Svar på krav om redegjørelse - ny epostløsning

Størrelse: px
Begynne med side:

Download "Svar på krav om redegjørelse - ny epostløsning"

Transkript

1 NARVIK KOMMUNE Datatilsynet Boks 8177 Dep 0034 OSLO Vår ref. (oppgi ved henvendelse) Deres ref. Narvik, /1210-6/PEJA 11/ /FUE Svar på krav om redegjørelse - ny epostløsning Vi viser til Datatilsynets brev med krav om redgjørelse om ny e-postløsning i Narvik kommune datert 30.juni 2011, og vil her redegjøre for de spørsmålsstillingene som Datatilsynet ønsker svar på. Narvik kommune har gjennom mange år benyttet Lotus Notes som sin plattform for e-post. Denne løsningen har krevd stadig mer ressurser til sikker drift og vedlikehold og kommunen har med dagens økonomiske og ressursmessige situasjon funnet det formålstjenlig å se etter ny og bedre løsning for kommunens ansatte som krever mindre driftsressurser og følgelig er rimeligere i drift. Løsningen som kommunen valgte for e-post Google Apps er en moderne og framtidsrettet løsning som også har andre funksjoner for bedre og mer effektiv samhandling som kommunen kan velge å ta i bruk etter behov. I dette ligger det mulighet for effektiv deling av informasjon gjennom dokumenter, presentasjoner, regneark, skjema og verktøy for tegning. Ved å også ta i bruk disse verktøyene vil kommunalt ansatte få mulighet til å samhandle internt på en effektiv og ressursoptimal måte. Løsningen med Google Apps baserer seg på at drift skjer i Google sine datasenter, og følgelig vil data lagres i deres systemer. Google har beskrevet en høy prestandard for datasikkerhet gjennom sitt Security Whitepaper som er vedlagt. Kommunen har i denne prosessen hatt fokus på brukervennlighet, rasjonell drift, personvern og sikkerhet for lagrede data. IT drift og utvikling, Rådhuset, 8512 Narvik Tlf.: , Faks: E-post: postmottak@narvik.kommune.no

2 1. Spørsmål fra Datatilsynet om redgjørelse for hvilke personopplysninger som kommunen skal behandle i ny e-post løsning (Google Apps). sv: Det primære anvendelsesområdet er e-post til/fra- og mellom kommunens ansatte. Kommunens reglement er tydelig på at ingen person-sensitive opplysninger (innhold) skal sendes med e-post og dette har vært gjeldende også med tidligere system for e-post. Avsender har ansvar for e-postens innhold og for kommunalt ansatte vil risiko for å sende ut e-post med sensitive personopplysninger med a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger - begrenses ved systematisk opplæring og kommunikasjon av gjeldende interne rutiner. Hvis avsender er ekstern part er det som med tidligere system avsender selv som er ansvarlig for sending av innhold i egen e-post og har bekreftet ved innsending at dette faktisk kan sendes med e-post. Man kan allikevel forestille seg at avsender ikke innehar nok teknisk kompetanse til å vurdere om den elektroniske kommunikasjonskanalene er sikker nok for sitt bruk, men dette vil da også kunne sees i parallell til ordinær postforsendelse, der en vanlig avsender ikke kan anses å kunne vurdere gjeldende sikkerhetsnivå i postens distribusjonssystem. Kommunen har for øvrig en rekke IT-fagsystemer som benyttes av de tjenesteytende enhetene for utførelse av ulike kommunale tjenester og for saksbehandling på en sikker og akseptabel måte der systemmessig personvern og informasjonssikkerhet er ivaretatt. Personopplysningslovens 2 1. ledd viser til at personopplysninger defineres som opplysninger og vurderinger som kan knyttes til en enkeltperson. I denne konteksten (e-post konto for kommunalt ansatte) vil personopplysninger som fast (systemmessig) behandles som del av løsningen være opplysninger om fornavn og etternavn, samt kryptert passord til den enkelte kommuneansatte. Dette utgjør da sammen den kommunalt ansatte sin epostkonto hos Google. Da Google Apps også inneholder andre verktøy for effektiv intern samhandling gjennom deling av dokumenter, presentasjoner, regneark, skjema eller tegning- er det formålstjenlig for Narvik kommune å utnytte det fulle potensialet som ligger i verktøyet ved å vurdere andre anvendelser som kan gi ressursmessige, eller økonomiske gevinst for Narvik kommune og kommunens ansatte. Vi vil poengtere at det i dette ikke ligger noen form for saksbehandling da all saksbehandling foregår i andre kommunale fagsystemer. Noen få eksempler på områder som kan være aktuelt å benytte de øvrige verktøyene i Google Apps til er: a. Ferielister der navn på enhetsleder og kommunalt telefonnummer lagres sammen med tidsperiode for ferie. b. Rutiner og retningslinjer som skal være kjent for alle kommunalt ansatte (eks. Rutiner for bruk av Internett og e-post) c. Dokumenter for opplæring og formidling av kompetanse i organisasjonen. d. Register over IT systemer/fagapplikasjoner- med tilhørende navn på teknisk driftsansvarlig, systemeier og systemansvarlig. e. Rammeverk for interne avtaler om leveranse av tjenester mellom kommunale enheter - SLA (Service Level Agreement). f. Samstilling av økonomitall fra ulike enheter til sentral støttefunksjon i økonomienheten. g. Påmeldinger til felles samlinger og kurs for kommunalt ansatte. Side 2 of 11

