Svar på krav om redegjørelse - ny epostløsning
|
|
- Karen Carlsen
- 8 år siden
- Visninger:
Transkript
1 NARVIK KOMMUNE Datatilsynet Boks 8177 Dep 0034 OSLO Vår ref. (oppgi ved henvendelse) Deres ref. Narvik, /1210-6/PEJA 11/ /FUE Svar på krav om redegjørelse - ny epostløsning Vi viser til Datatilsynets brev med krav om redgjørelse om ny e-postløsning i Narvik kommune datert 30.juni 2011, og vil her redegjøre for de spørsmålsstillingene som Datatilsynet ønsker svar på. Narvik kommune har gjennom mange år benyttet Lotus Notes som sin plattform for e-post. Denne løsningen har krevd stadig mer ressurser til sikker drift og vedlikehold og kommunen har med dagens økonomiske og ressursmessige situasjon funnet det formålstjenlig å se etter ny og bedre løsning for kommunens ansatte som krever mindre driftsressurser og følgelig er rimeligere i drift. Løsningen som kommunen valgte for e-post Google Apps er en moderne og framtidsrettet løsning som også har andre funksjoner for bedre og mer effektiv samhandling som kommunen kan velge å ta i bruk etter behov. I dette ligger det mulighet for effektiv deling av informasjon gjennom dokumenter, presentasjoner, regneark, skjema og verktøy for tegning. Ved å også ta i bruk disse verktøyene vil kommunalt ansatte få mulighet til å samhandle internt på en effektiv og ressursoptimal måte. Løsningen med Google Apps baserer seg på at drift skjer i Google sine datasenter, og følgelig vil data lagres i deres systemer. Google har beskrevet en høy prestandard for datasikkerhet gjennom sitt Security Whitepaper som er vedlagt. Kommunen har i denne prosessen hatt fokus på brukervennlighet, rasjonell drift, personvern og sikkerhet for lagrede data. IT drift og utvikling, Rådhuset, 8512 Narvik Tlf.: , Faks: E-post: postmottak@narvik.kommune.no
2 1. Spørsmål fra Datatilsynet om redgjørelse for hvilke personopplysninger som kommunen skal behandle i ny e-post løsning (Google Apps). sv: Det primære anvendelsesområdet er e-post til/fra- og mellom kommunens ansatte. Kommunens reglement er tydelig på at ingen person-sensitive opplysninger (innhold) skal sendes med e-post og dette har vært gjeldende også med tidligere system for e-post. Avsender har ansvar for e-postens innhold og for kommunalt ansatte vil risiko for å sende ut e-post med sensitive personopplysninger med a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger - begrenses ved systematisk opplæring og kommunikasjon av gjeldende interne rutiner. Hvis avsender er ekstern part er det som med tidligere system avsender selv som er ansvarlig for sending av innhold i egen e-post og har bekreftet ved innsending at dette faktisk kan sendes med e-post. Man kan allikevel forestille seg at avsender ikke innehar nok teknisk kompetanse til å vurdere om den elektroniske kommunikasjonskanalene er sikker nok for sitt bruk, men dette vil da også kunne sees i parallell til ordinær postforsendelse, der en vanlig avsender ikke kan anses å kunne vurdere gjeldende sikkerhetsnivå i postens distribusjonssystem. Kommunen har for øvrig en rekke IT-fagsystemer som benyttes av de tjenesteytende enhetene for utførelse av ulike kommunale tjenester og for saksbehandling på en sikker og akseptabel måte der systemmessig personvern og informasjonssikkerhet er ivaretatt. Personopplysningslovens 2 1. ledd viser til at personopplysninger defineres som opplysninger og vurderinger som kan knyttes til en enkeltperson. I denne konteksten (e-post konto for kommunalt ansatte) vil personopplysninger som fast (systemmessig) behandles som del av løsningen være opplysninger om fornavn og etternavn, samt kryptert passord til den enkelte kommuneansatte. Dette utgjør da sammen den kommunalt ansatte sin epostkonto hos Google. Da Google Apps også inneholder andre verktøy for effektiv intern samhandling gjennom deling av dokumenter, presentasjoner, regneark, skjema eller tegning- er det formålstjenlig for Narvik kommune å utnytte det fulle potensialet som ligger i verktøyet ved å vurdere andre anvendelser som kan gi ressursmessige, eller økonomiske gevinst for Narvik kommune og kommunens ansatte. Vi vil poengtere at det i dette ikke ligger noen form for saksbehandling da all saksbehandling foregår i andre kommunale fagsystemer. Noen få eksempler på områder som kan være aktuelt å benytte de øvrige verktøyene i Google Apps til er: a. Ferielister der navn på enhetsleder og kommunalt telefonnummer lagres sammen med tidsperiode for ferie. b. Rutiner og retningslinjer som skal være kjent for alle kommunalt ansatte (eks. Rutiner for bruk av Internett og e-post) c. Dokumenter for opplæring og formidling av kompetanse i organisasjonen. d. Register over IT systemer/fagapplikasjoner- med tilhørende navn på teknisk driftsansvarlig, systemeier og systemansvarlig. e. Rammeverk for interne avtaler om leveranse av tjenester mellom kommunale enheter - SLA (Service Level Agreement). f. Samstilling av økonomitall fra ulike enheter til sentral støttefunksjon i økonomienheten. g. Påmeldinger til felles samlinger og kurs for kommunalt ansatte. Side 2 of 11
3 De personopplysningene det vil være snakk om å lagre i ovennevnte eksempler gjelder kommunalt ansatte og innebærer navn, telefonnummer, e-postadresse og organisasjonstilhørighet. Alt dette er åpent tilgjengelige personopplysninger som også publiseres på kommunens websider. 2. Spørsmål fra Datatilsynet om risikovurderinger som kommunen har foretatt i anledning behandling av personopplysninger i Google Apps. sv: Det er gjennomført en helhetlig risikoanalyse tilknyttet innføringen av nytt IT-system som er gjennomgått i Kommunens informasjonssikkerhetsutvalg og vedlagt her i sin helhet. Liste over de forhold som er vurdert opplistes for ordens skyld allikevel her: a. En systematisk analyse av hvilke trusler opplysningene er utsatt for. b. Hvor stor sannsynlighet er det for at uvedkommende vil forsøke å få tilgang til opplysninger? c. Hvor stor er faren for at opplysninger blir endret? d. Hvor stor er faren for at opplysningene ikke er tilgjengelig når de behøves? e. Vurdere risikoen for at det kan skje systematiske eller menneskelige feil som påvirker sikkerheten rundt opplysningene. f. Er det fare for at opplysningene eksponeres for ytre fysisk påvirkning som vanninntregning, brann eller elektromagnetisme? g. Vurdere hvilke skadevirkninger det vil få dersom noen av de risikoene som knytter seg til behandlingen skulle materialisere seg. h. På bakgrunn av dette vurdere hvilke sikkerhetstiltak som må etableres for å oppnå kravet om tilfredsstillende informasjonssikkerhet. i. Sikkerhetstiltak både innenfor organisatoriske, fysiske og tekniske må beskrives. j. Vurdere hvordan sikkerheten knyttet til bruken av mobile enheter ivaretas. Risiko er i vedlegget beskrevet ut fra sannsynlighet/hyppighet (eks. sjelden..svært ofte) og skadeomfang/konsekvens (eks. ubetydelig..katastrofe). Det er verd å merke seg at det i flere tilfeller ikke kan beskrives noen sannsynlighet/hyppighet da det ikke forefinnes noe anvendbart referansemateriale for denne typen hendelser. Hovedområder for hvilke scenarier en slik løsning er utsatt for kan kort oppsummeres til: uønsket tilgang, tap av data, tjenesten (Google Apps) er ikke tilgjengelig- og at ansvar for tjenesten (inkludert sikkerhetsrevisjon) utydeliggjøres. Narvik kommune mener å ha gjennomført en grundig risikoanalyse tilknyttet tjenesten for e-post med Google Apps og gjennom egen trusselvurderingen som er inkludert i risikoanalysen. De emnene som tas opp i trusselvurderingen er: k. Identifisering risiko ved bekjentgjøring av fornavn og etternavn i e-postadresse. l. Autentisering gjennom kombinasjon av navn og passord fare for avsløring. m. Autorisasjon hvem har tilgang og utøver administrasjon for informasjonssystemet. n. Data-innbrudd fare for uautorisert tilgang. o. Kontinuitet planlagt eller ikke planlagt nedetid for tjenesten. p. Monitorering av hendelser mulighet til å oppdage uautorisert bruk. q. Lagring av informasjon innen EU eller USA 3dje parts innsyn. r. Exit overgang til annen leverandør. s. Kompromittering av sensitive opplysninger ved samhandling og deling. t. Mulige juridiske hinder ved iverksettelse av ny teknologi-plattform. Ved vurdering av risikobildet for flytting fra eksisterende løsning var det klart at fysiske lokaliteter og tilgang på teknologi-ressurser utgjorde en viktig faktor. I dette ligger det risiko for at organisasjonen ikke klarer å skaffe og vedlikeholde spesialkompetanse til drift av nok et Side 3 of 11
4 spesialisert IT-system, samt at eksisterende fysiske rammer tilsier at det på nåværende tidspunkt ikke er ønskelig å belaste kommunens datasentral ytterligere ved å tilføre nytt system for e-post. Google gjennomfører jevnlig sikkerhetsrevisjoner av egne systemer. Dette skjer ved at et 3. parts revisjonsfirma reviderer og tilgjengeliggjør sine funn i en revisjonsrapport. Narvik kommune har avtale med Google om å få tilgang til disse 3. parts revisjonsrapportene og vil gjennom innsyn i disse ta opp tema som kan være aktuelle i kommunens informasjonssikkerhetsutvalg. Gjennom systematisk fokus på hendelser og utfordringer tilknyttet bruk av ulike IT systemer i kommunens sikkerhetsutvalg bestående av kommunens sikkerhetsansvarlig samt representanter fra ulike områder og tillitsvalgte vil generelle tiltak for håndtering og sikring av personopplysninger ivaretas. Risiko tilknyttet ulike IT-systemer og menneskers behandling av opplysninger enten dette er på et fysisk eller elektronisk nivå vil alltid være tilstede men ved systematisk gjennomgang og fokus på bygging av kompetanse i organisasjonen er det mulig å minske risiko og i noen tilfeller eliminere denne helt. 3. Spørsmål fra datatilsynet om eventuell avtale inngått med Google direkte, samt oversikt over sikkerhetstiltak Google kan tilby for løsningen. Sv: I vedlagte Security Whitepaper beskrives databehandler (Google) sine strategier med flere lag av sikkerhet for datalagring, datatilgang og overføring. Dette bygger på kontroll over ti nøkkelkomponenter som beskrives kort her. All tekst under er utdrag hentet fra Google s dokument Security Whitepaper: Google Apps Messaging and Collaboration Products og er ment som hjelpetekst. For korrekte definisjoner om innhold og omfang- viser vi til orginalversjonen av Security Whitepaper (vedlagt). Google Corporate sikkerhets-policy. Grunnlaget for Google s engasjement for sikkerhet beskrives gjennom et sett av retningslinjer som dekker fysisk, konto, data, organisatoriske tjenester, nettverk og sikkerhet for datasystemer, applikasjonstjenester, systemtjenester, endrings-styring, hendelses-styring og data senter sikkerhet. Disse retningslinjene gjennomgås regelmessig internt hos Google for å sikre at de er hensiktsmessige og tilpasset. Organisatorisk sikkerhet. Google har opprettet et eget team med en ekspertgruppe innen informasjonssikkerhet, applikasjonssikkerhet og nettverkssikkerhet. Dette teamet er ansvarlig for å vedlikeholde selskapets forsvarssystemer, vedlikeholde prosesser tilknyttet sikkerhetsrevisjoner og bygging av sikker infrastruktur. Verdier klassifisering og kontroll. Google har en omfattende fokus på kontroll og praksis for å ivareta sikkerhet for kundeinformasjon. Google sine applikasjoner kjøres i et distribuert miljø der man i stedet for å samle kundedata på en server eller sett med servere- distribuerer kundedate over en delt infrastruktur sammensatt av Google sine egnenutviklede servere som er lokalisert på mange av Google sine datasenter. Google Apps benytter et distribuert filsystem utviklet for å håndtere store mengder data fra et stort antall maskiner. Brukerdata lagres strukturert i en stor distribuert database. Data deles opp i mange mindre fragmenter og spres utover mange systemer slik at at ingen data forsvinner hvis et del-system faller ut. Disse data-fragmentene gis også tilfeldige filnavn og lagres ikke i klar tekst slik at de ikke skal kunne leses av mennesker. Tilgang til data fra applikasjonsingeniører i en feilrettingssituasjon hos Google er basert Side 4 of 11
5 på streng kontroll der autentisering av personell skjer gjennom utstedelse av et eget x509 sertifikat. Videre fordrer administrativ tilgang til produksjonsdatabaser at oppkobling skjer ved bruk av PKI. (Public Key Infrastructure). Tilgang vil også alltid behovprøves. Personellsikkerhet. Google sine ansatte er påkrevd å oppføre seg i henhold til selskapets normer med hensyn til konfidensialitet, etikk, hensiktsmessig bruk og profesjonelle standarder. Ved ansettelse vil Google ikke bare verifisere utdannelse og tidligere arbeidsforhold, men vil også utføre referansesjekker internt og eksternt. Hvis mulig vil det gjennomføres rulleblad, kreditt, immigrasjon og sikkerhetssjekk. Omfanget av bakgrunnssjekk avhenger av hvilken posisjon som er aktuell. Alt personell gjennomgår opplæring innen sikkerhet ved oppstart. Alle ansatte hos Google er ansvarlig for å videreformidle hendelser innen sikkerhet og personvern til ansatte med spesielt ansvar for sikkerhet. Interne rapporteringsrutiner sikrer at ansatte anonymt kan rapportere enhver etisk problemstilling som oppstår. Fysisk og miljømessig sikkerhet. Google sine datasenter er geografisk distribuert og baserer seg på mange ulike fysiske sikringstiltak. Teknologi og sikkerhetsmekanismer som benyttes på disse lokasjonene kan variere ut fra lokale forhold som bygningsmessig lokasjon og regionale forhold. Datasenter vil alltid være utrustet i henhold til industristandard beste praksis og innebærer bruk av teknologi for tilgangskontroll, alarmsystem, interne og eksterne kamera samt sikkerhetsvakter. Alle kamera og alarmer overvåkes sentralt og områdene patruljeres regelmessig av sikkerhetsvakter ved bruk av sykler, Segway og T3 motion scootere. Det benyttes videre høyoppløselige kamera med videoanalyse og andre systemer for å oppdage og finne forsøk på innbrudd. Tilgang til et Google datasenter begrenses til Google ansatte, godkjent besøk og godkjent tredjepart som jobber i datasenteret. Retningslinjer for besøkende gjelder også for Googleansatte som ikke normalt har tilgang til produksjonsområdene. Google begrenser tilgang inne i datasenter basert på roller ikke posisjon. Dette resulterer i at selv øverste ledelse ikke har automatisk tilgang til Google sine datasenter. IT arkitekturen er bygget på overlapping og dublering av funksjoner for robusthet og kontinuerlig vedlikehold. For å støtte kontinuerlig drift 24/7 er datasentrene utrustet med redundant strømtilførsel der også dieselaggregater med generatorer tar over strømproduksjon ved utfall over lengre tid. Andre systemer som ivaretar fysisk sikring inkluderer kjøleanlegg i datarom og brannalarm. Side 5 of 11
6 Operasjonell sikkerhet. Skadelig programvare er en signifikant risiko i dagens IT miljøer. Google tar slike trusler mot eget nett og kunder seriøst, og benytter ulike metoder for å forebygge, oppdage og ufarliggjøre skadelig programvare. Strategisk innebærer første del av dette å forebygge mot infeksjon ved manuell og automatisert skanning ved å sjekke Google sin søke-index for webområder med skadelig innhold. Dernest tas det i bruk ulike antivirus skannere for å finne skadelig programvare som kan ha sluppet igjennom første skanning. Monitorering på interne systemer ivaretas ved innhenting av data om nettverkstrafikk, Google sine ansattes bruk av systemene og annen kjennskap til sårbarheter. Vurdering av sårbarhet håndteres fortløpende gjennom et eget team som jobber aktivt med scanning for å finne sikkerhets-trussler. Når en legitim trussel oppdages av sikerhetsteamet blir denne logget og prioritert etter alvorlighetsgrad og deretter tildelt en intern eier for videre oppfølgning. Innmeldte hendelser som kan påvirke konfidensialitet, integritet eller tilgjengelighet til systemets data- håndteres gjennom en egen prosess for sikkerhetshendelser. For å sikre at hendelser som gjelder informasjonssikkerhet får en rask behandling er et sikkerhetsteam tilgjengelig 24/7 som støtte for alt personell. Nettverkssikkerhet ivaretas av flere lage med forsvarsmekanismer. Dette for å beskyttenettverket fra forsøk på eksterne dataangrep. All datatrafikk må tilfredsstille Google sine krav til sikkerhet for å kunne overføres på nettverkene. Uautoriserte pakker blir automatisk droppet. Operativsystemene på Google sine servere er basert på en strippet og herdet variant av Linux som er tilpasset med kun de komponentene som er nødvendig for å kjøre Google sine applikasjoner. Systemet er designet for å ivareta full kontroll over både maskinvare og programvare. Sikkerhetsoppdateringer foretas på lik linje til hele den homogene infrastrukturen og hvis en modifisering oppdages som ikke er Google standard, vil systemet returnere automatisk til forrige tilstand. Slike automatiserte, selvhelbredende mekanismer er utformet med tanke på å kunne monitorere og oppdage forandringer som skaper ustabilitet og til å gi informasjon om uønskede hendelser i nettverket. Ved å benytte et robust system med rutiner for endringshåndtering der man benytter sentraliserte mekanismer for registrering, godkjenning og