreffer i en hel region. o Ledelse av de ulike datasentrene er også distribuert for å gi en lokasjonuavhengig, 24/7 dekning og administrasjon. Det gjennomføres katastrofeøvelser jevnlig i henhold til katastrofeplan. Side 7 of 11

8 Regelverk og juridiske rammeverk. Google følger standard juridiske prosesser ved forespørsler fra tredjepart om innsyn i data. Innsyn kan bare oppnås gjennom en dokumentert juridisk prosess som ransakelsesordre, rettskjennelse, stevning gjennom et lovfestet vedtak, eller gjennom brukers samtykke. Ved mottak av en anmodning om utlevering av informasjon vil Google s juridiske team gjennomgå om forespørselen akseptabel er i henhold til gjeldende lovverk. Hvis forespørselen er juridisk valid er det vanlig prosedyre hos Google å informere den individuelle brukeren- eller organisasjonen om forespørselen unntatt i de tilfellene der en nødsituasjon oppstår eller der dette forhindres av lov. Google ivaretar en sterk personvern policy for å ivareta sikkerhet for kundedata. Denne kan finnes i sin helhet på : og er tilknyttet alle applikasjoner innenfor Google Apps. Mer detaljert om personvern finnes på Google legger vekt på at de ikke eier noen kundedata og ønsker å fortsette med det! Følgende prinsipper legges til grunn for håndtering av kundedata: o Google vil ikke dele data med andre med unntak som beskrevet i Google Privacy Policy. o Google tilrettelegger verktøy for kunder som ønsker å ta med seg data til annen leverandør. Brukerdata blir bare skannet eller indeksert i følgende tilfeller for å gi brukerne en tjeneste med høyere kvalitet: o Noen brukerdata som e-post og dokumenter blir skannet og indeksert slik at brukere innen domenet kan søke etter informasjon på egen Google Apps konto. o E-post skannes slik at Google kan gjennomføre filtrering av spam. o Med unntak av når brukere velger å publisere informasjon åpent er data som ligger i Google Apps ikke en del av den generelle google.com indeksen (søkemotoren). Scanning og indeksering foregår helt automatisk uten involvering fra mennesker. Google kan også velge å fjerne uønsket innhold som overtrer Terms of Service for Google Apps produktene. Safe Harbor Google overholder og opererer i henhold til Safe Harbor rammeverket og er registrert under dette avtaleverket hos det amerikanske handelskammer. SSAE16 (tidl. SAS70-II) Innebærer at det gjennomføres sikkerhetsrevisjoner hos Google utført av en uavhengig 3. part (revisor) etter en gitt industristandard. Formålet er å validere interne rutiner og bekrefte at disse gjennomføres effektivt og hensiktsmessig. Etter gjennomført revisjon vil revisjonsfirma fremskaffe rapport om disse forholdene. Side 8 of 11

9 Øvrige sikkerhetsmessige tilpassninger og muligheter I tillegg til ulike kontrollpunkter som er beskrevet av Google for å ivareta sikkerhet og personvern for kundedata, har Google Apps også flere opsjoner for sikkerhet som kan iverksettes av domene-administratorer (Narvik kommune): o Single Sign On (SSO) Gir administratorer muligheter for flere autentiserings mekanismer som sertifikater, brikker, biometrisk og annet. o Passord lengde og styrke administratorer kan sette nødvendig passordlengde for brukere på domenet. Indikatorer viser passordstyrke og kan hjelpe til med å identifisere passord som ikke holder tilstrekkelig nivå. o Administratorbasert Single Sign-out. Administratorer kan nullstille en brukers informasjonskapsler for å unngå uautorisert tilgang til konto. Dette vil logge brukeren ut fra alle nettlesersesjoner og fordrer ny autentisering ved neste pålogging. o Sikker nettleser oppkobling (SSL - HTTPS) gir administratorer mulighet for å stille inn for alle brukere på domenet at de skal benytte HTTPS protokollen ved oppkobling mot Google Apps. Informasjon som sendes via HTTPS er kryptert fra den forlater Google fram til mottakerens PC. o Ved bruk av retningslinjer for Transfer Layer Security TLS for Simple Mail Transfer Protocol - SMTP kan administratorer gjennomføre retningslinjer utformet for sikker sending og mottak av e-post mellom spesifikke domener. For eksempel kan en administrator spesifisere at all ekstern epost som sendes fra lønnskontoret til banken skal sikres med TLS eller settes på vent hvis TLS ikke kan benyttes. På samme måte kan administrator iverksette en sikker TLS forbindelse mellom domenet (narvik.kommune.no) og eksterne samarbeidspartnere som juridiske rådgivere og revisorer eller andre samarbeidspartnere der ansatte behøver økt sikkerhet. o Søk etter arkivert epost. Ved bruk av Google Message Discovery som er en del av Postini-tjenesten, kan man sette opp et sentralisert og søkbart epost arkivdepot for organisasjonen for søk gjennom arkiv og lagring av epost. Slutt på tekst fra Security Whitepaper Narvik kommune har i denne sammenhengen ikke inngått gjensidig avtale med Google om leveranse av løsning for e-post, men med systemintegrator Avalon Information Systems AB som i denne sammenhengen refererer til Google s dokument Google Apps Technical Support Services for beskrivelse av tjenestenivå og kundestøtte fra Google. Da leveransen for E-posttjenesten er basert på Coud-computing, er det heller ingen lokale ITinstallasjoner hos Narvik kommune som fordrer ekstra avtale om support fra leverandør ut over de tjenestenivåene som er listet i standardavtalen fra Google. 4. Spørsmål fra Datatilsynet om eventuell databehandleravtale mellom kommunen og Google, samt en beskrivelse av informasjonssystemets utforming og plassering. Sv: Informasjon om informasjonssystemets utforming og plassering er beskrevet i vedlagte Security Whitepaper. Av sikkerhetsmessige årsaker ønsker ikke Google å frigi detaljerte opplysninger rundt datasentrenes plassering ei heller tekniske detaljer som kan være kompromitterende i et sikkerhetsperspektiv. EU direktivet om beskyttelse av personopplysninger ble iverksatt i 1998 og forhindret utveksling av data med personopplysninger til land utenfor EU som ikke tilfredsstilte Europaunionens standard for tilstrekkelig personvern. Selv om både USA og EU deler felles målsetting om økt personvern for landenes innbyggere er det allikevel forskjellig tilnærming. For å bygge bro over disse forskjellene og frambringe et verktøy for å strømlinjeforme samarbeidet mellom USA og Europa, ble det utviklet et avtale-rammeverk for databehandling Side 9 of 11

10 av personopplysninger. Dette rammeverket kalles Safe Harbor (se vedlegg) og innebærer at organisasjoner og bedrifter som tilslutter seg dette overholder EU s krav til personvern. Google er listet her og forholder seg strengt til denne avtalen. Gjennom dokumentet Security Whitepaper, Google s tilslutning til Safe Harbour-avtalen og Narvik kommune s tilgang til sikkerhetsrevisjonsrapporter fra 3dje parts revisjonsfirma og sett i lys av at formålet med leveransen primært er E-post til kommunalt ansatte er det ønskelig at dette i sum skal tilfredsstille myndighetenes krav om databehandleravtale. 5. Spørsmål fra Datatilsynet om hvordan følgende problemstillinger er avklart med Google: a. Sikkerhetskopiering sv: Prosedyrer for sikkerhetskopiering er nærmere beskrevet i Security Whitepaper. Ved replikering og backup lagres data på flere systemer på samme datasenter og replikeres samtidig til et sekundært datasenter. Dette for å sikre at ingen data tapes ved katastrofer eller uønskede hendelser. b. Hvem hos Google som har tilgang til kommunens personopplysninger sv: Google beskriver i Security Whitepaper et rigid system for autorisasjon og tilgangskontroll før ansatte får tilgang til produksjonsdata. Det er utover dette ikke navngitt noen enkeltperson som har tilgang til kommunens data. Google beskriver også at håndtering av produksjonsdata for virussjekk og indeksering skjer maskinelt. c. På hvilken måte kommunen skal gjennomføre sikkerhetsrevisjon hos Google. sv: Kommunen har etter avtale med Google tilgang til SSAE 16 rapporter fra sikkerhetsrevisjoner fra 3.dje parts revisjonsfirma. Disse revisjonsrapportene mottas jevnlig etter hver revisjon- og skal rutinemessig taes opp til behandling i kommunens informasjonssikkerhetsutvalg. I tillegg til de punktene som er nevnt vil vi også generelt kommentere mulighetene i systemet for mobile brukere. Dette vil være et område som vil kreve langsiktig fokus på gode rutiner, kompetansebygging og systemmessige sikkerhetsmekanismer i kombinasjon. Dette er også en ny mulighet for mange brukere krever en ansvarlig holdning fra den enkelte ansatte i forhold til håndtering av mobile enheter ved bruk i det offentlige rom, tap eller tyveri. I løsningen fra Google ligger det systemmessige administrative funksjoner som innebærer at brukerdata på mobil enhet raskt kan slettes av administrator og at informasjon gjøres utilgjengelig for annen part. Dette er allikevel ikke å anse som noen erstatning for brukeropplæring og holdnings skapende arbeid men vil være et svært nyttig verktøy ved tap av mobil enhet. Vi håper dette gir et tilfredsstillende bilde av vurderingene tilknyttet ny e-postløsning i Narvik kommune. Med vennlig hilsen Per Jakobsen Enhetsleder IT Drift og Utvikling Side 10 of 11

11 Side 11 of 11

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Narvik kommune Postboks 64 8501 NARVIK Deres referanse Vår referanse (bes oppgitt ved svar) 1111/1210-6/PEJA 11/00593-7/SEV 16. januar 2012 Dato Varsel om vedtak - Ny e-postløsning i Narvik kommune - Google

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Public 360 Online Datasikkerhet

Public 360 Online Datasikkerhet Public 360 Online Datasikkerhet Ver. 1.0 Mars 2014 Public 360 Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft Windows Azure. Azure er valgt som skyplattform ettersom

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen. 1.5 Definisjoner Definisjoner i Personopplysningslov og -forskrift 1) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. 2) Behandling av personopplysninger Enhver bruk av

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Når du registrerer deg for å få tilgang til Tjenestene som arrangør Kontakter oss med forespørsler

Når du registrerer deg for å få tilgang til Tjenestene som arrangør Kontakter oss med forespørsler RETNINGSLINJER FOR PERSONVERN 22.01.2016 1. Om Hoopla AS Hoopla AS («Hoopla») gjør det mulig å planlegge, promotere og selge billetter til et arrangement. Vi gjør dette, gjennom tilgjengelig programvare

Detaljer

3.1 Prosedyremal. Omfang

3.1 Prosedyremal. Omfang 3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom

Detaljer

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt». Personvern vilkår Om Velkommen til Hoopla, Hoopla AS ( Selskapet, Vi og/eller Vår ) gjør det mulig for mennesker å planlegge, promotere og selge billetter til et Arrangement. Vi gjør det enkelt for alle

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Helseforskningsrett med fokus på personvern

Helseforskningsrett med fokus på personvern Helseforskningsrett med fokus på personvern Sverre Engelschiøn Helseforskningsrett 2009 Sverre Engelschiøn 1 Tema Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Helseforskningsrett

Detaljer

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler. 27.10.2011 Advokat Herman Valen

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler. 27.10.2011 Advokat Herman Valen Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler 27.10.2011 Advokat Herman Valen 2 Innledning Regelverket for offentlige anskaffelser Kjennetegnet ved cloud-tjenester Standardiserte

Detaljer

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Innledning Hva er cloud computing? IaaS, PaaS, SaaS osv Skyen er en forretningsmodell som bygger på noen prinsipper: Standardisering (tjenester,

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

VI BYGGER NORGE MED IT.

VI BYGGER NORGE MED IT. VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Mobilbank kontrollspørsmål apper

Mobilbank kontrollspørsmål apper Egenevalueringsskjema Mobilbank DATO: 31.10.2014 Evalueringsskjema Mobilbank apper Del 1 Del 2 Strategi og sikkerhetspolicy Kost-nytte og ROS-analyser Utvikling og oppdatering Avtaler Driftsrelaterte spørsmål

Detaljer

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX

Detaljer

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit COMPLIANCE GENERAL DATA PROTECTION REGULATION Johnny Berntsen ISO/IEC 27001 Master Knowit Hva er GRDP? GDPR står for General Data Protection Regulation og er erstattningen og oppdatering av EU s 20 år

Detaljer

Skjema for egen evaluering

Skjema for egen evaluering Underlagt taushetsplikt etter energiloven 9-3 jf bfe 6-2. Unntatt fra innsyn etter offentleglova 13. (når utfylt) Skjema for egen evaluering Beskyttelse av driftskontrollsystem Dato for gjennomgang: Ansvarlig

Detaljer

Innføring av 2-faktor autentisering ved pålogging - for kunder som benytter Evolution -

Innføring av 2-faktor autentisering ved pålogging - for kunder som benytter Evolution - 1 Innføring av 2-faktor autentisering ved pålogging - for kunder som benytter Evolution - Målsetning med presentasjon: Øke kunders kompetanse om riktig valg av sikring av persondata ved bruk av 1- eller

Detaljer

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 NOTAT Til: Landsstyret Fra: Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 Spørreundersøkelser personvern På det siste møtet før landsmøtet behandlet AU en søknad fra Svarte Nattakonferansen om bruk

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Hva skal i sak/arkivsystemet og hva skal i fagsystem?

Hva skal i sak/arkivsystemet og hva skal i fagsystem? Hva skal i sak/arkivsystemet og hva skal i fagsystem? Solfrid Kjærran, nestleder Arkiv i Nordland 25.11.15 Skulpturlandskap Nordland Meløy Foto: Aina Sprauten Bakgrunn Henvendelser fra kommunene til KS

Detaljer

2.13 Sikkerhet ved anskaffelse

2.13 Sikkerhet ved anskaffelse 2.13 Sikkerhet ved anskaffelse Gjennomføringsansvar: Alle som gjennomfører IT-anskaffelser i Midt-Telemarkkommunene kan bruke denne prosedyren som rettesnor. Hensikten med denne planen er: Danne grunnlag

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Informasjonssikkerhetsprinsipper

Informasjonssikkerhetsprinsipper Ver. 1.0 Mai 2012 Versjonskontroll og godkjenning Dokumenthistorie Versjon Dato Forfatter Endringsbeskrivelse 0.1 (UTKAST-1) 10.07.2010 Christoffer Hallstensen Opprettelse 0.1 (UTKAST-2) 12.07.2010 Christoffer

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT)

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) 25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) Opplysninger om fylkeskommunen Fylkenr Fylkeskommunens navn Navn skjemaansvarlig Tlf nr E-post skjemaansvarlig Strategi 1 Har fylkeskommunen

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

OBC FileCloud vs. Dropbox

OBC FileCloud vs. Dropbox OBC FileCloud vs. Dropbox Whitepaper Innledning: utfordringer Ansatte tyr stadig oftere til usikrede, forbrukerrettede fildelingstjenester i nettskyen for å få tilgang til arbeidsdokumenter fra flere utstyrsenheter

Detaljer

Etikk- og personvernshensyn i brukerundersøkelser

Etikk- og personvernshensyn i brukerundersøkelser www.nr.no Etikk- og personvernshensyn i brukerundersøkelser Workshop om brukerundersøkelser 21. mai 2010, Norsk Regnesentral (NR) Kristin S. Fuglerud Seniorforsker Agenda: personvern og etikk 2 1. Personopplysningsloven

Detaljer

2.4 Bruk av datautstyr, databehandling

2.4 Bruk av datautstyr, databehandling 2.4 Bruk av datautstyr, databehandling Formål Denne prosedyren skal beskrive generelle krav til informasjonssikkerhet ved bruk av datautstyr i Midt-Telemarkkommunene. Den skal leses av alle medarbeidere,

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

BEHANDLING AV PERSONOPPLYSNINGER

BEHANDLING AV PERSONOPPLYSNINGER BEHANDLING AV PERSONOPPLYSNINGER 1.0 Innledning 1.1 Definisjon av personopplysninger 1.2 Behandlingsansvarlig 1.3 Vilkår for å behandle personopplysninger 1.3.1 Samtykke 1.3.2 Krav om informasjon 1.3.3

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Kundens tekniske plattform

Kundens tekniske plattform Kundens tekniske plattform Statens vegvesen IKT-avdelingen Versjon: 1.1 27.02 2015 Status: Godkjent Side 1 av 5 Innhold 1 Innledning 2 Teknisk plattform 2.1 Interne miljøer 2.1.1 Systemtest (UTV) 2.1.2

Detaljer

«SAP» betyr SAP-selskapet som du har inngått avtale med om tjenesten.

«SAP» betyr SAP-selskapet som du har inngått avtale med om tjenesten. Tjenestenivåprogram for Ariba Commerce Cloud-tjenester Tilgjengelighetsgaranti for tjenester Sikkerhet Diverse 1. Tilgjengelighetsgaranti for tjenester a. Bruk. Tilgjengelighetsgarantien for tjenester

Detaljer

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen INF1000: IT og samfunn Uke 6, høst 2014 Siri Moe Jensen Oversikt Praktisk om semesterplan og obliger Hilde Lovett, Teknologirådet IT: Eksempler på muligheter og løsninger Kan teknologi styres? Om anvendelse

Detaljer

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder HØRINGSNOTAT Høring av forslag til nye eller reviderte forvaltningsstandarder Dato for utsendelse 23.01.17 Behandles i Standardiseringsrådet 22.03.17 Frist for høringssvar 27.02.17 Implementeres i referansekatalogen

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer) Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter

Detaljer

IT-reglement Aurskog-Høland kommune for ansatte og politikere

IT-reglement Aurskog-Høland kommune for ansatte og politikere IT-reglement Aurskog-Høland kommune for ansatte og politikere Vedtatt i rådmannens ledermøte 03.12.14 0 For at kommunens IT-systemer skal fungere optimalt er det viktig at alle kommunens ITbrukere følger

Detaljer

autentiseringsdata 1.3 Forhold til andre retningslinjer og policyer ved NTNU

autentiseringsdata 1.3 Forhold til andre retningslinjer og policyer ved NTNU NTNU Norges teknisk-naturvitenskapelige Universitet 1 Innledning Dokumentet inneholder retningslinjer for behandling av brukernavn/passord og andre som benyttes ved NTNUs dataanlegg. Retningslinjene spesifiserer

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

DRI1010 Emnekode. Oppgave Kandidatnummer Dato Oppgave 1 361 2015-05-05 For å kunne vite hvilken betydningen det har for anvendelsen av personopplysningsloven når det skal behandles sensitive personopplysninger så må man vite hva «sensitive personopplysninger»

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Personvern og sikkerhet

Personvern og sikkerhet Personvern og sikkerhet Formålet med personvern er å verne om privatlivets fred, den personlige integritet og sørge for tilstrekkelig kvalitet på personopplysninger. Behandlingen av personopplysninger

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011 Cloud computing og offshoring Juridiske sjekkpunkter for overføring av data til utlandet Espen Werring, 1. desember 2011 Er dette noe å bry seg om? Betydelig vekst innen offshoring de seneste årene Alle

Detaljer

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN 1.1 Sikkerhetskravene bygger på at det til enhver tid skal være et 1 til 1-forhold mellom det som er registrert i Virksomhetens

Detaljer

Direktiv Krav til sikkerhetsstyring i Forsvaret

Direktiv Krav til sikkerhetsstyring i Forsvaret Direktiv Krav til sikkerhetsstyring i Forsvaret Forsvarssjefen fastsetter Direktiv Krav til sikkerhetsstyring i Forsvaret til bruk i Forsvaret Oslo, 10. desember 2010 Harald Sunde General Forsvarssjef

Detaljer

Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt.

Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt. RETNINGSLINJER FOR PERSONVERN Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt. Vi er forpliktet til å sikre

Detaljer

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Go to  use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn. INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1

Detaljer

Oslo kommune Utdanningsetaten

Oslo kommune Utdanningsetaten Utdanningsetaten P. Reinholdsen Dato: 22.03.2016 Deres ref: Vår ref (saksnr): Saksbeh: Arkivkode: 16/02641-2 Rohan Fininger, 95754230 Innsynshenvendelse etter Offentlighetslova - Konsekvenser ved valg

Detaljer

Læringsutbyttebeskrivelse, Fredrikstad FagAkademi

Læringsutbyttebeskrivelse, Fredrikstad FagAkademi Navn på utdanningen Nettverksadministrator med design Navn på emnet Windows klient/skybasert klient programvare Nivå 5,1 Kandidaten har kunnskap om bruk og oppsett av gjeldende Windows operativsystem.

Detaljer

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02 Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr:

Detaljer

Symmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering.

Symmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering. 1 Hva? Hva er informasjonssikkerhet? Information security encompasses the study of the concepts, techniques, technical measures, and administrative measures used to protect information assets from deliberate

Detaljer

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig

Detaljer

Personvern og CAT. Thomas Marti - Salgsjef, Proplan AS Per Haraldsen - Løsningsarkitekt, Proplan AS

Personvern og CAT. Thomas Marti - Salgsjef, Proplan AS Per Haraldsen - Løsningsarkitekt, Proplan AS Personvern og CAT Thomas Marti - Salgsjef, Proplan AS Per Haraldsen - Løsningsarkitekt, Proplan AS Agenda 1. Visma Proplan CAT 2. Personvernproblematikk 3. Hvordan angripe Personvernproblematikk i CAT?

Detaljer

PERSONVERNPOLICY. Sist oppdatert den 15. januar 2010

PERSONVERNPOLICY. Sist oppdatert den 15. januar 2010 PERSONVERNPOLICY Sist oppdatert den 15. januar 2010 Hva denne policyen omfatter Denne personvernpolicyen for gjester ("Policyen") beskriver hvordan vi i Rezidor Hotel Group, via vårt danske selskap Rezidor

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Vemma Europes personvernerklæring

Vemma Europes personvernerklæring Vemma Europes personvernerklæring Vemma Europe forstår at du er opptatt av hvordan informasjon om deg blir behandlet og fordelt, og vi setter pris på at du stoler på at vi gjør det forsiktig og fornuftig.

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer