Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Begynne med side:

Download "Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune"

Transkript

1 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009

2 INNHOLDSFORTEGNELSE 1. INNLEDNING PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING FORMÅL PROBLEMSTILLINGER AVGRENSING REVISJONSKRITERIER METODEVALG OG GJENNOMFØRING PROBLEMSTILLING: KRAV TIL STYRINGSSYSTEM STATUS OG VURDERING SIKKERHETSLEDELSE RISIKOVURDERING SIKKERHETSREVISJON AVVIK ORGANISERING PERSONELL OG TAUSHETSPLIKT FYSISK SIKRING SIKRING AV KONFIDENSIALITET SIKRING AV TILGJENGELIGHET SIKRING AV INTEGRITET SIKKERHETSTILTAK SIKKERHET HOS ANDRE VIRKSOMHETER DOKUMENTASJON OPPSUMMERING OG ANBEFALINGER RÅDMANNENS KOMMENTAR Vedlegg: 1. Ordliste 2. Spørreskjema 1

3 FORORD Forvaltningsrevisjon er etter kommuneloven en lovpålagt oppgave for kontrollutvalget og kommunerevisjonen. Formålet med forvaltningsrevisjon er å føre tilsyn med at forvaltningen foregår i samsvar med gjeldende bestemmelser og vedtak. Forvaltningsrevisjon kan også omfatte vurderinger av kommunens forvaltning, med utgangspunkt i oppgaver, ressursbruk og oppnådde resultater. I dette prosjektet har vi undersøkt i hvilken grad Lillesand kommune etterlever krav i personopplysningsloven med forskrift. I rapporten drøftes funn i tilknytning til problemstillingene og det gis anbefalinger som kan bidra til at kommunen kan ivareta oppgavene som omfatter behandling av personopplysninger på en bedre måte. Prosjektet ble startet i nuar 2008, men er i hovedsak gjennomført i perioden oktober februar Arendal Revisjonsdistrikt IKS har benyttet ekstern konsulentbistand fra Pragma AS i forprosjektet. Prosjektet er gjennomført av oppdragsansvarlig forvaltningsrevisor Steinar Johansen i henhold til vedtak i kontrollutvalget i Lillesand kommune i sak 21/07 og 24/08 (årsplaner). Risør, den 9. februar 2009 Steinar Johansen (sign.) oppdragsansvarlig 2

4 1. Innledning Kontrollutvalget i Lillesand kommune har i sine årsplaner for 2008/2009 vedtatt at prosjektet IKT sikkerhet og sårbarhet skal gjennomføres. Kontrollutvalget spesifiserer bestillingen slik: Bruken av IKT er omfattende i kommunen. Tilgjengelighet, sårbarhet, sikkerhet, sikring m.v. ønskes kartlagt. Kontrollutvalgene i Birkenes, Froland, Grimstad, Gjerstad, Lillesand, Risør, Tvedestrand, Vegårshei og Åmli har tilsvarende prosjekt på sine årsplaner. Dette prosjektet er forutsatt gjennomført i alle kommunene. Personopplysningsloven 13 Informasjonssikkerhet angir det lovpålagte kravet til informasjonssikkerhet. Paragrafens første og annet ledd lyder: Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfresstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeideren hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal være tilgjengelig for Datatilsynet og Personvernnemnda. Innholdet er nærmere utdypet i personopplysningsforskriftens kapittel 2. Bestemmelsene i forskriften angir krav til det styringssystemet den enkelte virksomhet må etablere for å oppnå tilfredsstillende informasjonssikkerhet. Sentralt i styringssystemet er at kommunene må fastsette overordnede sikkerhetsmål, fastsette akseptabelt risikonivå og fordele ansvar og oppgaver i sikkerhetsarbeidet. Kommunen må fremskaffe en komplett oversikt over alle personopplysninger som behandles innenfor de ulike tjenesteområdene. Kommunene må foreta risikovurdering, dvs vurdere sannsynlighetene for og konsekvensene av sikkerhetsbrudd. Det må opprettes rutiner og et aktivt system for avvikshåndtering. 2. Prosjektets formål, problemstilling og avgrensing 2.1 Formål Hovedformålet er å undersøke i hvilken grad Lillesand kommune etterlever bestemmelsene i personopplysningsloven og personopplysningsforskriften i sin behandling av personopplysninger. Rapporten skal bidra til at mangler eller feil avdekkes og kartlegges, slik at det kan settes i gang tiltak for å rette opp i dette. 3

5 2.2 Problemstillinger Har kommunen bygget opp et informasjonssikkerhetssystem i henhold til de krav som er gitt i personopplysningsloven med forskrift som trådte i kraft ? Detaljerte problemstillinger, knyttet til i hvilken grad kommunen har fulgt opp krav til styringssystem angitt i personopplysningsforskriften kap 2, fremgår av revisjonens kartleggingsskjema. Status knyttet til det enkelte krav i forskriften er omtalt i kap 4 i denne rapporten. 2.3 Avgrensing De undersøkelser som er foretatt gjelder kun for personopplysninger som helt eller delvis behandles ved hjelp av elektroniske hjelpemidler. 2.4 Revisjonskriterier Revisjonskriterier er en samlebetegnelse på de regler og normer som gjelder innenfor det området som undersøkes. Revisjonskriteriene er basis for de analyser og vurderinger som foretas, konklusjonene som trekkes, og de er et viktig grunnlag for å kunne dokumentere avvik eller svakheter. 3. Metodevalg og gjennomføring Revisjonen har sendt ut kartleggingsskjema til rådmannen. (Skjemaet (spørsmålene) følger som vedlegg til rapporten). Rådmannen ble bedt om å besvare og returnere skjemaet til revisjonen. Vi hadde så et møte med administrasjonen hvor vi gjennomgikk besvarelsen. Denne rapporten inneholder resultatene fra kartleggingen og revisjonens vurdering av svarene opp mot kravene i personopplysningsforskriften kap 2. Revisjonens anbefalinger følger til slutt i rapporten. 4. Problemstilling: Krav til styringssystem status og vurdering Spørreskjemaet som danner grunnlaget for revisjonens vurdering, er fylt ut av kommunens IT-avdeling. I det følgende følger en beskrivelse av de opplysninger (fakta) som er gitt gjennom spørreskjemaet og samtaler. Svarene er målt opp mot bestemmelsene i forskriften og danner grunnlaget for revisjonens vurdering og konklusjon Sikkerhetsledelse Regelverk - jfr. forskriftens 2-3 Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene i dette kapittelet følges. Formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål. Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi. 4