sporing av forandringer ønsker Google å minimalisere risiko for å introdusere uautoriserte modifikasjoner til Google sitt operativsystem. Tilgangskontroll. Alle ansatte i Google får ved ansettelse tildelt en konto for brukeridentifikasjon. Denne kontoen blir benyttet for å identifisere den ansattes aktivitet på Google sitt nettverk inkludert tilgang til ansattdata og kundedata. Ved ansettelse får en ansatt tildelt brukerident fra HR avdelingen og gis da tilgang til et sett med standard privilegier. Der det benyttes passord eller passordfraser vil systemene være satt opp til å benytte sterke regler for passord inkludert utløpsdato, restriksjoner for gjenbruk av passord og tilstrekkelig passord lengde. Kontroll med autorisasjon inkludert tilgangsrettigheter og nivå baseres på den ansatte sin jobb-funksjon og rolle. I dette benyttes konseptet med minst mulig privilegier og need to know for å matche nødvendig tilgang til definerte ansvarsområder. Ansatte i Google vil i utgangspunktet kun tildeles begrensede tilganger til interne ressurser som epost, intranett og ansatt-informasjon. Forespørsel om utvidet tilgang følger en formell prosess som innebærer en forespørsel og en tilgang gitt av data eller systemeier basert på Google sin sikkerhetsinstruks. Tilganger administreres av arbeidsflytverktøy som vedlikeholder inspeksjonslogg over alle endringer. Google har som policy å loggføre all administrativ tilgang til ethvert produksjonssystem og data. Hvis nødvendig er disse loggdata Side 6 of 11
7 tilgjengelig for sikkerhetspersonell hos Google. Systemutvikling og vedlikehold. Gjennom hele levetiden til applikasjoner, systemer og tjenester vurderer Google rutinemessig sikkerhet og implikasjoner tilknyttet disse. I dette ligger det at individer og team tilknyttet Google skal implementere passende sikkerhetsforanstaltninger i applikasjoner, systemer og tjenester som utvikles i samsvar med kjennskap til eventuell risiko. Google benytter en rekke tiltak for å sikre at de programvareprodukter og tjenestene som tilbys brukere holder en høy standard av sikkerhet. Gjennom interne konsulenttjenester til Google sine produkt og engineering team, tilbyr Google Security Team intern bistand innenfor: o Evaluering av sikkerhet og risiko ved prosjekter på design nivå. o Risikovurderinger tilknyttet implementering av produkter. o Gjennomgående konsultasjoner om risiko og mulige løsninger. Sikkerhet er betraktet som kjernen i design og utviklingsprosessene hos Google der utviklerteamene kan bygge på ulike rammeverk for et prosjekt. Google har utviklet og tilpasset sikkerhetsrevisjoner til ulike rammeverk. Hos Google har man innsett viktigheten- og behovet for at alle ressurser innehar kompetanse innen sikkerhet og tilhørende praksis ved programmering. Det gjennomføres derfor et kompetansebyggings program som i dag inkluderer: o Sikkerhetsopplæring for nye ingeniører o Utvikling og vedlikehold av omfattende dokumentasjon for sikkerhet ved programmering. o Målrettede referanser til dokumentasjon og opplæringsmateriell. o Tekniske presentasjoner om sikkerhetsspørsmål o Nyhetsbrev innen tema sikkerhet o Gjentagende konferanser med sikkerhet som tema. Sikkerhet på implementeringsnivå gjennomføres av medlemmer av Google Security Team og vil typisk gjennomføres i de senere stadier av utviklingsprosessen med fokus på sikkerhet ved implementering. Målsettingen er å validere at produktet er robust i forhold til relevante sikkerhets-trussler. Gjenvinning av data ved katastrofe, opprettholdelse av drift. For å minimalisere avbrudd på grunn av maskinvare som feiler, naturkatastrofer eller annet, har Google implementert et system for krisehåndtering ved alle sine datasenter. Dette systemet innebærer multiplisering av komponenter for å minimalisere risikoen for at enkeltkomponenter skal kunne forårsake nedetid: o Data replikering og backup til multiple systemer i datasenter og til sekundært datasenter. o Høy-hastighets forbindelser mellom flere geografisk spredte datasenter gir lavere risiko hvis en hendelse inntreffer i en hel region. o Ledelse av de ulike datasentrene er også distribuert for å gi en lokasjonuavhengig, 24/7 dekning og administrasjon. Det gjennomføres katastrofeøvelser jevnlig i henhold til katastrofeplan. Side 7 of 11
8 Regelverk og juridiske rammeverk. Google følger standard juridiske prosesser ved forespørsler fra tredjepart om innsyn i data. Innsyn kan bare oppnås gjennom en dokumentert juridisk prosess som ransakelsesordre, rettskjennelse, stevning gjennom et lovfestet vedtak, eller gjennom brukers samtykke. Ved mottak av en anmodning om utlevering av informasjon vil Google s juridiske team gjennomgå om forespørselen akseptabel er i henhold til gjeldende lovverk. Hvis forespørselen er juridisk valid er det vanlig prosedyre hos Google å informere den individuelle brukeren- eller organisasjonen om forespørselen unntatt i de tilfellene der en nødsituasjon oppstår eller der dette forhindres av lov. Google ivaretar en sterk personvern policy for å ivareta sikkerhet for kundedata. Denne kan finnes i sin helhet på : og er tilknyttet alle applikasjoner innenfor Google Apps. Mer detaljert om personvern finnes på Google legger vekt på at de ikke eier noen kundedata og ønsker å fortsette med det! Følgende prinsipper legges til grunn for håndtering av kundedata: o Google vil ikke dele data med andre med unntak som beskrevet i Google Privacy Policy. o Google tilrettelegger verktøy for kunder som ønsker å ta med seg data til annen leverandør. Brukerdata blir bare skannet eller indeksert i følgende tilfeller for å gi brukerne en tjeneste med høyere kvalitet: o Noen brukerdata som e-post og dokumenter blir skannet og indeksert slik at brukere innen domenet kan søke etter informasjon på egen Google Apps konto. o E-post skannes slik at Google kan gjennomføre filtrering av spam. o Med unntak av når brukere velger å publisere informasjon åpent er data som ligger i Google Apps ikke en del av den generelle google.com indeksen (søkemotoren). Scanning og indeksering foregår helt automatisk uten involvering fra mennesker. Google kan også velge å fjerne uønsket innhold som overtrer Terms of Service for Google Apps produktene. Safe Harbor Google overholder og opererer i henhold til Safe Harbor rammeverket og er registrert under dette avtaleverket hos det amerikanske handelskammer. SSAE16 (tidl. SAS70-II) Innebærer at det gjennomføres sikkerhetsrevisjoner hos Google utført av en uavhengig 3. part (revisor) etter en gitt industristandard. Formålet er å validere interne rutiner og bekrefte at disse gjennomføres effektivt og hensiktsmessig. Etter gjennomført revisjon vil revisjonsfirma fremskaffe rapport om disse forholdene. Side 8 of 11
9 Øvrige sikkerhetsmessige tilpassninger og muligheter I tillegg til ulike kontrollpunkter som er beskrevet av Google for å ivareta sikkerhet og personvern for kundedata, har Google Apps også flere opsjoner for sikkerhet som kan iverksettes av domene-administratorer (Narvik kommune): o Single Sign On (SSO) Gir administratorer muligheter for flere autentiserings mekanismer som sertifikater, brikker, biometrisk og annet. o Passord lengde og styrke administratorer kan sette nødvendig passordlengde for brukere på domenet. Indikatorer viser passordstyrke og kan hjelpe til med å identifisere passord som ikke holder tilstrekkelig nivå. o Administratorbasert Single Sign-out. Administratorer kan nullstille en brukers informasjonskapsler for å unngå uautorisert tilgang til konto. Dette vil logge brukeren ut fra alle nettlesersesjoner og fordrer ny autentisering ved neste pålogging. o Sikker nettleser oppkobling (SSL - HTTPS) gir administratorer mulighet for å stille inn for alle brukere på domenet at de skal benytte HTTPS protokollen ved oppkobling mot Google Apps. Informasjon som sendes via HTTPS er kryptert fra den forlater Google fram til mottakerens PC. o Ved bruk av retningslinjer for Transfer Layer Security TLS for Simple Mail Transfer Protocol - SMTP kan administratorer gjennomføre retningslinjer utformet for sikker sending og mottak av e-post mellom spesifikke domener. For eksempel kan en administrator spesifisere at all ekstern epost som sendes fra lønnskontoret til banken skal sikres med TLS eller settes på vent hvis TLS ikke kan benyttes. På samme måte kan administrator iverksette en sikker TLS forbindelse mellom domenet (narvik.kommune.no) og eksterne samarbeidspartnere som juridiske rådgivere og revisorer eller andre samarbeidspartnere der ansatte behøver økt sikkerhet. o Søk etter arkivert epost. Ved bruk av Google Message Discovery som er en del av Postini-tjenesten, kan man sette opp et sentralisert og søkbart epost arkivdepot for organisasjonen for søk gjennom arkiv og lagring av epost. Slutt på tekst fra Security Whitepaper Narvik kommune har i denne sammenhengen ikke inngått gjensidig avtale med Google om leveranse av løsning for e-post, men med systemintegrator Avalon Information Systems AB som i denne sammenhengen refererer til Google s dokument Google Apps Technical Support Services for beskrivelse av tjenestenivå og kundestøtte fra Google. Da leveransen for E-posttjenesten er basert på Coud-computing, er det heller ingen lokale ITinstallasjoner hos Narvik kommune som fordrer ekstra avtale om support fra leverandør ut over de tjenestenivåene som er listet i standardavtalen fra Google. 4. Spørsmål fra Datatilsynet om eventuell databehandleravtale mellom kommunen og Google, samt en beskrivelse av informasjonssystemets utforming og plassering. Sv: Informasjon om informasjonssystemets utforming og plassering er beskrevet i vedlagte Security Whitepaper. Av sikkerhetsmessige årsaker ønsker ikke Google å frigi detaljerte opplysninger rundt datasentrenes plassering ei heller tekniske detaljer som kan være kompromitterende i et sikkerhetsperspektiv. EU direktivet om beskyttelse av personopplysninger ble iverksatt i 1998 og forhindret utveksling av data med personopplysninger til land utenfor EU som ikke tilfredsstilte Europaunionens standard for tilstrekkelig personvern. Selv om både USA og EU deler felles målsetting om økt personvern for landenes innbyggere er det allikevel forskjellig tilnærming. For å bygge bro over disse forskjellene og frambringe et verktøy for å strømlinjeforme samarbeidet mellom USA og Europa, ble det utviklet et avtale-rammeverk for databehandling Side 9 of 11
10 av personopplysninger. Dette rammeverket kalles Safe Harbor (se vedlegg) og innebærer at organisasjoner og bedrifter som tilslutter seg dette overholder EU s krav til personvern. Google er listet her og forholder seg strengt til denne avtalen. Gjennom dokumentet Security Whitepaper, Google s tilslutning til Safe Harbour-avtalen og Narvik kommune s tilgang til sikkerhetsrevisjonsrapporter fra 3dje parts revisjonsfirma og sett i lys av at formålet med leveransen primært er E-post til kommunalt ansatte er det ønskelig at dette i sum skal tilfredsstille myndighetenes krav om databehandleravtale. 5. Spørsmål fra Datatilsynet om hvordan følgende problemstillinger er avklart med Google: a. Sikkerhetskopiering sv: Prosedyrer for sikkerhetskopiering er nærmere beskrevet i Security Whitepaper. Ved replikering og backup lagres data på flere systemer på samme datasenter og replikeres samtidig til et sekundært datasenter. Dette for å sikre at ingen data tapes ved katastrofer eller uønskede hendelser. b. Hvem hos Google som har tilgang til kommunens personopplysninger sv: Google beskriver i Security Whitepaper et rigid system for autorisasjon og tilgangskontroll før ansatte får tilgang til produksjonsdata. Det er utover dette ikke navngitt noen enkeltperson som har tilgang til kommunens data. Google beskriver også at håndtering av produksjonsdata for virussjekk og indeksering skjer maskinelt. c. På hvilken måte kommunen skal gjennomføre sikkerhetsrevisjon hos Google. sv: Kommunen har etter avtale med Google tilgang til SSAE 16 rapporter fra sikkerhetsrevisjoner fra 3.dje parts revisjonsfirma. Disse revisjonsrapportene mottas jevnlig etter hver revisjon- og skal rutinemessig taes opp til behandling i kommunens informasjonssikkerhetsutvalg. I tillegg til de punktene som er nevnt vil vi også generelt kommentere mulighetene i systemet for mobile brukere. Dette vil være et område som vil kreve langsiktig fokus på gode rutiner, kompetansebygging og systemmessige sikkerhetsmekanismer i kombinasjon. Dette er også en ny mulighet for mange brukere krever en ansvarlig holdning fra den enkelte ansatte i forhold til håndtering av mobile enheter ved bruk i det offentlige rom, tap eller tyveri. I løsningen fra Google ligger det systemmessige administrative funksjoner som innebærer at brukerdata på mobil enhet raskt kan slettes av administrator og at informasjon gjøres utilgjengelig for annen part. Dette er allikevel ikke å anse som noen erstatning for brukeropplæring og holdnings skapende arbeid men vil være et svært nyttig verktøy ved tap av mobil enhet. Vi håper dette gir et tilfredsstillende bilde av vurderingene tilknyttet ny e-postløsning i Narvik kommune. Med vennlig hilsen Per Jakobsen Enhetsleder IT Drift og Utvikling Side 10 of 11
11 Side 11 of 11
Vår referanse (bes oppgitt ved svar)
Narvik kommune Postboks 64 8501 NARVIK Deres referanse Vår referanse (bes oppgitt ved svar) 1111/1210-6/PEJA 11/00593-7/SEV 16. januar 2012 Dato Varsel om vedtak - Ny e-postløsning i Narvik kommune - Google
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerInformasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt
Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.
DetaljerPersonvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen
Det frivillige Skyttervesen Del 1 Personvernerklæring Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1 av
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerPersonvern og informasjonssikkerhet
Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1
Detaljer1 Våre tiltak. Norsk Interaktivs arbeid med personvern
Til våre kunder Kristiansand 22. juni 2016 Norsk Interaktivs arbeid med personvern Norsk Interaktiv har alltid hatt fokus på personvern i våre systemer. Vi vedlikeholder hele tiden våre tjenester for å
DetaljerInformasjonssikkerhet i Nord-Trøndelag fylkeskommune
Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom..kommune Behandlingsansvarlig og
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
DetaljerOverordnet IT beredskapsplan
Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerVEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE
ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2
DetaljerPublic 360 Online Datasikkerhet
Public 360 Online Datasikkerhet Ver. 1.0 Mars 2014 Public 360 Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft Windows Azure. Azure er valgt som skyplattform ettersom
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerGDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018
GDPR General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 en grunnleggende kjedelig men absolutt nødvendig innføring for lag og foreninger i Asker
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerFÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE
FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE Start din reise mot å etterleve de nye personvernreglene INTRODUKSJON I mai 2018 innføres ny personvernlovgivning i Norge. Disse har vært mye omtalt, både som de
DetaljerINFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)
Innledning INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf) Informasjonssikkerhet og medlemmenes personvern står høyt oppe på Dnmf sin agenda, til beste for
DetaljerADDSECURES BEHANDLING AV PERSONOPPLYSNINGER
Avtale innledning ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER For den behandlingen av personopplysninger som AddSecure utfører på vegne av kundene sine, er AddSecure databehandler for kunden. Hvis du er
DetaljerNår du registrerer deg for å få tilgang til Tjenestene som arrangør Kontakter oss med forespørsler
RETNINGSLINJER FOR PERSONVERN 22.01.2016 1. Om Hoopla AS Hoopla AS («Hoopla») gjør det mulig å planlegge, promotere og selge billetter til et arrangement. Vi gjør dette, gjennom tilgjengelig programvare
DetaljerPersonvernerklæring. Innledning. Om personopplysninger og regelverket
Personvernerklæring Innledning Denne personvernerklæringen gjelder for Norsk Fysioterapeutforbund og forklarer hvorfor vi samler inn informasjon om deg, hvordan vi bruker denne informasjonen og hvordan
DetaljerPersonvernerklæring. Nordix Data AS Gjeldende fra
Personvernerklæring Nordix Data AS Gjeldende fra 30.06.2018 Ditt personvern er viktig for oss. Informasjon om vår behandling av opplysninger om deg skal være tydelig og lett tilgjengelig slik at du har
DetaljerSGS PERSONVERNPOLICY BE DATA SAFE
SGS PERSONVERNPOLICY BE DATA SAFE INNHOLD 3 Beskjed fra Konsernsjefen 4 Omfang 5 SGS PersonvernPolicy 2 BESKJED FRA KONSERNSJEFEN I de daglige anliggender samler SGS inn Personopplysninger fra sine kunder,
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig
Detaljer3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.
1.5 Definisjoner Definisjoner i Personopplysningslov og -forskrift 1) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. 2) Behandling av personopplysninger Enhver bruk av
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerProsedyre for personvern
Formål: Hensikten med denne prosedyren er å sørge for samsvar med relevant regelverk for vern av personopplysninger. Prosedyren skal også sikre styring, gjennomføring og kontroll av hvordan selskapet håndterer
Detaljer*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.
Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier
DetaljerSikkerhetshåndbok for Utdanningsetaten. kortversjon
Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering
DetaljerNasjonal sikkerhetsmyndighet
Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom
DetaljerDatabehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle
Databehandleravtale Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og
DetaljerInternkontroll i mindre virksomheter - introduksjon
Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no
DetaljerDiabetesforbundet. Personvernerklæring
Diabetesforbundet Personvernerklæring Versjon Dato Utarbeidet av Godkjent av 1.0 01.06.2018 NN Sekretariatet 1.1 22.06.2018 GDPR-ansvarlig Sekretariatet INNHOLD 1 KRAV TIL PERSONVERNERKLÆRING... 2 1.1
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerVirksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerDenne personvernerklæringen gjelder for alle produkter og tjenester levert av Sima AS.
Denne personvernerklæringen gjelder for alle produkter og tjenester levert av Sima AS. Denne personvernserklæringen omfatter både innsamlingen av personopplysninger og den senere bruken av disse. Du skal
DetaljerVEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold
VEILEDER GDPR PERSONVERN DEL 2 - personopplysninger utover ansatteforhold Nye krav fra 20. juli 2018 Forordningen ble norsk lov og den gjeldende loven ble erstattet. Det nye lovverket styrker forbrukernes
DetaljerDersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».
Personvern vilkår Om Velkommen til Hoopla, Hoopla AS ( Selskapet, Vi og/eller Vår ) gjør det mulig for mennesker å planlegge, promotere og selge billetter til et Arrangement. Vi gjør det enkelt for alle
DetaljerCloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.
Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en
Detaljer3.1 Prosedyremal. Omfang
3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerSporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler
Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
DetaljerPOWEL DATABEHANDLERAVTALE
POWEL DATABEHANDLERAVTALE mellom Powel AS. Behandlingsansvarlig og «Navn på selskap». Databehandler Innhold 1 Formålet med Databehandleravtalen... 3 2 Definisjoner... 3 3 Formål med behandlingen... 3 4
Detaljer3. Databehandleravtale
3. Databehandleravtale Visma jobber målrettet for at Programvaren skal være i samsvar med gjeldende personvernlover og -forskrifter. 3.1. Visma Trust Centre 3.1.1. Åpenhet og ansvarlighet er viktig for
DetaljerPersonvernerklæring. Sist oppdatert
Personvernerklæring Sist oppdatert 03.03.2019 Denne personvernerklæringen handler om hvordan Bygg-Team Romerike AS samler inn og bruker personopplysninger om deg. Bygg-Team Romerike AS lenker til nettsider
DetaljerSikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret
INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to
DetaljerLaget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016
Laget av Dato Orginal plassering fil. Johnny ndre Sunnarvik Nov 2015 http://innsiden.helse-vestikt.no/avdelinger/tjenesteproduksjon/anbudskrav/documents/sikkerhet.docx Dato Nov 2015 Des 2015 Nov 2016 Beskrivelse
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerPERSONVERNERKLÆRING FOR LEXIT GROUP AS
PERSONVERNERKLÆRING FOR LEXIT GROUP AS 1. Behandlingens formål og grunnlag 2. Opplysningene vi behandler 3. Deling av informasjon 4. Deling av informasjon på sosiale medier 5. Sikkerhet 6. Lagring og sletting
DetaljerInnføring av 2-faktor autentisering ved pålogging - for kunder som benytter Evolution -
1 Innføring av 2-faktor autentisering ved pålogging - for kunder som benytter Evolution - Målsetning med presentasjon: Øke kunders kompetanse om riktig valg av sikring av persondata ved bruk av 1- eller
DetaljerINNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE
INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX
DetaljerPERSONVERNERKLÆRING. Adresse: IntegrasjonsPartner BITS AS. Hassingveien FREDRIKSTAD Organisasjonsnr:
PERSONVERNERKLÆRING Ditt personvern er viktig for oss Ditt personvern er viktig for oss. Derfor har vi utformet denne personvernerklæringen, som informerer deg om hvordan vi behandler dataene dine. Hvem
DetaljerPersonvernerklæring Meldal Regnskapskontor SA
Personvernerklæring Meldal Regnskapskontor SA Denne personvernerklæringen (heretter «erklæringen») gir deg informasjon om hvordan Meldal Regnskapskontor SA samler, bruker eller deler dine personlige data
DetaljerHvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler. 27.10.2011 Advokat Herman Valen
Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler 27.10.2011 Advokat Herman Valen 2 Innledning Regelverket for offentlige anskaffelser Kjennetegnet ved cloud-tjenester Standardiserte
DetaljerRollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).
Personvern Det er viktig for oss at du føler deg trygg når du bruker vår nettsider, tisip.no og itfag.no. Derfor legger vi stor vekt på å beskytte ditt personvern. Denne erklæringen forklarer hvordan vi
DetaljerDenne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg.
PERSONVERNERKLÆRING Sist oppdatert: 23.11.2018. Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg. El-Tilsynet as (ET) lenker til nettsider som
DetaljerHVEM ER JEG OG HVOR «BOR» JEG?
DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller
DetaljerAVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel
DetaljerInnsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud
Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
DetaljerMobilbank kontrollspørsmål apper
Egenevalueringsskjema Mobilbank DATO: 31.10.2014 Evalueringsskjema Mobilbank apper Del 1 Del 2 Strategi og sikkerhetspolicy Kost-nytte og ROS-analyser Utvikling og oppdatering Avtaler Driftsrelaterte spørsmål
DetaljerIKT-reglement for Norges musikkhøgskole
IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse
DetaljerNye personvernregler
Nye personvernregler Rollen som tillitsvalgt Akademikerforeningenes tillitsvalgtkurs Soria Moria 15. og 16. januar 2018 Ellen Røyneberg, Legeforeningen Agenda Grunnleggende om personvern Personvernforordningen
DetaljerMellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:
Databehandleravtale for Økonomibistand I henhold til "Personopplysninger" betyr all informasjon om en identifisert eller identifiserbar fysisk person, som nærmere definert i gjeldende lov og EU-forordning
DetaljerPersonvernerklæring for Topps mobilapp Match Attax. Sist oppdatert: 24. september 2018
Personvernerklæring for Topps mobilapp Match Attax Sist oppdatert: 24. september 2018 Personvern for barn Hva slags opplysninger vi samler inn, og hvordan vi samler inn opplysninger Dine rettigheter vedrørende
DetaljerHelseforskningsrett med fokus på personvern
Helseforskningsrett med fokus på personvern Sverre Engelschiøn Helseforskningsrett 2009 Sverre Engelschiøn 1 Tema Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Helseforskningsrett
DetaljerDatabehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr
Databehandleravtale I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016 (GDPR), artikkel 28, jf. artikkel 29 og 32-36, inngås følgende avtale mellom
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
Detaljersom gjelder databehandlerens behandling av personopplysninger på vegne av datakontrolleren.
Databehandleravtale Datakontroller: Kunde innfor EU eller EØS (Datakontroller) og Databehandler: Europeisk representant Selskap: ONE.COM (B-one FZ-LLC) One.com A/S Org.nr.. Org.nr. 19.958 CVR: 28677138
DetaljerPERSONVERNERKLÆRING. 1. Hvilke personopplysninger behandler NFKR?
PERSONVERNERKLÆRING Norsk Forening for Kvalitet og Risikostyring (NFKR) er en medlemsorganisasjon registrert i Brønnøysundregistrene med organisasjonsnummer: NO 985 841 020. Som medlem i NFKR, eller som
DetaljerBehandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold
Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerRetningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune
W Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune Innhold 1. Bruker-ID og passord... 3 2. Privat bruk og eiendomsrett... 3 3. Innsyn... 3 4. Virus og spam... 4 5. Konfidensialitet...
DetaljerGDPR - hva betyr det for din bedrift?
GDPR - hva betyr det for din bedrift? Hva er GDPR? 25. mai 2018 trer den nye europeiske personvernforordningen, The General Data Protection Regulation(GDPR), i kraft. Forordningen vil implementeres i alle
DetaljerNår du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:
Personvernerklæring Denne personvernerklæringen handler om hvordan Magnar Eikeland Gruppen AS samler inn og bruker personopplysninger om deg. (Magnar Eikeland Kontormaskiner AS og Magnar Eikeland Kontorutstyr
DetaljerTiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011
Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser
DetaljerDenne personvernerklæringen handler om hvordan Haralds Trafikkskole AS samler inn og bruker personopplysninger om deg.
PERSONVERNERKLÆRING Sist oppdatert: 19.11.2018. Denne personvernerklæringen handler om hvordan Haralds Trafikkskole AS samler inn og bruker personopplysninger om deg. Haralds Trafikkskole AS lenker til
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe
DetaljerVeileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?
Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To
DetaljerCOMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit
COMPLIANCE GENERAL DATA PROTECTION REGULATION Johnny Berntsen ISO/IEC 27001 Master Knowit Hva er GRDP? GDPR står for General Data Protection Regulation og er erstattningen og oppdatering av EU s 20 år
DetaljerEr du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen
Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Innledning Hva er cloud computing? IaaS, PaaS, SaaS osv Skyen er en forretningsmodell som bygger på noen prinsipper: Standardisering (tjenester,
DetaljerRUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS
Rutine for informasjonssikkerhet for personopplysninger i BRIS RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS Innhold 1. Innledning 2 2. Formålet med BRIS 2 3. Personopplysninger i BRIS
DetaljerMålet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».
Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.
DetaljerInnledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerEasyParks Personvernerklæring
EasyParks Personvernerklæring 1 Om EasyParks Personvernerklæring Når du benytter Easy Park AS ("EasyPark") tjenester betror du dine personopplysninger til EasyPark. I denne personvernerklæringen ("EasyParks
DetaljerVI BYGGER NORGE MED IT.
VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet
DetaljerPersonvernerklæring for MOOC
Personvernerklæring for MOOC Om denne personvernerklæringen Hva er personopplysninger? Kort om tjenesten Formålet med behandling av personopplysninger i tjenesten Registrerte personopplysninger, rettslig
DetaljerVIRKE. 12. mars 2015
VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter
DetaljerDeres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON
Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle
DetaljerPersonvernerklæring for Eurofins norske selskaper
Personvernerklæring for Eurofins norske selskaper Eurofins i Norge er opptatt av din integritet og ditt personvern. Det er derfor en selvfølge for oss å alltid etterstrebe å beskytte dine personopplysninger
DetaljerFelles datanett for kommunene Inderøy, Verran og Steinkjer
IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.
DetaljerHvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015
Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets
DetaljerDatabehandleravtale Pilot Digitalt Bortsettingsarkiv
Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt
Detaljer