3 De personopplysningene det vil være snakk om å lagre i ovennevnte eksempler gjelder kommunalt ansatte og innebærer navn, telefonnummer, e-postadresse og organisasjonstilhørighet. Alt dette er åpent tilgjengelige personopplysninger som også publiseres på kommunens websider. 2. Spørsmål fra Datatilsynet om risikovurderinger som kommunen har foretatt i anledning behandling av personopplysninger i Google Apps. sv: Det er gjennomført en helhetlig risikoanalyse tilknyttet innføringen av nytt IT-system som er gjennomgått i Kommunens informasjonssikkerhetsutvalg og vedlagt her i sin helhet. Liste over de forhold som er vurdert opplistes for ordens skyld allikevel her: a. En systematisk analyse av hvilke trusler opplysningene er utsatt for. b. Hvor stor sannsynlighet er det for at uvedkommende vil forsøke å få tilgang til opplysninger? c. Hvor stor er faren for at opplysninger blir endret? d. Hvor stor er faren for at opplysningene ikke er tilgjengelig når de behøves? e. Vurdere risikoen for at det kan skje systematiske eller menneskelige feil som påvirker sikkerheten rundt opplysningene. f. Er det fare for at opplysningene eksponeres for ytre fysisk påvirkning som vanninntregning, brann eller elektromagnetisme? g. Vurdere hvilke skadevirkninger det vil få dersom noen av de risikoene som knytter seg til behandlingen skulle materialisere seg. h. På bakgrunn av dette vurdere hvilke sikkerhetstiltak som må etableres for å oppnå kravet om tilfredsstillende informasjonssikkerhet. i. Sikkerhetstiltak både innenfor organisatoriske, fysiske og tekniske må beskrives. j. Vurdere hvordan sikkerheten knyttet til bruken av mobile enheter ivaretas. Risiko er i vedlegget beskrevet ut fra sannsynlighet/hyppighet (eks. sjelden..svært ofte) og skadeomfang/konsekvens (eks. ubetydelig..katastrofe). Det er verd å merke seg at det i flere tilfeller ikke kan beskrives noen sannsynlighet/hyppighet da det ikke forefinnes noe anvendbart referansemateriale for denne typen hendelser. Hovedområder for hvilke scenarier en slik løsning er utsatt for kan kort oppsummeres til: uønsket tilgang, tap av data, tjenesten (Google Apps) er ikke tilgjengelig- og at ansvar for tjenesten (inkludert sikkerhetsrevisjon) utydeliggjøres. Narvik kommune mener å ha gjennomført en grundig risikoanalyse tilknyttet tjenesten for e-post med Google Apps og gjennom egen trusselvurderingen som er inkludert i risikoanalysen. De emnene som tas opp i trusselvurderingen er: k. Identifisering risiko ved bekjentgjøring av fornavn og etternavn i e-postadresse. l. Autentisering gjennom kombinasjon av navn og passord fare for avsløring. m. Autorisasjon hvem har tilgang og utøver administrasjon for informasjonssystemet. n. Data-innbrudd fare for uautorisert tilgang. o. Kontinuitet planlagt eller ikke planlagt nedetid for tjenesten. p. Monitorering av hendelser mulighet til å oppdage uautorisert bruk. q. Lagring av informasjon innen EU eller USA 3dje parts innsyn. r. Exit overgang til annen leverandør. s. Kompromittering av sensitive opplysninger ved samhandling og deling. t. Mulige juridiske hinder ved iverksettelse av ny teknologi-plattform. Ved vurdering av risikobildet for flytting fra eksisterende løsning var det klart at fysiske lokaliteter og tilgang på teknologi-ressurser utgjorde en viktig faktor. I dette ligger det risiko for at organisasjonen ikke klarer å skaffe og vedlikeholde spesialkompetanse til drift av nok et Side 3 of 11

4 spesialisert IT-system, samt at eksisterende fysiske rammer tilsier at det på nåværende tidspunkt ikke er ønskelig å belaste kommunens datasentral ytterligere ved å tilføre nytt system for e-post. Google gjennomfører jevnlig sikkerhetsrevisjoner av egne systemer. Dette skjer ved at et 3. parts revisjonsfirma reviderer og tilgjengeliggjør sine funn i en revisjonsrapport. Narvik kommune har avtale med Google om å få tilgang til disse 3. parts revisjonsrapportene og vil gjennom innsyn i disse ta opp tema som kan være aktuelle i kommunens informasjonssikkerhetsutvalg. Gjennom systematisk fokus på hendelser og utfordringer tilknyttet bruk av ulike IT systemer i kommunens sikkerhetsutvalg bestående av kommunens sikkerhetsansvarlig samt representanter fra ulike områder og tillitsvalgte vil generelle tiltak for håndtering og sikring av personopplysninger ivaretas. Risiko tilknyttet ulike IT-systemer og menneskers behandling av opplysninger enten dette er på et fysisk eller elektronisk nivå vil alltid være tilstede men ved systematisk gjennomgang og fokus på bygging av kompetanse i organisasjonen er det mulig å minske risiko og i noen tilfeller eliminere denne helt. 3. Spørsmål fra datatilsynet om eventuell avtale inngått med Google direkte, samt oversikt over sikkerhetstiltak Google kan tilby for løsningen. Sv: I vedlagte Security Whitepaper beskrives databehandler (Google) sine strategier med flere lag av sikkerhet for datalagring, datatilgang og overføring. Dette bygger på kontroll over ti nøkkelkomponenter som beskrives kort her. All tekst under er utdrag hentet fra Google s dokument Security Whitepaper: Google Apps Messaging and Collaboration Products og er ment som hjelpetekst. For korrekte definisjoner om innhold og omfang- viser vi til orginalversjonen av Security Whitepaper (vedlagt). Google Corporate sikkerhets-policy. Grunnlaget for Google s engasjement for sikkerhet beskrives gjennom et sett av retningslinjer som dekker fysisk, konto, data, organisatoriske tjenester, nettverk og sikkerhet for datasystemer, applikasjonstjenester, systemtjenester, endrings-styring, hendelses-styring og data senter sikkerhet. Disse retningslinjene gjennomgås regelmessig internt hos Google for å sikre at de er hensiktsmessige og tilpasset. Organisatorisk sikkerhet. Google har opprettet et eget team med en ekspertgruppe innen informasjonssikkerhet, applikasjonssikkerhet og nettverkssikkerhet. Dette teamet er ansvarlig for å vedlikeholde selskapets forsvarssystemer, vedlikeholde prosesser tilknyttet sikkerhetsrevisjoner og bygging av sikker infrastruktur. Verdier klassifisering og kontroll. Google har en omfattende fokus på kontroll og praksis for å ivareta sikkerhet for kundeinformasjon. Google sine applikasjoner kjøres i et distribuert miljø der man i stedet for å samle kundedata på en server eller sett med servere- distribuerer kundedate over en delt infrastruktur sammensatt av Google sine egnenutviklede servere som er lokalisert på mange av Google sine datasenter. Google Apps benytter et distribuert filsystem utviklet for å håndtere store mengder data fra et stort antall maskiner. Brukerdata lagres strukturert i en stor distribuert database. Data deles opp i mange mindre fragmenter og spres utover mange systemer slik at at ingen data forsvinner hvis et del-system faller ut. Disse data-fragmentene gis også tilfeldige filnavn og lagres ikke i klar tekst slik at de ikke skal kunne leses av mennesker. Tilgang til data fra applikasjonsingeniører i en feilrettingssituasjon hos Google er basert Side 4 of 11

5 på streng kontroll der autentisering av personell skjer gjennom utstedelse av et eget x509 sertifikat. Videre fordrer administrativ tilgang til produksjonsdatabaser at oppkobling skjer ved bruk av PKI. (Public Key Infrastructure). Tilgang vil også alltid behovprøves. Personellsikkerhet. Google sine ansatte er påkrevd å oppføre seg i henhold til selskapets normer med hensyn til konfidensialitet, etikk, hensiktsmessig bruk og profesjonelle standarder. Ved ansettelse vil Google ikke bare verifisere utdannelse og tidligere arbeidsforhold, men vil også utføre referansesjekker internt og eksternt. Hvis mulig vil det gjennomføres rulleblad, kreditt, immigrasjon og sikkerhetssjekk. Omfanget av bakgrunnssjekk avhenger av hvilken posisjon som er aktuell. Alt personell gjennomgår opplæring innen sikkerhet ved oppstart. Alle ansatte hos Google er ansvarlig for å videreformidle hendelser innen sikkerhet og personvern til ansatte med spesielt ansvar for sikkerhet. Interne rapporteringsrutiner sikrer at ansatte anonymt kan rapportere enhver etisk problemstilling som oppstår. Fysisk og miljømessig sikkerhet. Google sine datasenter er geografisk distribuert og baserer seg på mange ulike fysiske sikringstiltak. Teknologi og sikkerhetsmekanismer som benyttes på disse lokasjonene kan variere ut fra lokale forhold som bygningsmessig lokasjon og regionale forhold. Datasenter vil alltid være utrustet i henhold til industristandard beste praksis og innebærer bruk av teknologi for tilgangskontroll, alarmsystem, interne og eksterne kamera samt sikkerhetsvakter. Alle kamera og alarmer overvåkes sentralt og områdene patruljeres regelmessig av sikkerhetsvakter ved bruk av sykler, Segway og T3 motion scootere. Det benyttes videre høyoppløselige kamera med videoanalyse og andre systemer for å oppdage og finne forsøk på innbrudd. Tilgang til et Google datasenter begrenses til Google ansatte, godkjent besøk og godkjent tredjepart som jobber i datasenteret. Retningslinjer for besøkende gjelder også for Googleansatte som ikke normalt har tilgang til produksjonsområdene. Google begrenser tilgang inne i datasenter basert på roller ikke posisjon. Dette resulterer i at selv øverste ledelse ikke har automatisk tilgang til Google sine datasenter. IT arkitekturen er bygget på overlapping og dublering av funksjoner for robusthet og kontinuerlig vedlikehold. For å støtte kontinuerlig drift 24/7 er datasentrene utrustet med redundant strømtilførsel der også dieselaggregater med generatorer tar over strømproduksjon ved utfall over lengre tid. Andre systemer som ivaretar fysisk sikring inkluderer kjøleanlegg i datarom og brannalarm. Side 5 of 11

6 Operasjonell sikkerhet. Skadelig programvare er en signifikant risiko i dagens IT miljøer. Google tar slike trusler mot eget nett og kunder seriøst, og benytter ulike metoder for å forebygge, oppdage og ufarliggjøre skadelig programvare. Strategisk innebærer første del av dette å forebygge mot infeksjon ved manuell og automatisert skanning ved å sjekke Google sin søke-index for webområder med skadelig innhold. Dernest tas det i bruk ulike antivirus skannere for å finne skadelig programvare som kan ha sluppet igjennom første skanning. Monitorering på interne systemer ivaretas ved innhenting av data om nettverkstrafikk, Google sine ansattes bruk av systemene og annen kjennskap til sårbarheter. Vurdering av sårbarhet håndteres fortløpende gjennom et eget team som jobber aktivt med scanning for å finne sikkerhets-trussler. Når en legitim trussel oppdages av sikerhetsteamet blir denne logget og prioritert etter alvorlighetsgrad og deretter tildelt en intern eier for videre oppfølgning. Innmeldte hendelser som kan påvirke konfidensialitet, integritet eller tilgjengelighet til systemets data- håndteres gjennom en egen prosess for sikkerhetshendelser. For å sikre at hendelser som gjelder informasjonssikkerhet får en rask behandling er et sikkerhetsteam tilgjengelig 24/7 som støtte for alt personell. Nettverkssikkerhet ivaretas av flere lage med forsvarsmekanismer. Dette for å beskyttenettverket fra forsøk på eksterne dataangrep. All datatrafikk må tilfredsstille Google sine krav til sikkerhet for å kunne overføres på nettverkene. Uautoriserte pakker blir automatisk droppet. Operativsystemene på Google sine servere er basert på en strippet og herdet variant av Linux som er tilpasset med kun de komponentene som er nødvendig for å kjøre Google sine applikasjoner. Systemet er designet for å ivareta full kontroll over både maskinvare og programvare. Sikkerhetsoppdateringer foretas på lik linje til hele den homogene infrastrukturen og hvis en modifisering oppdages som ikke er Google standard, vil systemet returnere automatisk til forrige tilstand. Slike automatiserte, selvhelbredende mekanismer er utformet med tanke på å kunne monitorere og oppdage forandringer som skaper ustabilitet og til å gi informasjon om uønskede hendelser i nettverket. Ved å benytte et robust system med rutiner for endringshåndtering der man benytter sentraliserte mekanismer for registrering, godkjenning og sporing av forandringer ønsker Google å minimalisere risiko for å introdusere uautoriserte modifikasjoner til Google sitt operativsystem. Tilgangskontroll. Alle ansatte i Google får ved ansettelse tildelt en konto for brukeridentifikasjon. Denne kontoen blir benyttet for å identifisere den ansattes aktivitet på Google sitt nettverk inkludert tilgang til ansattdata og kundedata. Ved ansettelse får en ansatt tildelt brukerident fra HR avdelingen og gis da tilgang til et sett med standard privilegier. Der det benyttes passord eller passordfraser vil systemene være satt opp til å benytte sterke regler for passord inkludert utløpsdato, restriksjoner for gjenbruk av passord og tilstrekkelig passord lengde. Kontroll med autorisasjon inkludert tilgangsrettigheter og nivå baseres på den ansatte sin jobb-funksjon og rolle. I dette benyttes konseptet med minst mulig privilegier og need to know for å matche nødvendig tilgang til definerte ansvarsområder. Ansatte i Google vil i utgangspunktet kun tildeles begrensede tilganger til interne ressurser som epost, intranett og ansatt-informasjon. Forespørsel om utvidet tilgang følger en formell prosess som innebærer en forespørsel og en tilgang gitt av data eller systemeier basert på Google sin sikkerhetsinstruks. Tilganger administreres av arbeidsflytverktøy som vedlikeholder inspeksjonslogg over alle endringer. Google har som policy å loggføre all administrativ tilgang til ethvert produksjonssystem og data. Hvis nødvendig er disse loggdata Side 6 of 11

7 tilgjengelig for sikkerhetspersonell hos Google. Systemutvikling og vedlikehold. Gjennom hele levetiden til applikasjoner, systemer og tjenester vurderer Google rutinemessig sikkerhet og implikasjoner tilknyttet disse. I dette ligger det at individer og team tilknyttet Google skal implementere passende sikkerhetsforanstaltninger i applikasjoner, systemer og tjenester som utvikles i samsvar med kjennskap til eventuell risiko. Google benytter en rekke tiltak for å sikre at de programvareprodukter og tjenestene som tilbys brukere holder en høy standard av sikkerhet. Gjennom interne konsulenttjenester til Google sine produkt og engineering team, tilbyr Google Security Team intern bistand innenfor: o Evaluering av sikkerhet og risiko ved prosjekter på design nivå. o Risikovurderinger tilknyttet implementering av produkter. o Gjennomgående konsultasjoner om risiko og mulige løsninger. Sikkerhet er betraktet som kjernen i design og utviklingsprosessene hos Google der utviklerteamene kan bygge på ulike rammeverk for et prosjekt. Google har utviklet og tilpasset sikkerhetsrevisjoner til ulike rammeverk. Hos Google har man innsett viktigheten- og behovet for at alle ressurser innehar kompetanse innen sikkerhet og tilhørende praksis ved programmering. Det gjennomføres derfor et kompetansebyggings program som i dag inkluderer: o Sikkerhetsopplæring for nye ingeniører o Utvikling og vedlikehold av omfattende dokumentasjon for sikkerhet ved programmering. o Målrettede referanser til dokumentasjon og opplæringsmateriell. o Tekniske presentasjoner om sikkerhetsspørsmål o Nyhetsbrev innen tema sikkerhet o Gjentagende konferanser med sikkerhet som tema. Sikkerhet på implementeringsnivå gjennomføres av medlemmer av Google Security Team og vil typisk gjennomføres i de senere stadier av utviklingsprosessen med fokus på sikkerhet ved implementering. Målsettingen er å validere at produktet er robust i forhold til relevante sikkerhets-trussler. Gjenvinning av data ved katastrofe, opprettholdelse av drift. For å minimalisere avbrudd på grunn av maskinvare som feiler, naturkatastrofer eller annet, har Google implementert et system for krisehåndtering ved alle sine datasenter. Dette systemet innebærer multiplisering av komponenter for å minimalisere risikoen for at enkeltkomponenter skal kunne forårsake nedetid: o Data replikering og backup til multiple systemer i datasenter og til sekundært datasenter. o Høy-hastighets forbindelser mellom flere geografisk spredte datasenter gir lavere risiko hvis en hendelse inntreffer i en hel region. o Ledelse av de ulike datasentrene er også distribuert for å gi en lokasjonuavhengig, 24/7 dekning og administrasjon. Det gjennomføres katastrofeøvelser jevnlig i henhold til katastrofeplan. Side 7 of 11

8 Regelverk og juridiske rammeverk. Google følger standard juridiske prosesser ved forespørsler fra tredjepart om innsyn i data. Innsyn kan bare oppnås gjennom en dokumentert juridisk prosess som ransakelsesordre, rettskjennelse, stevning gjennom et lovfestet vedtak, eller gjennom brukers samtykke. Ved mottak av en anmodning om utlevering av informasjon vil Google s juridiske team gjennomgå om forespørselen akseptabel er i henhold til gjeldende lovverk. Hvis forespørselen er juridisk valid er det vanlig prosedyre hos Google å informere den individuelle brukeren- eller organisasjonen om forespørselen unntatt i de tilfellene der en nødsituasjon oppstår eller der dette forhindres av lov. Google ivaretar en sterk personvern policy for å ivareta sikkerhet for kundedata. Denne kan finnes i sin helhet på : og er tilknyttet alle applikasjoner innenfor Google Apps. Mer detaljert om personvern finnes på Google legger vekt på at de ikke eier noen kundedata og ønsker å fortsette med det! Følgende prinsipper legges til grunn for håndtering av kundedata: o Google vil ikke dele data med andre med unntak som beskrevet i Google Privacy Policy. o Google tilrettelegger verktøy for kunder som ønsker å ta med seg data til annen leverandør. Brukerdata blir bare skannet eller indeksert i følgende tilfeller for å gi brukerne en tjeneste med høyere kvalitet: o Noen brukerdata som e-post og dokumenter blir skannet og indeksert slik at brukere innen domenet kan søke etter informasjon på egen Google Apps konto. o E-post skannes slik at Google kan gjennomføre filtrering av spam. o Med unntak av når brukere velger å publisere informasjon åpent er data som ligger i Google Apps ikke en del av den generelle google.com indeksen (søkemotoren). Scanning og indeksering foregår helt automatisk uten involvering fra mennesker. Google kan også velge å fjerne uønsket innhold som overtrer Terms of Service for Google Apps produktene. Safe Harbor Google overholder og opererer i henhold til Safe Harbor rammeverket og er registrert under dette avtaleverket hos det amerikanske handelskammer. SSAE16 (tidl. SAS70-II) Innebærer at det gjennomføres sikkerhetsrevisjoner hos Google utført av en uavhengig 3. part (revisor) etter en gitt industristandard. Formålet er å validere interne rutiner og bekrefte at disse gjennomføres effektivt og hensiktsmessig. Etter gjennomført revisjon vil revisjonsfirma fremskaffe rapport om disse forholdene. Side 8 of 11

9 Øvrige sikkerhetsmessige tilpassninger og muligheter I tillegg til ulike kontrollpunkter som er beskrevet av Google for å ivareta sikkerhet og personvern for kundedata, har Google Apps også flere opsjoner for sikkerhet som kan iverksettes av domene-administratorer (Narvik kommune): o Single Sign On (SSO) Gir administratorer muligheter for flere autentiserings mekanismer som sertifikater, brikker, biometrisk og annet. o Passord lengde og styrke administratorer kan sette nødvendig passordlengde for brukere på domenet. Indikatorer viser passordstyrke og kan hjelpe til med å identifisere passord som ikke holder tilstrekkelig nivå. o Administratorbasert Single Sign-out. Administratorer kan nullstille en brukers informasjonskapsler for å unngå uautorisert tilgang til konto. Dette vil logge brukeren ut fra alle nettlesersesjoner og fordrer ny autentisering ved neste pålogging. o Sikker nettleser oppkobling (SSL - HTTPS) gir administratorer mulighet for å stille inn for alle brukere på domenet at de skal benytte HTTPS protokollen ved oppkobling mot Google Apps. Informasjon som sendes via HTTPS er kryptert fra den forlater Google fram til mottakerens PC. o Ved bruk av retningslinjer for Transfer Layer Security TLS for Simple Mail Transfer Protocol - SMTP kan administratorer gjennomføre retningslinjer utformet for sikker sending og mottak av e-post mellom spesifikke domener. For eksempel kan en administrator spesifisere at all ekstern epost som sendes fra lønnskontoret til banken skal sikres med TLS eller settes på vent hvis TLS ikke kan benyttes. På samme måte kan administrator iverksette en sikker TLS forbindelse mellom domenet (narvik.kommune.no) og eksterne samarbeidspartnere som juridiske rådgivere og revisorer eller andre samarbeidspartnere der ansatte behøver økt sikkerhet. o Søk etter arkivert epost. Ved bruk av Google Message Discovery som er en del av Postini-tjenesten, kan man sette opp et sentralisert og søkbart epost arkivdepot for organisasjonen for søk gjennom arkiv og lagring av epost. Slutt på tekst fra Security Whitepaper Narvik kommune har i denne sammenhengen ikke inngått gjensidig avtale med Google om leveranse av løsning for e-post, men med systemintegrator Avalon Information Systems AB som i denne sammenhengen refererer til Google s dokument Google Apps Technical Support Services for beskrivelse av tjenestenivå og kundestøtte fra Google. Da leveransen for E-posttjenesten er basert på Coud-computing, er det heller ingen lokale ITinstallasjoner hos Narvik kommune som fordrer ekstra avtale om support fra leverandør ut over de tjenestenivåene som er listet i standardavtalen fra Google. 4. Spørsmål fra Datatilsynet om eventuell databehandleravtale mellom kommunen og Google, samt en beskrivelse av informasjonssystemets utforming og plassering. Sv: Informasjon om informasjonssystemets utforming og plassering er beskrevet i vedlagte Security Whitepaper. Av sikkerhetsmessige årsaker ønsker ikke Google å frigi detaljerte opplysninger rundt datasentrenes plassering ei heller tekniske detaljer som kan være kompromitterende i et sikkerhetsperspektiv. EU direktivet om beskyttelse av personopplysninger ble iverksatt i 1998 og forhindret utveksling av data med personopplysninger til land utenfor EU som ikke tilfredsstilte Europaunionens standard for tilstrekkelig personvern. Selv om både USA og EU deler felles målsetting om økt personvern for landenes innbyggere er det allikevel forskjellig tilnærming. For å bygge bro over disse forskjellene og frambringe et verktøy for å strømlinjeforme samarbeidet mellom USA og Europa, ble det utviklet et avtale-rammeverk for databehandling Side 9 of 11

10 av personopplysninger. Dette rammeverket kalles Safe Harbor (se vedlegg) og innebærer at organisasjoner og bedrifter som tilslutter seg dette overholder EU s krav til personvern. Google er listet her og forholder seg strengt til denne avtalen. Gjennom dokumentet Security Whitepaper, Google s tilslutning til Safe Harbour-avtalen og Narvik kommune s tilgang til sikkerhetsrevisjonsrapporter fra 3dje parts revisjonsfirma og sett i lys av at formålet med leveransen primært er E-post til kommunalt ansatte er det ønskelig at dette i sum skal tilfredsstille myndighetenes krav om databehandleravtale. 5. Spørsmål fra Datatilsynet om hvordan følgende problemstillinger er avklart med Google: a. Sikkerhetskopiering sv: Prosedyrer for sikkerhetskopiering er nærmere beskrevet i Security Whitepaper. Ved replikering og backup lagres data på flere systemer på samme datasenter og replikeres samtidig til et sekundært datasenter. Dette for å sikre at ingen data tapes ved katastrofer eller uønskede hendelser. b. Hvem hos Google som har tilgang til kommunens personopplysninger sv: Google beskriver i Security Whitepaper et rigid system for autorisasjon og tilgangskontroll før ansatte får tilgang til produksjonsdata. Det er utover dette ikke navngitt noen enkeltperson som har tilgang til kommunens data. Google beskriver også at håndtering av produksjonsdata for virussjekk og indeksering skjer maskinelt. c. På hvilken måte kommunen skal gjennomføre sikkerhetsrevisjon hos Google. sv: Kommunen har etter avtale med Google tilgang til SSAE 16 rapporter fra sikkerhetsrevisjoner fra 3.dje parts revisjonsfirma. Disse revisjonsrapportene mottas jevnlig etter hver revisjon- og skal rutinemessig taes opp til behandling i kommunens informasjonssikkerhetsutvalg. I tillegg til de punktene som er nevnt vil vi også generelt kommentere mulighetene i systemet for mobile brukere. Dette vil være et område som vil kreve langsiktig fokus på gode rutiner, kompetansebygging og systemmessige sikkerhetsmekanismer i kombinasjon. Dette er også en ny mulighet for mange brukere krever en ansvarlig holdning fra den enkelte ansatte i forhold til håndtering av mobile enheter ved bruk i det offentlige rom, tap eller tyveri. I løsningen fra Google ligger det systemmessige administrative funksjoner som innebærer at brukerdata på mobil enhet raskt kan slettes av administrator og at informasjon gjøres utilgjengelig for annen part. Dette er allikevel ikke å anse som noen erstatning for brukeropplæring og holdnings skapende arbeid men vil være et svært nyttig verktøy ved tap av mobil enhet. Vi håper dette gir et tilfredsstillende bilde av vurderingene tilknyttet ny e-postløsning i Narvik kommune. Med vennlig hilsen Per Jakobsen Enhetsleder IT Drift og Utvikling Side 10 of 11

11 Side 11 of 11

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Narvik kommune Postboks 64 8501 NARVIK Deres referanse Vår referanse (bes oppgitt ved svar) 1111/1210-6/PEJA 11/00593-7/SEV 16. januar 2012 Dato Varsel om vedtak - Ny e-postløsning i Narvik kommune - Google

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen Det frivillige Skyttervesen Del 1 Personvernerklæring Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1 av

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Personvern og informasjonssikkerhet

Personvern og informasjonssikkerhet Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1

Detaljer

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

1 Våre tiltak. Norsk Interaktivs arbeid med personvern Til våre kunder Kristiansand 22. juni 2016 Norsk Interaktivs arbeid med personvern Norsk Interaktiv har alltid hatt fokus på personvern i våre systemer. Vi vedlikeholder hele tiden våre tjenester for å

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom..kommune Behandlingsansvarlig og

Detaljer

Policy for personvern

Policy for personvern 2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2

Detaljer

Public 360 Online Datasikkerhet

Public 360 Online Datasikkerhet Public 360 Online Datasikkerhet Ver. 1.0 Mars 2014 Public 360 Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft Windows Azure. Azure er valgt som skyplattform ettersom

Detaljer

Databehandleravtale for NLF-medlemmer

Databehandleravtale for NLF-medlemmer Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 GDPR General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 en grunnleggende kjedelig men absolutt nødvendig innføring for lag og foreninger i Asker

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE Start din reise mot å etterleve de nye personvernreglene INTRODUKSJON I mai 2018 innføres ny personvernlovgivning i Norge. Disse har vært mye omtalt, både som de

Detaljer

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf) Innledning INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf) Informasjonssikkerhet og medlemmenes personvern står høyt oppe på Dnmf sin agenda, til beste for

Detaljer

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER Avtale innledning ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER For den behandlingen av personopplysninger som AddSecure utfører på vegne av kundene sine, er AddSecure databehandler for kunden. Hvis du er

Detaljer

Når du registrerer deg for å få tilgang til Tjenestene som arrangør Kontakter oss med forespørsler

Når du registrerer deg for å få tilgang til Tjenestene som arrangør Kontakter oss med forespørsler RETNINGSLINJER FOR PERSONVERN 22.01.2016 1. Om Hoopla AS Hoopla AS («Hoopla») gjør det mulig å planlegge, promotere og selge billetter til et arrangement. Vi gjør dette, gjennom tilgjengelig programvare

Detaljer

Personvernerklæring. Innledning. Om personopplysninger og regelverket

Personvernerklæring. Innledning. Om personopplysninger og regelverket Personvernerklæring Innledning Denne personvernerklæringen gjelder for Norsk Fysioterapeutforbund og forklarer hvorfor vi samler inn informasjon om deg, hvordan vi bruker denne informasjonen og hvordan

Detaljer

Personvernerklæring. Nordix Data AS Gjeldende fra

Personvernerklæring. Nordix Data AS Gjeldende fra Personvernerklæring Nordix Data AS Gjeldende fra 30.06.2018 Ditt personvern er viktig for oss. Informasjon om vår behandling av opplysninger om deg skal være tydelig og lett tilgjengelig slik at du har

Detaljer

SGS PERSONVERNPOLICY BE DATA SAFE

SGS PERSONVERNPOLICY BE DATA SAFE SGS PERSONVERNPOLICY BE DATA SAFE INNHOLD 3 Beskjed fra Konsernsjefen 4 Omfang 5 SGS PersonvernPolicy 2 BESKJED FRA KONSERNSJEFEN I de daglige anliggender samler SGS inn Personopplysninger fra sine kunder,

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen. 1.5 Definisjoner Definisjoner i Personopplysningslov og -forskrift 1) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. 2) Behandling av personopplysninger Enhver bruk av

Detaljer

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse

Detaljer

Prosedyre for personvern

Prosedyre for personvern Formål: Hensikten med denne prosedyren er å sørge for samsvar med relevant regelverk for vern av personopplysninger. Prosedyren skal også sikre styring, gjennomføring og kontroll av hvordan selskapet håndterer

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom

Detaljer

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle Databehandleravtale Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Diabetesforbundet. Personvernerklæring

Diabetesforbundet. Personvernerklæring Diabetesforbundet Personvernerklæring Versjon Dato Utarbeidet av Godkjent av 1.0 01.06.2018 NN Sekretariatet 1.1 22.06.2018 GDPR-ansvarlig Sekretariatet INNHOLD 1 KRAV TIL PERSONVERNERKLÆRING... 2 1.1

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Denne personvernerklæringen gjelder for alle produkter og tjenester levert av Sima AS.

Denne personvernerklæringen gjelder for alle produkter og tjenester levert av Sima AS. Denne personvernerklæringen gjelder for alle produkter og tjenester levert av Sima AS. Denne personvernserklæringen omfatter både innsamlingen av personopplysninger og den senere bruken av disse. Du skal

Detaljer

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold VEILEDER GDPR PERSONVERN DEL 2 - personopplysninger utover ansatteforhold Nye krav fra 20. juli 2018 Forordningen ble norsk lov og den gjeldende loven ble erstattet. Det nye lovverket styrker forbrukernes

Detaljer

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt». Personvern vilkår Om Velkommen til Hoopla, Hoopla AS ( Selskapet, Vi og/eller Vår ) gjør det mulig for mennesker å planlegge, promotere og selge billetter til et Arrangement. Vi gjør det enkelt for alle

Detaljer

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en

Detaljer

3.1 Prosedyremal. Omfang

3.1 Prosedyremal. Omfang 3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

POWEL DATABEHANDLERAVTALE

POWEL DATABEHANDLERAVTALE POWEL DATABEHANDLERAVTALE mellom Powel AS. Behandlingsansvarlig og «Navn på selskap». Databehandler Innhold 1 Formålet med Databehandleravtalen... 3 2 Definisjoner... 3 3 Formål med behandlingen... 3 4

Detaljer

3. Databehandleravtale

3. Databehandleravtale 3. Databehandleravtale Visma jobber målrettet for at Programvaren skal være i samsvar med gjeldende personvernlover og -forskrifter. 3.1. Visma Trust Centre 3.1.1. Åpenhet og ansvarlighet er viktig for

Detaljer

Personvernerklæring. Sist oppdatert

Personvernerklæring. Sist oppdatert Personvernerklæring Sist oppdatert 03.03.2019 Denne personvernerklæringen handler om hvordan Bygg-Team Romerike AS samler inn og bruker personopplysninger om deg. Bygg-Team Romerike AS lenker til nettsider

Detaljer

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to

Detaljer

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016 Laget av Dato Orginal plassering fil. Johnny ndre Sunnarvik Nov 2015 http://innsiden.helse-vestikt.no/avdelinger/tjenesteproduksjon/anbudskrav/documents/sikkerhet.docx Dato Nov 2015 Des 2015 Nov 2016 Beskrivelse

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

PERSONVERNERKLÆRING FOR LEXIT GROUP AS

PERSONVERNERKLÆRING FOR LEXIT GROUP AS PERSONVERNERKLÆRING FOR LEXIT GROUP AS 1. Behandlingens formål og grunnlag 2. Opplysningene vi behandler 3. Deling av informasjon 4. Deling av informasjon på sosiale medier 5. Sikkerhet 6. Lagring og sletting

Detaljer

Innføring av 2-faktor autentisering ved pålogging - for kunder som benytter Evolution -

Innføring av 2-faktor autentisering ved pålogging - for kunder som benytter Evolution - 1 Innføring av 2-faktor autentisering ved pålogging - for kunder som benytter Evolution - Målsetning med presentasjon: Øke kunders kompetanse om riktig valg av sikring av persondata ved bruk av 1- eller

Detaljer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX

Detaljer

PERSONVERNERKLÆRING. Adresse: IntegrasjonsPartner BITS AS. Hassingveien FREDRIKSTAD Organisasjonsnr:

PERSONVERNERKLÆRING. Adresse: IntegrasjonsPartner BITS AS. Hassingveien FREDRIKSTAD Organisasjonsnr: PERSONVERNERKLÆRING Ditt personvern er viktig for oss Ditt personvern er viktig for oss. Derfor har vi utformet denne personvernerklæringen, som informerer deg om hvordan vi behandler dataene dine. Hvem

Detaljer

Personvernerklæring Meldal Regnskapskontor SA

Personvernerklæring Meldal Regnskapskontor SA Personvernerklæring Meldal Regnskapskontor SA Denne personvernerklæringen (heretter «erklæringen») gir deg informasjon om hvordan Meldal Regnskapskontor SA samler, bruker eller deler dine personlige data

Detaljer

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler. 27.10.2011 Advokat Herman Valen

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler. 27.10.2011 Advokat Herman Valen Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler 27.10.2011 Advokat Herman Valen 2 Innledning Regelverket for offentlige anskaffelser Kjennetegnet ved cloud-tjenester Standardiserte

Detaljer

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no). Personvern Det er viktig for oss at du føler deg trygg når du bruker vår nettsider, tisip.no og itfag.no. Derfor legger vi stor vekt på å beskytte ditt personvern. Denne erklæringen forklarer hvordan vi

Detaljer

Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg.

Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg. PERSONVERNERKLÆRING Sist oppdatert: 23.11.2018. Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg. El-Tilsynet as (ET) lenker til nettsider som

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel

Detaljer

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning

Detaljer

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale mellom. (Oppdragsgiver) Behandlingsansvarlig Kommunesektorens organisasjon (KS) som Databehandler Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes

Detaljer

Mobilbank kontrollspørsmål apper

Mobilbank kontrollspørsmål apper Egenevalueringsskjema Mobilbank DATO: 31.10.2014 Evalueringsskjema Mobilbank apper Del 1 Del 2 Strategi og sikkerhetspolicy Kost-nytte og ROS-analyser Utvikling og oppdatering Avtaler Driftsrelaterte spørsmål

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Nye personvernregler

Nye personvernregler Nye personvernregler Rollen som tillitsvalgt Akademikerforeningenes tillitsvalgtkurs Soria Moria 15. og 16. januar 2018 Ellen Røyneberg, Legeforeningen Agenda Grunnleggende om personvern Personvernforordningen

Detaljer

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr: Databehandleravtale for Økonomibistand I henhold til "Personopplysninger" betyr all informasjon om en identifisert eller identifiserbar fysisk person, som nærmere definert i gjeldende lov og EU-forordning

Detaljer

Personvernerklæring for Topps mobilapp Match Attax. Sist oppdatert: 24. september 2018

Personvernerklæring for Topps mobilapp Match Attax. Sist oppdatert: 24. september 2018 Personvernerklæring for Topps mobilapp Match Attax Sist oppdatert: 24. september 2018 Personvern for barn Hva slags opplysninger vi samler inn, og hvordan vi samler inn opplysninger Dine rettigheter vedrørende

Detaljer

Helseforskningsrett med fokus på personvern

Helseforskningsrett med fokus på personvern Helseforskningsrett med fokus på personvern Sverre Engelschiøn Helseforskningsrett 2009 Sverre Engelschiøn 1 Tema Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Helseforskningsrett

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr Databehandleravtale I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016 (GDPR), artikkel 28, jf. artikkel 29 og 32-36, inngås følgende avtale mellom

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

som gjelder databehandlerens behandling av personopplysninger på vegne av datakontrolleren.

som gjelder databehandlerens behandling av personopplysninger på vegne av datakontrolleren. Databehandleravtale Datakontroller: Kunde innfor EU eller EØS (Datakontroller) og Databehandler: Europeisk representant Selskap: ONE.COM (B-one FZ-LLC) One.com A/S Org.nr.. Org.nr. 19.958 CVR: 28677138

Detaljer

PERSONVERNERKLÆRING. 1. Hvilke personopplysninger behandler NFKR?

PERSONVERNERKLÆRING. 1. Hvilke personopplysninger behandler NFKR? PERSONVERNERKLÆRING Norsk Forening for Kvalitet og Risikostyring (NFKR) er en medlemsorganisasjon registrert i Brønnøysundregistrene med organisasjonsnummer: NO 985 841 020. Som medlem i NFKR, eller som

Detaljer

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune W Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune Innhold 1. Bruker-ID og passord... 3 2. Privat bruk og eiendomsrett... 3 3. Innsyn... 3 4. Virus og spam... 4 5. Konfidensialitet...

Detaljer

GDPR - hva betyr det for din bedrift?

GDPR - hva betyr det for din bedrift? GDPR - hva betyr det for din bedrift? Hva er GDPR? 25. mai 2018 trer den nye europeiske personvernforordningen, The General Data Protection Regulation(GDPR), i kraft. Forordningen vil implementeres i alle

Detaljer

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger: Personvernerklæring Denne personvernerklæringen handler om hvordan Magnar Eikeland Gruppen AS samler inn og bruker personopplysninger om deg. (Magnar Eikeland Kontormaskiner AS og Magnar Eikeland Kontorutstyr

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Denne personvernerklæringen handler om hvordan Haralds Trafikkskole AS samler inn og bruker personopplysninger om deg.

Denne personvernerklæringen handler om hvordan Haralds Trafikkskole AS samler inn og bruker personopplysninger om deg. PERSONVERNERKLÆRING Sist oppdatert: 19.11.2018. Denne personvernerklæringen handler om hvordan Haralds Trafikkskole AS samler inn og bruker personopplysninger om deg. Haralds Trafikkskole AS lenker til

Detaljer

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Forvaltningsrevisjon IKT sikkerhet og drift 2017 Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To

Detaljer

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit COMPLIANCE GENERAL DATA PROTECTION REGULATION Johnny Berntsen ISO/IEC 27001 Master Knowit Hva er GRDP? GDPR står for General Data Protection Regulation og er erstattningen og oppdatering av EU s 20 år

Detaljer

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Innledning Hva er cloud computing? IaaS, PaaS, SaaS osv Skyen er en forretningsmodell som bygger på noen prinsipper: Standardisering (tjenester,

Detaljer

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS Rutine for informasjonssikkerhet for personopplysninger i BRIS RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS Innhold 1. Innledning 2 2. Formålet med BRIS 2 3. Personopplysninger i BRIS

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

EasyParks Personvernerklæring

EasyParks Personvernerklæring EasyParks Personvernerklæring 1 Om EasyParks Personvernerklæring Når du benytter Easy Park AS ("EasyPark") tjenester betror du dine personopplysninger til EasyPark. I denne personvernerklæringen ("EasyParks

Detaljer

VI BYGGER NORGE MED IT.

VI BYGGER NORGE MED IT. VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet

Detaljer

Personvernerklæring for MOOC

Personvernerklæring for MOOC Personvernerklæring for MOOC Om denne personvernerklæringen Hva er personopplysninger? Kort om tjenesten Formålet med behandling av personopplysninger i tjenesten Registrerte personopplysninger, rettslig

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Personvernerklæring for Eurofins norske selskaper

Personvernerklæring for Eurofins norske selskaper Personvernerklæring for Eurofins norske selskaper Eurofins i Norge er opptatt av din integritet og ditt personvern. Det er derfor en selvfølge for oss å alltid etterstrebe å beskytte dine personopplysninger

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale Pilot Digitalt Bortsettingsarkiv Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt

Detaljer