6 Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Resultatet fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og strategi Fakta Lillesand har utarbeidet eget dokument med sikkerhetsmål og strategi. Dette skal være styrende for kommunens arbeid med informasjonssikkerhet. Det svares at virksomhetens ledelse gjennomgår sikkerhetsmål og strategi adhoc. Denne gjennomgangen er ikke dokumentert, men det opplyses at resultatet av gjennomgangen har ført til nye rutiner og endret/utvidet opplæring og informasjon Vurdering og konklusjon Beskrivelsene av sikkerhetsmål og strategi er oversiktlig skrevet. Sikkerhetsmålene er konkrete og klart definert. Lillesand kommune svarer at sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet, men svarer også at sikkerhetsmål og sikkerhetsstrategien ikke gjennomgås jevnlig, slik det er pålagt etter personopplysningsforskriften 2-3 og slik det er nedfelt i kommunens sikkerhetsstrategi. Det vil skje naturlige endringer i en virksomhet, som integrering av nytt informasjonssystem, endringer i rutiner og prosedyrer og med de endringene må det følge en gjennomgang av sikkerhetsstrategien slik at den til en hver tid er tilpasset virksomheten sikkerhetsbehov. For å kunne ivareta tilfredsstillende informasjonssikkerhet er Lillesand kommune nødt til å revidere sikkerhetsmålet og strategien sin jevnlig. 4.2 Risikovurdering Revisjonskriterier jfr. forskriftens 2-4 Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandling av personopplysninger, jf. første ledd og 2-2. Resultatet av risikovurderingen skal dokumenteres Fakta Kommunen har en fyldig oversikt over hvilke personopplysninger som behandles i kommunen i tråd med skjemaforslag fra datatilsynet. Kommunen svarer på alle spørsmålene under dette punktet. Det er imidlertid ikke lagt frem dokumentasjon som viser at den behandlingsansvarlige har fastsatt kriterier for akseptabel risiko eller kartlagt sannsynligheten for eller konsekvensene av et sikkerhetsbrudd ved hjelp av en risikovurdering. Det svares på at det er gjennomføres en risikovurdering før behandling av personopplysninger med elektroniske hjelpemidler er satt i gang, og ved endringer som kan ha betydning for informasjonssikkerheten. Det foreligger en veiledning for gjennomføring av risikoanalyse etter mal fra Datatilsynet, men denne er ikke tatt i bruk ennå. 5

7 4.2.3 Vurdering og konklusjon Svarene indikerer at kravene om risikovurdering etter personopplysningsforskriften 2-4 ikke fullt ut imøtekommes. Personopplysningslovens 13 med utfyllende bestemmelser i forskriftens kapittel 2, gir forventninger om tilfredsstillende sikring av informasjonssystemet med grunnlag i risikovurdering. For å kunne gjennomføre en risikovurdering må det med utgangspunkt i oversikten over personopplysninger som behandles angi hvilke opplysninger som er nødvendig å sikre med hensyn til konfidensialitet, integritet og tilgjengelighet. Kommunen svarer at det er gjennomført risikovurderinger, men kan ikke dokumentere at dette er foretatt. 4.3 Sikkerhetsrevisjon Revisjonskriterier jfr. forskriftens 2-5 Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf Resultatet fra sikkerhetsrevisjon skal dokumenteres Fakta Det svares at det foretas en etterprøving av sikkerhetsarbeidet og at dette gjennomføres i samarbeid med arkivet og IT-avdelingen. Avvik som registreres blir tatt opp og det blir utarbeidet rutiner og gitt opplæring. Resultatet av sikkerhetsrevisjonen dokumenteres ikke Vurdering og konklusjon Etter krav i personopplysningsforskriften 2-5 skal det jevnlig gjennomføres en sikkerhetsrevisjon. Avdekking av bruk av informasjonssystemet som ikke er forutsatt, skal behandles som avvik. Formålet med en sikkerhetsrevisjon er å sikre at besluttet sikkerhetsmål og strategi etterleves i hele virksomheten. Resultatet av revisjonen skal dokumenteres og danner grunnlaget for eventuelle nødvendige endringer i sikkerhetsmål og strategi. Sikkerhetsrevisjonen inngår også som grunnlag i ledelsens gjennomgang av informasjonssystemet og informasjonssikkerheten. 4.4 Avvik Revisjonskriterier jfr. forskriftens 2-6 Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles. Resultatet fra avviksbehandling skal dokumenteres. 6

8 4.4.2 Fakta Kommunen svarer at sikkerhetsbrudd og bruk av systemet i strid med fastlagte rutiner blir behandlet som avvik. Videre svarer kommunen at de har hatt dialog (varslet) med Datatilsynet i tilfeller hvor utlevering ikke har vært iht lovverket. Kommunens dokumentasjon ifm avviksbehandlingen begrenser seg til noe korrespondanse med Datatilsynet Vurdering og konklusjon Det er positivt at det ifm avvik blir varslet til Datatilsynet og også at den kompetansen som finnes i Datatilsynet blir benyttet av kommunen. Her er det også viktig at det kommer frem at et avvik også kan være organisatoriske og prosessuelle avvik som strider mot fastlagte rutiner (Jf. Personopplysningsforskriften 2-6). 4.5 Organisering Revisjonskriterier jfr. forskriftens 2-7 Det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. Ansvars- og myndighetsforhold skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder. Informasjonssystemet skal konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås. Konfigurasjonen skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder. Bruk av informasjonssystemet som har betydning for informasjonssikkerheten, skal utføres i henhold til fastlagte rutiner Fakta Svarene viser at det er både etablert klare ansvars og myndighetsforhold for bruk av informasjonssystemet og at dette er dokumentert og ligger i kommunens rutinebank. Kommunen har utarbeidet en fyldig og detaljert sikkerhetsinstruks for brukere. Brukeren skal ved sin underskrift bekrefte at instruksen er lest og akseptert Vurdering og konklusjon Det svares at informasjonssystemet er konfigurert slik at tilfredsstillende informasjons-- sikkerhet oppnås. For å kunne måle om dette faktisk er tilfelle må blant annet sikkerhetsmål og sikkerhetsstrategi gjennomgås jevnlig (Jf. Personopplysningsforskriften 2-3) og det gjør ikke kommunen. Autorisasjoner til datasystemene i kommunen har en klar innvirkning på beskyttelse av personopplysningenes konfidensialitet, integritet og tilgjengelighet. Når en ansatt endrer stillingsbeskrivelse og skal jobbe med andre ting, skal tidligere autorisasjoner stenges. For å ivareta riktig autorisasjonsrettigheter for de ansatte, er det viktig at enhetsledere regelmessig får en oppdatert liste over hvilke rettigheter de enkelte ansatte har og kan sammenligne dette med hvilke arbeidsoppgaver som utføres. På denne måten kan det kontrolleres at ingen har flere rettigheter enn det vedkommende trenger for å utføre sine arbeidsoppgaver, og like viktig, at de ansatte har tilstrekkelige rettigheter. 7

9 4.6 Personell og taushetsplikt Revisjonskriterier jfr. forskriftens 2-8, 2-9 Medarbeidere hos den behandlingsansvarlige skal bare bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk. Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt. Autorisert bruk av informasjonssystemet skal registreres. Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. Taushetsplikten skal også omfatte annen informasjon med betydning for informasjonssikkerheten Fakta Det svares at de ansatte har tilstrekkelig med kunnskap til å bruke informasjonssystemene i kommunen og at de kun blir brukt for å utføre pålagte oppgaver. På spørsmålene vedrørende privat bruk av informasjonssystemer svares det at det ikke er forbud mot dette, men det henvises til regler nedfelt i rutinebanken. Autorisert bruk av informasjonssystemene loggføres Vurdering og konklusjon Svarene fra spørreundersøkelsen tyder på at det ligger gode rutiner til grunn for bruken av datasystemene og at taushetsplikten ivaretas gjennom signering av erklæring. Dokumentet Sikkerhetsinstruks for bruker dekker de mest vesentlige punktene for generell bruk av informasjonssystemene i kommunen og gjøres kjent for alle ansatte. 4.7 Fysisk sikring Revisjonskriterier jfr. forskriftens 2-10 Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å behandle personopplysninger etter forskriften her. Sikkerhetstiltakene skal også hindre uautorisert adgang til annet utstyr av betydning for informasjonssikkerheten. Utstyr skal installeres slik at ikke påvirkning fra driftsmiljøet får betydning for behandlingen av personopplysninger Fakta Det er kun ett spørsmål under denne delen av spørreundersøkelsen. Det svares at den behandlingsansvarlige har sørget for nødvendige tiltak for å hindre uautorisert adgang til utstyr for behandling av personopplysninger med betydning for informasjonssikkerheten. Som dokumentasjon på dette viser kommunen til konfigurasjonstiltak og utarbeidede rutiner som omfatter både datamessig og fysisk sikring Vurdering og konklusjon Fysisk sikring gjelder ikke bare teknisk forhold så som tilgangsrettigheter, brannmur og lignende, men inkluderer også utforming av arbeidsplassen og fellesområder, slik det er omtalt i IT- reglementet. Det er hver enkelt enhet sitt ansvar å påse at blant annet samtaler 8

10 der sensitive opplysninger diskuteres forekommer i lydavskjermet rom, at ikke uvedkommende befinner seg i lokale der sensitive opplysninger kan være tilgjengelig og at dør til kontor låses hvis en forlater et rom der sensitive opplysninger ligger synlig. Kommunens IT-reglement inneholder klare bestemmelser om dette. 4.8 Sikring av konfidensialitet Revisjonskriterier jfr. forskriftens 2-11 Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for informasjonssikkerheten. Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium utenfor den behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig. For lagringsmedium som inneholder personopplysninger hvor konfidensialitet er nødvendig, skal behovet for sikring av konfidensialitet fremgå ved hjelp av merking eller på annen måte. Dersom lagringsmediet ikke lenger benyttes for behandling av slike opplysninger, skal opplysningene slettes fra lagringsmediet Fakta Kommunen svarer at det er truffet tiltak for å hindre uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig, samt informasjon med betydning for informasjonssikkerheten. Det opplyses at følgende sikringstiltak er iverksatt: 2 fysiske hindringer, låste kontorer, dobbelt innlogging. I samråd med Datatilsynet er foretatt en vurdering av hvilke opplysninger som legges ut på kommunens hjemmeside. Server med personopplysninger merkes og ved avhending av lagringsmedia blir disse fysisk ødelagt Vurdering og konklusjon For å sikre at personopplysninger ikke kommer uvedkommende i hende eller blir tilgjengelig for uautoriserte, må det foreligge både en teknisk sikkerhet, men også dokumenterte og implementerte prosesser som skal ivareta personopplysningenes konfidensialitet. Lillesand kommune har gjennom sine rutiner ivaretatt forskriftens krav om sikring av konfidensialitet. 4.9 Sikring av tilgjengelighet Revisjonskriterier jfr. forskriftens 2-12 Det skal treffes tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Sikkerhetstiltakene skal også sikre tilgang til annen informasjon med betydning for informasjonssikkerheten. Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er utilgjengelig for normal bruk. Personopplysninger og annen informasjon som er nødvendig for gjenoppretting av normal bruk, skal kopieres. 9

11 4.9.2 Fakta Det svares at det er truffet tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Kommunen har sørget for full duplisering i et annet bygg og har også sikret nødstrøm til datarommet. Det tas dag, uke, måneds back-up Vurdering og konklusjon Kommunen kommenterer til det første spørsmålet om sikring av tilgang til personopplysninger at dette reguleres ved rutiner for manuell innsyn i dokumenter. Her kommer autorisasjonsrettigheter inn som en viktig del. De ansatte skal ikke ha tilgang til for mye informasjon, men må også ha tilgang til nok informasjon som er nødvendig for å utføre pålagte arbeidsoppgaver. Rutiner ifm sikring av tilgjengelighet vurderes som gode Sikring av integritet Revisjonskriterier jfr. forskriftens 2-13 Det skal treffes tiltak mot uautorisert endring av personopplysninger der integritet er nødvendig. Sikkerhetstiltakene skal også hindre uautorisert endring av annen informasjon med betydning for informasjonssikkerheten. Det skal treffes tiltak mot ødeleggende programvare Fakta På lik linje med spørsmål om sikring av tilgjengelighet, svares det også her på alle spørsmålene. Kommunen kommenterer at endringer av personopplysninger blir gjort innenfor rammen av de etablerte rutinene vedr adgangskontroll og kontrollfunksjoner i dataprogrammene. Det treffes tiltak for ødeleggende programvare gjennom viruskontroll, informasjon, opplæring, sikkerhetsrutiner, spamfiltrering og brannmur på flere nivåer Vurdering og konklusjon Bestemmelsen pålegger den behandlingsansvarlige å hindre utilsiktet endring av personopplysninger og uautorisert endring av annen informasjon der dette er nødvendig for informasjonssikkerheten. Ved valg av hvilke opplysninger som det skal sikres integritet for, og hvilke sikkerhetstiltak som må etableres, følger som et resultat av risikovurderingen. Kommunen svarer at det er gjennomført risikovurdering, men kan ikke dokumentere dette jfr pkt Sikkerhetstiltak Revisjonskriterier jfr. forskriftens 2-14 Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Forsøk på uautorisert bruk av informasjonssystemet skal registreres. Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre. Sikkerhetstiltak skal dokumenteres. 10

12 Fakta Kommunen svarer her at de har etablert brannmur overvåkning og serverlogg og vurderer å etablere ytterligere sikkerhetstiltak. Det svares på at det registreres uautorisert sikkerhetsbruk og at dette dokumenteres. Det foreligger ingen skriftlig dokumentasjon på dette utover sikkerhetsinstruksen Vurdering og konklusjon Bestemmelsen her legger opp til at kommunen skal etablere sikkerhetstiltak for å forhindre sikkerhetsbrudd og avdekke hendelser som kan forårsake sikkerhetsbrudd Sikkerhet hos andre virksomheter Revisjonskriterier jfr. forskriftens 2-15 Den behandlingsansvarlige skal bare overføre personopplysninger elektronisk til den som tilfredsstiller kravene i forskriften her. Den behandlingsansvarlige kan overføre personopplysninger til enhver dersom overføringen skjer i samsvar med reglene i personopplysningsloven 29 og 30, eller når det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register. Leverandører som gjennomfører sikkerhetstiltak, eller gjør annen bruk av informasjonssystemet på den behandlingsansvarliges vegne, skal tilfredsstille kravene i dette kapittelet. Den behandlingsansvarlige skal etablere klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører. Ansvars- og myndighetsforhold skal beskrives i særskilt avtale. Den behandlingsansvarlige skal ha kunnskap om sikkerhetsstrategien hos kommunikasjonspartnere og leverandører, og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet Fakta Kommunen svarer på at behandlingsansvarlige kun overfører personopplysninger til de som tilfredsstiller kravene i personopplysningsloven. Avtale med leverandører er ikke på plass ennå. Kommunen opplyser at de kjenner godt til de største leverandørene som har mest innsyn i de kommunale systemene Vurdering og konklusjon Dette ansees å være noe mangelfullt. Kommunen opplyser at arbeidet med dette er startet opp. Lillesand kommune er eier av personopplysningene og er derfor ene ansvarlig for at alle parter som behandler opplysningene, også på vegne av kommunen, tilfredsstiller kravene i henhold til personopplysningsloven med tilhørende forskrift. (Jf. Personopplysningsloven 2, del 5). Den behandlingsansvarlige skal være kjent med sikkerhetsarbeidet hos leverandører ved at det innhentes informasjon om sikkerhetsstrategien i virksomheten. Derigjennom skal den kommunens behandlingsansvarlige forsikre seg om at informasjonssikkerheten hos leverandøren er tilfredsstillende. 11

13 4.13 Dokumentasjon Revisjonskriterier jfr. forskriftens 2-16 Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres. Dokumentasjon skal lagres i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave. Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registreringer av alle andre hendelser med betydning for informasjonssikkerheten Fakta Kommunen svarer at rutinene i stor grad er dokumentert i rutinebanken og at man har en fortløpende vurdering og forbedring av disse. På spørsmål om dokumentasjonen blir lagret i minimum 5 år svares det. Ang kommunens registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk så logges dette i hovedsystemet, men svaret antyder at dette nok ikke er på plass i de underliggende fagsystemene Vurdering og konklusjon Bestemmelsen setter et krav til dokumentasjon. Det innebærer at det i tillegg til beskrivelse av tekniske tiltak, skal være rutiner for arbeid med informasjonssystemet og registrering av hendelser. Kommunen har enkelte elementer på plass, men har noe vei å gå for å bringe systemet i samsvar med bestemmelsen. 5. Oppsummering og anbefalinger Generelt Revisjonen har i rapporten dokumentert resultatet av prosjektet i kap. 4. Her fremkommer vurdering og konklusjon under hvert underkapitel. Revisjonens gjennomgang av informasjonssikkerhetsarbeidet i Lillesand kommune har avdekket noen mangler i forhold til de krav som er nedfelt i personopplysningsforskriften. Faktasammendrag Revisjonens gjennomgang viser at Lillesand kommune har utarbeidet et overordnet dokument for sikkerhetsmål og strategi. Kommunen har utarbeidet en god oversikt over de personopplysninger som behandles i kommunen. Dette danner et godt grunnlag for å få fastsatt kriterier for akseptable risiko og få vurdert sannsynligheten for eller konsekvensene av sikkerhetsbrudd. Kommunen svarer at de gjennomfører risikovurdering og sikkerhetsrevisjon, men dette kan ikke dokumenteres. Arbeid med informasjonssikkerhet, der sikkerhetsrevisjon med gjennomgang av mål, organisering, rutiner og dokumentasjon av sikringstiltak, skal bidra til at kommunen til enhver tid har forsvarlig informasjonssikkerhet, er ikke etablert som en del av kommunens planprosess. 12

14 Anbefalinger Risikovurdering Kommunen bør: - Sette opp kriterier for akseptabelt risikonivå i forhold til konsekvens og sannsynlighet for et sikkerhetsbrudd. - Gjennomføre risikovurdering. - Dokumentere resultatene fra risikovurderingen. - Gjennomføre nødvendige tiltak for at behandlingen av personopplysninger skal være innenfor akseptabelt risikonivå. Risikorevisjon Kommunen bør legge arbeidet med risikorevisjon inn som en del av den årlige plan- og budsjettprosessen. Sikkerhetsdokumentet med beskrivelse av mål, prosesser, organisering, sikringstiltak må revideres. Beskrivelse av sikringstiltak og rutiner må gjennomgås og oppdateres dersom det er behov for det. Risikorevisjon skal sikre at kommunen til enhver tid har en tilfredsstillende informasjonssikkerhet. Arbeidet med informasjonssikkerhet og sikkerhetsrevisjon bør involvere alle i administrasjonen, ledelsen og brukere av system der personopplysninger behandles. Dette er viktig for at kommunen til enhver tid skal ha en forsvarlig sikkerhet ved behandling av personopplysninger. Sikkerhet hos andre leverandører Kommunen bør gjøre seg kjent med sikkerhetsarbeidet hos sine leverandører og innhente informasjon om sikkerhetsstrategien i virksomhetene. Tidsplan Kommunen bør legge en tidsplan for det videre arbeidet med å bygge opp et fullstendig system for informasjonssikkerhet. Det er viktig at ansvarsforhold er helt klare i dette arbeidet. 6. Rådmannens kommentar. Rådmannen i Lillesand har i e-post av gitt følgende kommentarer til rapporten: På vegne av administrasjonen i Lillesand kommune vil jeg benytte anledningen til å takke for tilsendt utkast til rapport; "IKT-sikkerhet og sårbarhet i Lillesand kommune". Vår oppfatning er at rapporten beskriver situasjonen i Lillesand kommune på en reflektert og balansert måte. Kommunen har tatt IT-sikkerheten på alvor, og har så langt gjort et godt stykke arbeid. Dette bekreftes også i utkastet til rapport. Vi ser også at vi har behov for å bli tydeligere på struktur, og at vi ikke har god nok dokumentasjon iht alle punkter som ble beskrevet som utført, jfr besvarelse på spørreskjema til revisjonen i begynnelsen av Vi forholder oss til det vi ser som den vesentligste anbefalingen i konklusjonen i midlertidig rapport, nemlig at vi må innarbeide og gjennomføre rutiner for IT-sikkerheten, inkl tidsplan for fremdrift og ansvarsforhold. Vi kan ikke se at rapporten inneholder direkte feil. Vi avventer behandling i kontrollutvalget, og benytter anledningen til å takke for det som vi vurderer som et godt utført arbeid fra revisjonens side. 13

15 Kildeliste / Referanser - Personopplysningsloven (POL) 13 Informasjonssikkerhet - Personopplysningsforskriftens kapittel 2 - Veiledning i informasjonssikkerhet for kommuner og fylkeskommuner, Datatilsynet n Risikovurdering av informasjonssystem, Datatilsynet februar Sikkerhetsbestemmelsene i personopplysningsforskriften, Datatilsynet desember Seminar om personopplysningsloven, dokumentasjon fra seminar med Pragma AS mars

16 VEDLEGG 1: ORDLISTE Emne Avvik Behandling av personopplysninger Behandlingsansvarlig Informasjonssystemet Integritet Internkontroll IKT Kompromittering Konfidensialitet Konfidensialitetsbeskyttelse Personopplysninger Definisjon Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal anses som avvik. Enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Samlebetegnelse på alt Pc-utstyr, systemer og nettverkskomponenter som inngår i virksomhetens elektroniske databehandling. Å sikre at informasjonen og behandlingsmetodene er nøyaktige og fullstendige. Den behandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i loven (Personopplysningsloven), herunder sikre personopplysningenes kvalitet. Informasjon og kommunikasjonsteknologi Brudd på konfidensialitet, tilgjengelighet eller integritet. Å sikre at informasjonen er tilgjengelig bare for dem som har autorisert tilgang. Sikkerhetstiltak for å sikre informasjon mot innsyn, f. eks kryptering Opplysninger og vurderinger som kan knyttes til en enkeltperson. Personopplysningsforskriften Forskrift til personopplysningsloven, 15. (POF) desember 2000 nr Personopplysningsloven (POL) Personregister Lov om behandling av personopplysninger, 14. april 2000 nr. 31. Registre der personopplysninger er lagret systematisk slik at personopplysninger om den enkelte kan finnes igjen. 15

17 Risikovurdering Samtykke Sensitive personopplysninger Sikkerhetshendelse Sikkerhetsmål Sikkerhetspolicy Sikkerhetstiltak Tilgjengelighet Risikovurdering har til hensikt å undersøke hvor stor personvernrisiko det er ved å bruke informasjonssystemet. Resultatet av vurderingen skal sammenliknes med det risikonivå virksomheten kan akseptere. Risikovurdering er en kombinasjon av en hendelses konsekvens og sannsynligheten for at hendelsen inntreffer. En frivillig, utrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysinger om en selv. Opplysninger om: Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning. At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling. Helseforhold. Seksuelle forhold. Medlemskap i fagforeninger. En hendelse som får konsekvenser for informasjonssikkerheten i virksomheten. Sikkerhetsmålene omfatter ledelsens beslutninger om til hva og hvordan informasjonsteknologien skal benyttes i virksomheten for å kunne oppnå sine øvrige mål. Denne er en del av virksomhetens øvrige totale målsetning. Sikkerhetsmål og sikkerhetsstrategi. Et administrativt, organisatorisk eller teknisk tiltak som etableres for å hindre at en sikkerhetshendelse inntreffer. Å sikre autoriserte brukeres tilgang til informasjon og tilhørende ressurser ved behov. 16

18 Vedlegg 2: - Spørreskjemaet PERSONOPPLYSNINGSLOVEN OG PERSONOPPLYSNINGSFORSKRIFTEN KAP. 2 KRAV TIL STYRINGSSYSTEM Arendal Revisjonsdistrikt IKS April

19 PERSONOPPLYSNINGSLOVEN OG PERSONOPPLYSNINGSFORSKRIFTEN KAP. 2 Gjennomgang av styringssystem er foretatt i følgende kommune: Behandlingsansvarlig i kommunen: Gjennomgangen av spørreskjemaet er foretatt av: Fra Arendal Revisjonsdistrikt IKS Fra kommunen: Sted og dato: 18

20 LOV OG FORSKRIFTSBESTEMMELSER AVGRENSING Bestemmelsene gjelder kun for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. For manuelle behandlinger som omfattes av personopplysningsloven, gjelder kun de generelle reglene om informasjonssikkerhet i personopplysningsloven 13. Bestemmelsene gjelder videre kun for behandling der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet, er nødvendig å sikre konfidensialitet, tilgjengelighet og integritet for opplysningene. Sikkerhetsbestemmelsene angir krav til det styringssystem den enkelte behandlingsansvarlige må etablere for å oppnå tilfredsstillende informasjonssikkerhet. 19

21 SPØRSMÅL VEDRØRENDE PERSONOPPLYSNINGSLOVEN OG PERSONOPPLYSNINGSFORSKRIFTEN KAP. 2 KRAV TIL STYRINGSSYSTEM 1. Sikkerhetsledelse (forskriften 2-3) 1.1 Har behandlingsansvarlig beskrevet et sikkerhetsmål for virksomheten? Sett kryss: 1.2 Har behandlingsansvarlig utarbeidet en sikkerhetsstrategi (valg og prioriteringer for sikkerhetsarbeidet)? 1.3 Gjennomgår virksomhetens ledelse jevnlig sikkerhetsmål og strategi? Kommentar (angi hvor ofte): 1.4 Dokumenteres resultatet av gjennomgangen? 20

22 1.5 Gir sikkerhetsstrategien en tilfredsstillende informasjonssikkerhet som resultat? Revisors vurdering av sikkerhetsledelse 2. Risikovurdering (forskriften 2-4) 2.1 Føres det oversikt over hvilke personopplysninger som behandles med elektroniske hjelpemidler? 2.2 Er det angitt hvilke opplysninger det er nødvendig å sikre med hensyn til konfidensialitet? tilgjengelighet? integritet? 21

23 2.3 Benyttes oversiktene som del av grunnlaget for risikovurderingen? 2.4 Har behandlingsansvarlig fastsatt kriterier for akseptabel risiko eller risikoreduserende tiltak? 2.5 Har behandlingsansvarlig klarlagt sannsynligheten for og konsekvensene av sikkerhetsbrudd ved hjelp av risikovurdering? 2.6 Er risikovurdering gjennomført før behandling av personopplysninger med elektroniske hjelpemidler settes i gang, og deretter ved endringer med betydning for informasjonssikkerheten? 2.7 Blir resultatet av risikovurderingen sammenlignet med de fastlagte kriterier for akseptabel risiko? 22

24 2.8 Blir resultatet benyttet som grunnlag for valg av konkrete sikkerhetstiltak? Revisors vurdering av risikovurdering 3. Sikkerhetsrevisjon (forskriften 2-5) 3.1 Etterprøver den behandlingsansvarlige jevnlig sikkerhetsarbeidet for å verifisere at de sikkerhetstiltak som er besluttet etablert, faktisk er iverksatt og fungerer etter sin hensikt? 3.2 Dersom sikkerhetsrevisjon avdekker bruk av informasjonssystemet som ikke er forutsatt, behandles dette som avvik? 23

25 3.3 Dokumenteres resultatet fra sikkerhetsrevisjon? Revisors vurdering av sikkerhetsrevisjon 4. Avvik (forskriften 2-6) 4.1 Behandles sikkerhetsbrudd og bruk av systemet som er i strid med fastlagte rutiner som avvik? 4.2 Dersom avviket har medført uautorisert utlevering av personopplysninger, hvor konfidensialitet er nødvendig, varsles Datatilsynet? 24

26 4.3 Dokumenteres resultatet av avviksbehandlingen? Revisors vurdering av avviksbehandling 5. Organisering (forskriften 2-7) 5.1 Er det etablert klare ansvars- og myndighetsforhold for bruk av informasjonssystemet? 5.2 Er ansvars- og myndighetsforhold dokumentert? 25

27 5.3 Foreligger det autorisasjon fra behandlingsansvarliges daglige leder dersom ansvars- og myndighetsforhold endres? 5.4 Konfigureres informasjonssystemet slik at tilfredsstillende informasjonssikkerhet oppnås? 5.5 Dokumenteres konfigurasjonen? 5.6 Foreligger det godkjenning fra behandlingsansvarliges daglige leder dersom konfigurasjonen endres? 26

28 5.7 Er det fastlagt rutiner for bruk av informasjonssystemet som har betydning for informasjonssikkerheten? Revisors vurdering av organisering 6. Personell og taushetsplikt (forskriften 2-8 og 2-9) 6.1 Brukes informasjonssystemet kun for å utføre pålagte oppgaver og er medarbeiderne autorisert for slik bruk? 6.2 Har brukerne nødvendig kunnskap for å kunne bruke systemet i samsvar med fastlagte rutiner? 27

29 6.3 Registreres autorisert bruk av systemet? Bestemmelsene i 2-8 innebærer ikke et absolutt forbud mot medarbeideres private bruk av informasjonssystemet. Privat bruk må imidlertid være kjent for den behandlingsansvarlige, og kunne gjennomføres uten at behandling av personopplysninger utsettes for ytterligere trusler. 6.4 Er det forbud mot medarbeideres private bruk av informasjonssystemet? 6.5 Dersom spørsmål 6.4 besvares med, er privat bruk av informasjonssystemet kjent for den behandlingsansvarlige? 6.6 Kan privat bruk av informasjonssystemet gjennomføres uten at personopplysning utsettes for ytterligere trusler? 28

30 6.7 Har medarbeidere hos den behandlingsansvarlige taushetsplikt for personopplysninger der konfidensialitet er nødvendig? Revisors vurdering av forhold knyttet til personell og taushetsplikt 7. Fysisk sikring (forskriften 2-10) 7.1 Har behandlingsansvarlig sørget for nødvendige tiltak for å hindre uautorisert adgang til utstyr for behandling av personopplysninger med betydning for informasjonssikkerheten? Revisors vurdering av fysisk sikring 29

31 8. Sikring av konfidensialitet (forskriften 2-11) 8.1 Hvilke opplysninger skal sikres mht konfidensialitet? (skal følge av risikovurderingen) Spesifiserer: 8.2 Har den behandlingsansvarlige sørget for at det treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig? 8.3 Er det truffet tiltak for å hindre uautorisert innsyn i annen informasjon med betydning for informasjonssikkerheten? 30

32 8.4 Krypteres personopplysninger ved overføring i offentlig telenett eller sikres konfidensialitet på annen måte? 8.5 Fremgår det av lagringsmedium dersom det inneholder personopplysninger som det nødvendig å sikre konfidensialiteten for? 8.6 Blir personopplysninger slettet fullstendig og permanent fra lagringsmedia ved avhending av lagringsmedia? Revisors vurdering av rutiner for sikring av konfidensialitet 31

33 9. Sikring av tilgjengelighet (forskriften 2-12) 9.1 Er det truffet tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig? (gjelder også annen informasjon av betydning for informasjonssikkerheten) 9.2 Er det forberedt alternativ behandling dersom informasjonssystemet er utilgjengelig for normalt bruk? (f.eks. manuelle behandlingsrutiner eller duplisering av utstyr og programvare) 9.3 Har behandlingsansvarlig sørget for at det tas reservekopier backup av personopplysningene? Revisors vurdering av rutiner for sikring av tilgjengelighet 32

34 10. Sikring av integritet (forskriften 2-13) 10.1 Er det truffet tiltak mot uautorisert endring av personopplysninger der integritet er nødvendig? (valg av hvilke opplysninger det skal sikres integritet for og sikkerhetstiltak som må etableres som følge av resultatet av risikovurderingen) 10.2 Gjelder sikkerhetstiltakene også uautorisert endring av annen informasjon med betydning for informasjonssikkerheten? 10.3 Treffes det tiltak mot ødeleggende programvare? Revisors vurdering av tiltak for sikring av integritet 33

35 11. Sikkerhetstiltak (forskriften 2-14) 11.1 Er det etablert sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjør det mulig å oppdage forsøk på slik bruk? 11.2 Registreres forsøk på uautorisert bruk av informasjonssystemet? 11.3 Dokumenteres sikkerhetstiltakene? Revisors vurdering av sikkerhetstiltak 34

36 12. Sikkerhet hos andre virksomheter (forskriften 2-15) 12.1 Overfører den behandlingsansvarlige personopplysninger elektronisk kun til den som tilfredsstiller krav i personopplysningslov/-forskrift? (unntak for utlandet, personopplysningsloven 29 og 30) 12.2 Har behandlingsansvarlige etablert klare ansvars- og myndighetsforhold overfor kommunikasjonspartene og leverandører beskrevet i særskilt avtale? 12.3 Har den behandlingsansvarlige kunnskap om sikkerhetsopplegg hos kommunikasjonspartene og leverandører? 12.4 Forsikrer den behandlingsansvarlige seg jevnlig om at sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet? 35

37 Revisors vurdering av rutiner for oppfølging av sikkerhet hos andre virksomheter 13. Dokumentasjon (forskriften 2-16) 13.1 Er rutiner for bruk av informasjonssystemet og annen informasjon av betydning for informasjonssikkerheten dokumentert? 13.2 Blir dokumentasjonen lagret i minimum 5 år fra det tidspunkt et dokument blir erstattet med ny gjeldende utgave? 13.3 Lagres registrering av uautorisert bruk av informasjonssystemer og av forsøk på uautorisert bruk i minimum 3 mnd? (tilsvarende med andre hendelser av betydning for informasjonssikkerheten) 36

38 Revisors vurdering av dokumentasjon Vedlegg: Oversikt over personopplysninger som behandles (jf. Veiledning i informasjonssikkerhet for kommuner og fylker, Datatilsynet 2005) 37

39 OVERSIKT OVER PERSONOPPLYSNINGER SOM BEHANDLES Informasjon/formål Hjemmel Melding/konsesjon /unntatt i forskriften Klassifikasjo n Sikringstiltak Lagring og kommunikasjon Opplysningenes omfang Skjemaet er hentet fra Datatilsynets Veiledning i informasjonssikkerhet for kommuner og fylker 2005 (side 11).

IKT-sikkerhet og sårbarhet i Risør kommune

IKT-sikkerhet og sårbarhet i Risør kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland-6jerstad-Grimstad-Lillesand-Riser-Tvedestrand-Vegarshei-knii 12-\ cx - IKT-sikkerhet og sårbarhet i Risør kommune Forvaltningsrevisjonsrapport - november

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Styringssystem i et rettslig perspektiv

Styringssystem i et rettslig perspektiv Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet

Detaljer

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale Pilot Digitalt Bortsettingsarkiv Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Oppfølging av forvaltningsrevisjonsrapporten IKT-sikkerhet, drift og utvikling Saknr. 17/4005-1 Saksbehandler: Kari Lousie Hovland Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer) Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER) Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Plan for informasjonssikkerhet Bjugn kommune

Plan for informasjonssikkerhet Bjugn kommune Plan for informasjonssikkerhet Bjugn kommune Våren 2015 1 Innledning...3 Overordnet mål...4 Delmål...4 Grunnkrav...4 System for oversikt behandlinger...4 Akseptkriterier...4 System for behandling av avvik...5

Detaljer

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. Kommunenes Sentralforbund - Databehandler U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

FORVALTNINGSREVISJON AV ELEKTRONISK BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER

FORVALTNINGSREVISJON AV ELEKTRONISK BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER FORVALTNINGSREVISJON AV ELEKTRONISK BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER ROGALAND FYLKESKOMMUNE JANUAR 2013 INNHOLD Denne rapportens målgrupper er kontrollutvalget, andre folkevalgte, formelt ansvarlige

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Detaljer

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen INF1000: IT og samfunn Uke 6, høst 2014 Siri Moe Jensen Oversikt Praktisk om semesterplan og obliger Hilde Lovett, Teknologirådet IT: Eksempler på muligheter og løsninger Kan teknologi styres? Om anvendelse

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises

Detaljer

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale tale Digitalt I henhold til personopplysningslovens depot 13, jf. 15 personopplysningsforskriftens kapittel 2. mellom Risa; ) cm1iwcwl 09 IKA Trøndelag IKS 1 Avtalens hensikt Avtalens hensikt er å regulere

Detaljer

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

SIKKERHETSINSTRUKS - Informasjonssikkerhet

SIKKERHETSINSTRUKS - Informasjonssikkerhet SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en

Detaljer

BEHANDLING AV PERSONOPPLYSNINGER

BEHANDLING AV PERSONOPPLYSNINGER BEHANDLING AV PERSONOPPLYSNINGER 1.0 Innledning 1.1 Definisjon av personopplysninger 1.2 Behandlingsansvarlig 1.3 Vilkår for å behandle personopplysninger 1.3.1 Samtykke 1.3.2 Krav om informasjon 1.3.3

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE Hedmark fylkesrevisjon Parkgt. 64 2325 Hamar tlf. 62 54 47 21 Fylkesrevisjonen@hedmark.org Forvaltningsrevisjonsprosjekt INNHOLDSFORTEGNELSE

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Krav til informasjonssikkerhet i nytt personvernregelverk

Krav til informasjonssikkerhet i nytt personvernregelverk Krav til informasjonssikkerhet i nytt personvernregelverk 8. desember 2017 Informasjonsikkerhet er et ledelsesansvar Sikkerhetsledelse Klare ansvarsforhold Oversikt over det totale risikobildet og beslutte

Detaljer

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Go to  use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn. INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010 Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010 Møtedato: 14.-15.12.10 Møtested: Mo i Rana I oppdragsdokumentet 2010 heter det i pkt 8.1.2 Risikostyring og intern kontroll, at styret skal

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom.. (barnehagen) og MyKid AS. (databehandler) 1. Avtalens hensikt

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 mellom Utdanningsdirektoratet direktoratet for barnehage, grunnopplæring og IKT Organisasjonsnummer:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen. 1.5 Definisjoner Definisjoner i Personopplysningslov og -forskrift 1) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. 2) Behandling av personopplysninger Enhver bruk av

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Databehandleravtale etter personopplysningsloven m.m

Databehandleravtale etter personopplysningsloven m.m Databehandleravtale etter personopplysningsloven m.m Databehandleravtale I henhold til personopplysningsloven 13, jf. 15 og personopplysningsforskriftens kapittel 2. Avtalen omhandler også håndtering av

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer