Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education, bruk av løsningen
|
|
- Julia Bjørnstad
- 6 år siden
- Visninger:
Transkript
1 Google Apps for Education (GAFE) Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education, bruk av løsningen Revidert pr.15.mars 2016 Utarbeidet av: Leif Cato Larsen Gjershaug, Oppvekstkontoret Ole Bjørn Nordland, Rådmannens fagstab Terje Vullum, IT-tjenesten Christian Bøhn, IT-tjenesten Jomar Estenstad, Oppvekstkontoret Godkjent av: Ros-Mari Berre, Oppvekstkontoret
2 1. Bakgrunn 1.1. Beskrivelse av bruken 1.2. Kildesystemer for personopplysninger 1.3. Internkontroll 1.4. Deltakere 2. Behandling av personopplysninger 2.1. Skoleeiers bruk av personopplysninger 2.2. Type informasjon 2.3. Tillatt behandlede personopplysninger 2.4. Begrunnelse for bruk av GAFE 2.5. Informasjon til brukerne 2.6. Databehandleravtale 2.7. Overføring av personopplysninger til tredjeland (land utenfor EU og EØS) 3. Vilkårene for tjenesten 3.1. Standardkontrakter 3.2. Leverandørens formål med behandling av personopplysninger 3.3. Underleverandører og kontroll 3.4. Opphør av tjeneste 3.5. Overføring av personopplysninger og kundeopplysninger til tredjeland 3.6. Oppsummering 4. Risiko- og Sårbarhetanalyse 4.1. Metode 4.2. Identifisering av risiko og trusler 4.3. Hendelser som kan spores tilbake til Google eller tjenesten GAFE 4.4. Hendelser som er uavhengig av Google, men får konsekvenser for bruk av GAFE 5. Plan for informasjon 6. Plan for opplæring 7. Etablering av tjenesteforvalter 7.1. Tilgang til Administrasjonskonsoll i GAFE 8. Internkontroll 9. Signering Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 2
3 1. Bakgrunn Trondheim kommune står foran store investeringer innenfor IKT og skole. Prosjektet IKT i trondheimsskolen har analysert nå-situasjon, og pekt på flere punkter hvor de ser behovet for å gjennomføre endringer. Den klareste konklusjonen som er kommet fra rapporten er at trondheimsskolen skal ta i bruk en kontorpakke som er en del av en skytjeneste. Etter å ha gjennomført en pilot på dette, har Trondheim kommune besluttet å bruke Google Apps for Education (GAFE) til dette formålet. Igjennom dette dokumentet vil vi foreta en vurdering av risikoer som er forbundet med bruk av GAFE i forhold til personvern og andre sikkerhetsaspekter som f.eks tap av data Beskrivelse av bruken GAFE kommer til å bli brukt som et verktøy innenfor skolesektoren i Trondheim kommune. I første rekke vil det gjelde elever og ansatte ved alle barne og ungdomsskoler samt Enhet for voksenopplæring. Ved en senere anledning kan det være aktuelt å utvide bruksområdene ytterligere. Alle vil få tildelt en personlig konto tilhørende domenet skole.trondheim.kommune.no. Disse vil generes automatisk av skolens administrative systemer. Tjenestene de vil få tilgang til innbefatter bl.a. dokumenter, regneark, presentasjoner, kalender og e-post. Alle disse vil benytte seg av Google Disk for lagring. GAFE vil ikke bli benyttet til fraværsføring, karaktersetting eller Individuell Opplæringsplan(IOP). Den vil ikke bli benyttet til behandling av sensitive personopplysninger jf. Personopplysningsloven Kildesystemer for personopplysninger Grunnleggende personopplysninger for både ansatte og elever hentes direkte fra skoleadministrativt system. Karaktersetting og fraværsføring gjøres i dag i læringsplattformen. Hvilke opplysninger som hentes inn, drøftes i pkt Internkontroll Rutinene for internkontroll beskrives i et eget kapittel(se kapittel 8) 1.4. Deltakere Denne Risiko- og sårbarhetsanalysen er gjennomført av Oppvekstkontoret med bistand fra IT-tjenesten og Rådmannens fagstab. Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 3
4 2. Behandling av personopplysninger 2.1. Skoleeiers bruk av personopplysninger GAFE er for trondheimsskolen et pedagogisk verktøy som skal brukes av ansatte og elever. Både i individuelt arbeid og for digitalt samarbeid i læringssituasjonen. For at tjenesten skal fungere, kreves det at den har tilgang på grunnleggende personopplysninger. Ingen sensitive personopplysninger blir lagret og behandlet i tjenesten. Kun personopplysninger som er nødvendige for å opprettholde funksjonaliteten i tjenesten blir behandlet Type informasjon Bare personlig informasjon om elevers og ansattes navn, e-post, klasse, skole vil bli behandlet av løsningen. Navn og saklig informasjon om elevarbeid vil skje i løpende tekst. Strukturert dokumentasjon om elevene, med inngående informasjon om elevenes prestasjoner og vurderinger vil ikke bli lagret i tjenesten. Ingen sensitive personopplysninger vil bli behandlet. Dette sikres gjennom fastsetting av rutiner og opplæring av brukere Tillatt behandlede personopplysninger De opplysningene det gis tillatelse til å behandle i løsningen er vurdert å være av ikke sensitiv karakter. Det er kun personopplysninger som er iht kapittel Begrunnelse for bruk av GAFE Digitale ferdigheter er i Kunnskapsløftet definert som en av de grunnleggende ferdighetene. For å kunne øve opp disse på en best mulig måte, er vi avhengige av å ha programvare og maskinvare som er hensiktsmessig for formålet. Dagens løsninger har hatt driftsmessige utfordringer, som har gjort at brukerne har etterspurt endringer og nye løsninger. Google som tjenesteleverandør og GAFE som tjeneste anses av Trondheim kommune som å være den best egnede løsningen pr. i dag og tiden fremover. Dette på bakgrunn av pilotering på Rosenborg skole og Nidarvoll skole. Mange benytter allerede disse tjenesten på eget initiativ, og ved å tilby disse igjennom kommunale kanaler vil en fjerne behovet for at private kontoer benyttes. Det er store muligheter for samarbeide innenfor denne plattformen. Dette muliggjør bedre samarbeid mellom elev/lærer, elev/elev og lærer/lærer. Blant annet vil det bedre mulighetene for lærere til å gi formativ vurdering i elevarbeidene. Det er kun personopplysninger som er nødvendig for å gjennomføre pedagogisk arbeid, kommunikasjon og lagring av pedagogisk arbeid som skal lagres. Dette blir vurdert at det kan gjøres uten å innhente samtykke fra den enkelte Informasjon til brukerne Alle brukere skal informeres om tjenesten sin oppbygning og på hvilken måte tjenesten er tenkt brukt. Dette skal skje gjennom et informasjonsskriv til elever og foresatte, og gjennom opplæring av ansatte. Denne informasjonen vil også være tilgjengelig via intranett og kommunens eksterne nettsider. Det kan også være aktuelt å benytte andre kanaler. Informasjon til foresatte og andre interessenter: Informasjon til ansatte: Informasjon til elever: Det er utarbeidet en egen kommunikasjonsplan ( se kapittel 5) Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 4
5 2.6. Databehandleravtale Det er inngått en databehandleravtale mellom Trondheim kommune og Google som leverandør av tjenesten Google apps for Education. Den omhandler hvordan Google skal ivareta de personopplysninger som blir lagret hos dem. Avtalen ble inngått 11.april 2013 og er signert av Christian Bøhn etter fullmakt fra daværende IT-sjef, Harald Moe Overføring av personopplysninger til tredjeland (land utenfor EU og EØS) EU sin standardkontrakt, MCC 1 (Model contract Clauses) er etablert for Trondheim kommune. Trondheim kommune har i tillegg leverandøravtale med Google som svarer opp alle forhold som ilegges 3.parts revisjon. Avtalen ble inngått 11.april 2013 og er signert av Christian Bøhn etter fullmakt fra daværende ITsjef, Harald Moe. 1 Commission Decision C(2010)593 Standard Contractual Clauses (processors) Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 5
6 3. Vilkårene for tjenesten 3.1. Standardkontrakter Ved oppstart av tjenesten ble det inngått følgende avtale: Hovedavtale om Google Apps for Education. I tillegg er det aktivert en avtale om behandling av personopplysninger: Data Processing Amendment til Google Apps Enterprise Agreement. Denne er aktivert via adminkonsollen for GAFE. Det er også en tilleggsavtale som omhandler leveranser fra underleverandører til Google Apps Enterprise Agreement -Subprocessors. Standard avtale om overføring av data til land utenfor EU/EØS Standard Contractual Clauses (processors) for the purposes of Article 26(2) of Directive 95/46/EC for the transfer of personal data to processers established in third countries which do not ensure an adequate level of data protection. Google kan overføre personopplysninger til land utenfor EU/EØS. For å sikre at et tilstrekkelig sikkerhetsnivå blir ivaretatt benytter Google seg av denne standardavtalen. Samlet sett mener Trondheim kommune at disse avtalene i tilstrekkelig grad ivaretar personsikkerheten i forhold til de forskrifter som er gitt av Datatilsynet og løsningen er godkjent tatt i bruk av Kommunaldirektør for Oppvekst og utdanning - Gunn Røstad Leverandørens formål med behandling av personopplysninger Verken tjenesteleverandøren eller underleverandører kan behandle personopplysninger til noe annet formål enn det som er nødvendig for å levere tjenester i GAFE eller det som er beskrevet av Trondheim kommune. Dette er spesifisert i detalj og sikret i punkt 5.2 i "Data Processing Amendment". Personlige data og brukerdata slettes av leverandør i systemet i henhold til 7 i "Data Processing Amendment." Tilleggsavtalen "Data Processing Amendment" utgjør databehandleravtale mellom leverandør og Trondheim kommune som skoleeier Underleverandører og kontroll Behandlingen av persondata kan i gitte tilfeller skje hos underleverandører. Den ansvarlige hos kommunen skal til en hver tid kunne få tilgang til opplysninger om hvilke underleverandører som har tilgang til personopplysninger tilhørende kommunens brukere. Google skal kunne fremskaffe en liste over disse underleverandørene. Leverandørens ansvarsforhold i forhold til underleverandører reguleres i henhold til kapittel 11 i "Data Processing Amendment" 3.4. Opphør av tjeneste Ved opphør av tjenesten må data og metadata flyttes til en annen IT-løsning for at viktig informasjon skal bli bevart. Leverandøren spesifiserer i Hovedavtalen 12 vilkår for oppsigelse. Personopplysninger og Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 6
7 annen informasjon vil ikke bli beholdt av Google eller deres underleverandører, sletting av data vil bli gjennomført i samsvar med beskrivelsen i hovedkontrakten 12 og "Data Processing Amendment" Overføring av personopplysninger og kundeopplysninger til tredjeland Leverandøren eller dens underleverandører kan lagre og behandle personopplysninger og kundedata utenfor EU, med særavtaler som kreves og som regulerer behandlingen. Tilleggsavtalen Standard Contractual Clauses (processors) sørger for at denne lagringen er i samsvar med EUs regelverk Oppsummering Trondheim kommune som skoleeier har fokus på at personvernet til elevene er ivaretatt og jobber kontinuerlig for å sikre at elevenes data er sikret mot innsyn fra uvedkommende. Basert på scenarier og tiltak beskrevet i denne risikoanalysen legger Trondheim kommune til grunn at Google Apps for Education er en trygg og sikker nok løsning for bruk i skolen. Det understrekes at kommunen må følge utviklingen tett fremover for å sikre at løsningen fortsatt er god og sikker nok for elevene. Det er også definert en rekke tiltak som skal understøtte elevenes personvern i løsningen. Blant annet: Ingen deling utenfor domenet, kun intern bruk av epost, Google+ avslått, opplæring med fokus på personvern og nettvett, egen informasjonsplan, egen opplæringsplan, lokal leverandørstøtte på teknisk løsning, internkontrollrutiner som beskrevet i egen plan. Personvern inngår også som en del av kunnskapsløftet og ligger allerede inne i læreplanene. Trondheim kommune har likevel valgt å ha ekstra fokus på personvern med tanke på den digitale satsningen som trondheimsskolen er inne i. Se trondheim.iktplan.no. Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 7
8 4. Risiko- og Sårbarhetanalyse 4.1. Metode Grønne markeringer i tabellen innebærer at vi mener risikoen er akseptabel i forhold til sannsynligheten for at det skal skje. Gule felter forteller at risikoen er akseptabelt forutsatt at bestemte handlinger eller prosedyrer utføres for å minimere risikoen eller konsekvensene av den, og røde felt setter enda høyere krav til forebygging. Under kapittel 4.5 fastsettes de tiltak som det anses nødvendig å bli tatt Identifisering av risiko og trusler Ved å bruke GAFE og bruken av Internettbaserte lagrings- og verktøystjenester har en identifisert en rekke risikofaktorer som må bli vurdert. Nedenfor er en liste over de risikoer vi har identifisert sammen med en vurdering av sannsynligheten for at hendelsen skal inntreffe og en vurdering av hvor alvorlige konsekvensene av en slik hendelse ville være. Risikoelementer har blitt delt inn i de som forårsakes av GAFE, og de som har andre årsaker enn GAFE, men som har en direkte innvirkning på bruken av tjenesten. Den viktigste forskjellen mellom disse kategoriene er at sistnevnte er stort sett under vår egen kontroll, og at disse risikoene kan reduseres eller forebygges i vår egen organisasjon. en for en hendelse er gradert i fire trinn, "svært ", "", "regelmessig" og "ofte". Den omtrentlige betydningen av disse sannsynlighetene er - Hendelsen inntreffer en gang hvert år, men sannsynligvis aldri i løpet av bruksperioden. Sjelden - Hendelsen inntreffer en gang hvert 1-10 år, som trolig vil oppstå noen eller noen få ganger i løpet av bruksperioden. Regelmessig - Hendelsen inntreffer mer enn en gang per år. Ofte- Hendelsen inntreffer mer enn en gang per uke ene av en hendelse er gradert i fire trinn, "", "", "" og "". Den omtrentlige betydningen av disse nivåene er: - Hendelsen merkes og kan oppfattes som irriterende, men får ikke varige konsekvenser for brukeren, hverken for det lagrede arbeidet eller sikkerheten. - Hendelsen påvirker arbeidet i mindre grad, deler av arbeidet må gjøres på nytt. Normalt klarer brukeren selv å utføre de nødvendige tiltak - Hendelsen har stor innvirkning på enkeltpersoner eller gruppers arbeide og i tillegg økt risiko for sikkerhetshull. Hendelsen krever handling av administrator, for eksempel gjennoppretting av backupfiler eller endringer av passord. - Hendelsen har stor innvirkning på mange brukere sitt arbeid og / eller sikkerhet. Hendelsen krever at skoleeier er involvert i å løse problemet og at administratoren må foreta umiddelbare handlinger for å beskytte brukerne og brukernes lagrede arbeider. Dette kan medføre fare for rettslige krav. Vurderingen av sannsynligheten for en risiko og alvorlighetsgraden må ses på som et anslag. Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 8
9 4.3. Hendelser som kan spores tilbake til Google eller tjenesten GAFE av hendelsen Elevers lagrede arbeide går tapt på grunn av systemfeil hos leverandøren Merarbeid og forsinkelser for elevene, innleveringsfrister kan ikke overholdes. Vurderingsgrunnlag kan gå tapt. Brukerne mister tillit til tjenesten. Sjelden Regelmessig Ofte av hendelsen Lærernes lagrede arbeide går tapt på grunn av systemfeil hos leverandøren Medfører alvorlig konsekvenser og merarbeid i det pedagogiske arbeidet som rammer mange elever. Vurderingsgrunnlaget for hele klasser / grupper kan gå tapt. Ansatte vil kunne miste tillit til tjenesten og velge å ikke bruke den. av hendelsen Nedetid hos leverandøren. Forsinker det pedagogiske arbeidet. Brukerne mister tillit til tjenesten. s Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 9
10 av hendelsen Leverandøren respekterer ikke avtalene og bruker / sprer data eller persondata til egne formål Målrettet reklame kan sendes til brukerne. Lover og forskrifter som er pålagt skoleeier kan ikke følges, som kan føre til at tjenesten må stenges. Personopplysninger kan distribueres til uvedkommende, som kan få alvorlige konsekvenser for enkeltpersoner og for det pedagogiske arbeidet. Brukerne mister tillit til tjenesten. Leverandøren viser seg ikke å kunne etablere eller opprettholde tilstrekkelig informasjonssikkerhet. Personopplysninger og lagret arbeid kan spres til uvedkommende med alvorlige konsekvenser for enkeltpersoner og for det pedagogiske arbeidet. Lovpålagte krav og forskrifter som kreves av skoleeier kan ikke følges, som kan føre til tjenesten må stoppes. Brukerne mister tillit til tjenesten. av hendelsen Leverandøren går konkurs, blir kjøpt opp av interessenter som ikke respekterer kontraktsforholdet eller at tjenesten fases ut. e konsekvenser for det pedagogiske arbeidet på grunn av tap av lagret arbeid. Personopplysninger og lagret arbeid kan spres til uvedkommende med alvorlige konsekvenser for enkeltpersoner og for det pedagogiske arbeidet. Brukere mister tillit til tjenesten. Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 10
11 av hendelses Virus eller annen ondsinnet kode kan gjennom tjenesten true andre kommunale IT-tjenester. Forsinkelser i det pedagogiske arbeidet, undervisningstid går tapt til håndtering av problemer med de digitale tjenestene og utstyr. Mye ekstraarbeid for det lokale og det sentrale støtteapparatet. Brukere mister tillit til tjenesten. Sjelden Regelmessig ofte Risiko- Beskrivelse Leverandøren endrer funksjonalitet i tjenesten mens den er i bruk. Planlagt skolearbeid kan ikke utføres som forutsatt, merarbeid pga. endringene. Avtalen med leverandøren kan måtte endres for å være i samsvar med tjenestens nye innhold. Brukerne mister tillit til tjenesten. Risiko- Beskrivelse Data og metadata kan ikke overføres automatisert til en annen IT-løsning ved opphør av tjenesten. Ferdige lagrede arbeider går tapt. Mye ekstraarbeid for elever og ansatte for å håndtere flytting av data manuelt. s Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 11
12 Risiko- Beskrivelse av hendelses Leverandøren ønsker å endre innholdet i avtalen som regulerer bruk av tjenesten. Kostnader for å fortsette og bruke tjenesten. Lovpålagte krav på skoleeier oppfylles ikke lenger, og tjenesten må avvikles Hendelser som er uavhengig av Google, men får konsekvenser for bruk av GAFE Tjenesten kan ikke benyttes på grunn av feil i, eller overbelastning av kommunens IT-infrastruktur. Det pedagogiske arbeidet blir hindret. Brukerne mister tillit til tjenesten. Elevers lagrede arbeider går tapt på grunn av brukerfeil, eller feil ved teknisk utstyr. Elever må gjøre om igjen arbeide eller det gir økt tidsforbruk. Innleveringsfrister kan ikke overholdes. Vurderingsgrunnlag kan gå tapt. Brukerne mister tillit til tjenesten, og/ eller IT-infrastrukturen. Lærere mister lagret arbeid på grunn av brukerfeil, eller feil ved teknisk utstyr. Gir betydelig konsekvenser for det pedagogiske arbeidet, som rammer mange elever. Vurderingsgrunnlag for hele klasser eller grupper kan gå tapt. Personalet mister tilliten til tjenesten, og / eller IT-infrastrukturen. Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 12
13 s Utenforstående får tilgang til ikke-sensitive personopplysninger og lagret arbeid, gjennom å få tak i en annens brukernavn og passord til tjenesten, eller ved å ha stjålet eller ulovlig å ha anvendt en annen brukers utstyr. Utenforstående kan endre, slette eller kopiere lagret arbeid f.eks kan dette gjelde innleveringsoppgaver, materiell til kommende prøver og formative vurderingskriterier. Forårsaker betydelige konsekvenser for det pedagogiske arbeidet gjennom usikker identifisering eller juks. Uønsket spredning av personlig lagret arbeid. Kan medføre tapt tillit til tjenesten. Lagret arbeid som spres via deling og som kan inneholde beskyttede personopplysninger f.eks. bilder og film som viser personer. Personer med skjult identitet kan bli identifisert og lokalisert av uvedkommende med alvorlige konsekvenser for enkeltindividet. Tilliten til tjenesten svekkes. s Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 13
14 Uvedkommende får tilgang til administrasjonskonsollen gjennom urettmessig tilgang til brukernavn og passord for administratorbruker. Uvedkommende kan gis tilgang til, endre og slette andres personopplysninger og lagret arbeide med alvorlige konsekvenser for enkeltpersoner, undervisning og vurderinger. I ekstreme tilfeller kan uvedkommende slette hele siten. Tilliten til IKT-tjenesten svekkes. Gjeldende lover og forskrifter som må følges av skoleeier endres på en slik måte at tjenesten ikke lengre oppfyller disse. Tjenesten må tilpasses gjeldende lover og forskrifter og avtalen eventuelt må reforhandles. Dette kan kan innebære økte kostnader og forhøyet brukerterskel for tjenesten. Overføring av opplysninger til tredjepartsleverandør av programvare (apper). For mange apper må man akseptere at personopplysninger overføres til tredjepart, og andre samtykker må også gis. Personopplysninger spres om elever utenfor kommunens kontroll. Også til tredjepartsleverandører som kommunen ikke har databehandleravtale med, og som ikke forholder seg til MCC eller andre lovmessige krav. Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 14
15 regelmessig ofte Personopplysninger behandlet utenfor gjeldende lovverk. Trondheim kommune bryter loven. Dette kan medføre omdømmetap, forelegg og bøter. Videre kan dette bety stopp av tjenesten. regelmessig ofte Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 15
16 4.5 Hendelser som er knyttet til uønsket bruk av løsningen Dokumenter deles ut av domenet med private google-kontoer. Foresatte får se andre elevers arbeid. Elevarbeid blir indeksert og brukt i reklameøyemed. Foresatte kan kontakte andre barn gjennom chat. Innhold kan spres utenfor kommunens kontroll. regelmessig ofte Deling av dokumenter fra lærere til foresatte Informasjon til foresatte kan bli tilgjengelig for uvedkommende regelmessig ofte 4.6 Konklusjon av risikoanalyse med tiltak Risiko før Tiltak Prioritet Utført Lærernes lagrede arbeide går tapt på grunn av systemfeil hos leverandøren Google har total redundans i sine systemer som garanterer maksimum oppetid og pålitlighet. Ingen av funksjonene til Google er utelukkende avhengig av en server. Google Vault er aktivert for skole.trondheim.kommune. no. Høy Leverandøren respekterer ikke avtalene og bruker / sprer data eller persondata til egne formål Leverandøren viser seg ikke å kunne etablere eller opprettholde tilstrekkelig informasjonssikkerhet. Tjenesten blir avsluttet, skoleeier henter ut alle data og overfører disse til ny løsning. Tjenesten blir avsluttet, skoleeier henter ut alle data og overfører disse til ny løsning. Høy Høy Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 16
17 Leverandøren går konkurs, blir kjøpt opp av interessenter som ikke respekterer kontraktsforholdet eller at tjenesten fases ut. Virus eller annen ondsinnet kode kan gjennom tjenesten true andre kommunale ITtjenester. Lærere mister lagret arbeid på grunn av brukerfeil, eller feil ved teknisk utstyr. Utenforstående får tilgang til ikke sensitive personopplysninger og lagret arbeid, gjennom å få tak i en annens brukernavn og passord til tjenesten, eller ved å ha stjålet eller ulovlig å ha anvendt en annen brukers utstyr. Tjenesten blir avsluttet, skoleeier henter ut alle data og overfører disse til ny løsning. Det vil utarbeides anbefaling for gode apper som blir publisert på kommunens Chrome webstore. Denne praksisen blir evaluert i løpet skoleåret 2016/2017 Lage rutinebeskrivelse for å sikre forsvarlig håndtering. Disse rutinene skal inneholde beskrivelser for hvordan filer kan gjennopprettes fra backup/ arkiv, og det skal etableres rutiner hos ITbrukerhjelp for å støtte opp om dette. Kommunens gjeldende IKTreglement inneholder rutiner som beskriver brukeres håndtering av brukernavn og passord, og tidssperrer ved inaktivitet på utstyr. Disse vil også gjelde her. Gjennomgang av reglement vil være påkrevd både for elever og lærere. En vil kunne benytte tofaktorautentisering der dette er tjenesteforenlig. mune.no/skole/iktreglement / Nytt ikt-reglement må behandles politisk. Meldes inn av prosjektet. Høy Høy Høy Høyeste Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 17
18 Uvedkommende får tilgang til administrasjonskonsollen gjennom urettmessig tilgang til brukernavn og passord for administratorbruker. Overføring av opplysninger til tredjepartsleverandør av programvare (apper). For mange apper må man akseptere at personopplysninger overføres til tredjepart, og andre samtykker må også gis. Personopplysninger behandlet utenfor gjeldende lovverk. Dokumenter deles ut av domenet med private google-kontoer. Deling av dokumenter fra lærere til foresatte Bare et lite antall administratorer finnes og det skal være tydelige rutiner for håndtering av administrasjonsverktøyet. Alle administratorkontoer skal være knyttet til person. Det skal etableres ulike administratornivåer. To faktorautentisering skal benyttes. Det etableres en egen Trondheim kommune appstore med applikasjoner som er godkjent og der lovkrav er ivaretatt. Databehandler avtale, MCC, ROS-analyse, akseptere restrisiko og varsel til datatilsyn Det åpnes ikke for deling for trinn trinn blir vurdert åpnet etter at policyer er utarbeidet og gjennomgått. Informasjon som skal deles med foreldre settes tilgjengelig uten googlekonto. Kun informasjon som kunne vært delt på internett kan deles med foresatte. Andre typer informasjon kan deles i digital meldingsbok. Skal inn i informasjonsplan, FAQ og opplæringsplan. Det må lages rutine. Høy høyeste høyeste middels middels Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 18
19 5. Plan for informasjon Det er utarbeidet en egen kommunikasjonsplan. Se egen plan 6. Plan for opplæring Det er utarbeidet en egen kompetanse- og opplæringsplan. Se egen plan 7. Etablering av tjenesteforvalter Tjenesteeier: Oppvekstkontoret, Trondheim kommune Tjenesteforvalter: Leif Cato Larsen Gjershaug Forvaltning av tjenesten etableres i samarbeid med kommunens leverandører. Dette innbefatter roller og tilknyttede tjenester. Dette er aktiviteter som avklares i etableringsfasen Tilgang til Administrasjonskonsoll i GAFE Oppvekstkontoret: Leif Cato Larsen Gjershaug og Jomar Estenstad IT-tjenesten: Christian Bøhn Leverandør - Evry: Kenneth Skogstrand, Atle Svensson og Frode Langdahl Leverandør - Atea: Martin Brørs Leverandør - Sopra Steria: Roald Nakstad Leverandør - Dustin: Vegard Paulsen 8. Internkontroll Det er utarbeidet egen plan for internkontroll. Se egen plan. 9. Signering Risikoanalysen er gjennomgått og restrisikoen er akseptert Signatur Ros-Mari Berre, Leder oppvekstkontoret og tjenesteeier Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 19
Saksframlegg. FORSKRIFT - IKT REGLEMENT FOR GRUNNSKOLEN I TRONDHEIM Arkivsaksnr.: 10/20242
Saksframlegg FORSKRIFT - IKT REGLEMENT FOR GRUNNSKOLEN I TRONDHEIM Arkivsaksnr.: 10/20242 ::: Sett inn innstillingen under denne linja Forslag til innstilling: 1. Bystyret vedtar IKT- reglement for grunnskole
DetaljerMellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:
Databehandleravtale for Økonomibistand I henhold til "Personopplysninger" betyr all informasjon om en identifisert eller identifiserbar fysisk person, som nærmere definert i gjeldende lov og EU-forordning
DetaljerLæringsplattformen i trondheimsskolen
Læringsplattformen i trondheimsskolen Trondheimsskolen ca. 20 000 elever ca. 2 000 lærere 54 skoler 35 barneskoler 11 ungdomsskoler 8 kombinerte skoler Elevtall fra ca. 90-800 pr. skole IKT i trondheimsskolen
DetaljerSporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler
Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,
Detaljer*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.
Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier
DetaljerOslo kommune Utdanningsetaten
Utdanningsetaten P. Reinholdsen Dato: 22.03.2016 Deres ref: Vår ref (saksnr): Saksbeh: Arkivkode: 16/02641-2 Rohan Fininger, 95754230 Innsynshenvendelse etter Offentlighetslova - Konsekvenser ved valg
DetaljerSkytjenester i skolen
Skytjenester i skolen NKUL 2012 Tommy Tranvik og Harald Torbjørnsen Agenda 1. Skytjenester fordeler og ulemper 2. Rettslige reguleringer personopplysningsloven med forskrift 3. Praktiske eksempel fra skolesektoren
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerTrondheim opp i skyen
Trondheim opp i skyen Organisasjonsutvikling, nye arbeidsformer - med fokus på sikkerhet. Smartere, enklere, sammen Christian Bøhn, tjenesteforvalter, Trondheim kommune Lars Dyrdahl - prosjektleder, Trondheim
Detaljerfor ansatte i skolen i Levanger og Verdal
Digitale ferdigheter for ansatte i skolen i Levanger og Verdal Levanger kommune og Verdal kommune 18.11.2011 rev. April 2014 IKT-plan: Strategidokument Opplæringsplan i digitale ferdigheter for elever
DetaljerBehandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold
Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.
DetaljerRegistrerte og personopplysninger som behandles
Databehandleravtale i henhold til Personopplysningsloven 15. juni 2018 nr 38 og EUs personvernforordning 2016/679 («GDPR»), mellom: Behandlingsansvarlig og Norsk kulturskoleråd (Kor Arti ) Databehandler
DetaljerPublic 360 Online Datasikkerhet
Public 360 Online Datasikkerhet Ver. 1.0 Mars 2014 Public 360 Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft Windows Azure. Azure er valgt som skyplattform ettersom
DetaljerArkivsystemer med skyløsninger
Arkivsystemer med skyløsninger Erfaringer fra Ruter Svein Winje og Svend Wandaas, Brukerforum Stavanger Tema 1. Behovet for ny sak og arkivløsning 2. Juridiske utgangspunkt. 3. Krav i konkurransen og besvarelse
DetaljerDatabehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO
Databehandleravtale mellom [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» og Xledger AS org.nr. 987290986, Østensjøveien 32 0667 OSLO heretter «Underdatabehandler» 1/5 1 Avtalens formål Denne
DetaljerPOWEL DATABEHANDLERAVTALE
POWEL DATABEHANDLERAVTALE mellom Powel AS. Behandlingsansvarlig og «Navn på selskap». Databehandler Innhold 1 Formålet med Databehandleravtalen... 3 2 Definisjoner... 3 3 Formål med behandlingen... 3 4
DetaljerEUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye
EUs personvernforordning - hva kreves? #Oppdatert 2017 19. oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye Innhold 1. Personvernforordningen hva er det EU vil og hva er nytt? 2.
DetaljerDIN DIGITALE PARTNER
DIN DIGITALE PARTNER GDPR General Data Protection Regulation eprivacy Regulation Forordning fra EU som trer i kraft 25. mai Påvirker alle virksomheter i Norge GDPR Hva gjør CoreTrek med GDPR? GDPR «treffer»
DetaljerSkytjenester. Forside og Databehandleravtale. Telenor Norge
Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerVirksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
DetaljerFÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE
FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE Start din reise mot å etterleve de nye personvernreglene INTRODUKSJON I mai 2018 innføres ny personvernlovgivning i Norge. Disse har vært mye omtalt, både som de
DetaljerDenne personvernerklæringen handler om hvordan Haralds Trafikkskole AS samler inn og bruker personopplysninger om deg.
PERSONVERNERKLÆRING Sist oppdatert: 19.11.2018. Denne personvernerklæringen handler om hvordan Haralds Trafikkskole AS samler inn og bruker personopplysninger om deg. Haralds Trafikkskole AS lenker til
DetaljerInnledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerPersonvernerklæring. Sist oppdatert
Personvernerklæring Sist oppdatert 03.03.2019 Denne personvernerklæringen handler om hvordan Bygg-Team Romerike AS samler inn og bruker personopplysninger om deg. Bygg-Team Romerike AS lenker til nettsider
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen (behandlingsansvarlig)
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerDatabehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS
Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS Innhold Avtalens hensikt...3 Formål...3 Behandlingsansvarliges plikter...4 Databehandlers plikter...4 Bruk av underleverandør...4 Avtale med
DetaljerEU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)
EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION) Hvor er vi nå? Ny personopplysningslov trer i kraft senest 25.5.2018 Ingen «amnestiperiode», virksomheter må være innenfor lovverket
DetaljerDatabehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021
Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig
DetaljerNye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon
Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss Bjørn Erik Thon God informasjonssikkerhet er viktigere enn noen gang 16.10.2012 Side 2 16.10.2012 Side 3 16.10.2012 Side 4 16.10.2012
DetaljerBEHANDLING AV PERSONOPPLYSNINGER VED BRUK AV GATOR-KLOKKE
BEHANDLING AV PERSONOPPLYSNINGER VED BRUK AV GATOR-KLOKKE Ved bruk av Gator-klokker så vil det behandles personopplysninger om både om den som har satt opp tjenesten for bruk (ofte forelderen, dvs. deg)
DetaljerBak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,
Bak skyen: Behandling av personopplysninger Tommy Tranvik, Senter for rettsinformatikk NOIKOS, 28.10.10 Utfordringer for sky kunder 1. Manglende styring og kontroll 2. Etterleve lover og regler 3. Endring
DetaljerCloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.
Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en
DetaljerPERSONVERNERKLÆRING FOR LEXIT GROUP AS
PERSONVERNERKLÆRING FOR LEXIT GROUP AS 1. Behandlingens formål og grunnlag 2. Opplysningene vi behandler 3. Deling av informasjon 4. Deling av informasjon på sosiale medier 5. Sikkerhet 6. Lagring og sletting
DetaljerADDSECURES BEHANDLING AV PERSONOPPLYSNINGER
Avtale innledning ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER For den behandlingen av personopplysninger som AddSecure utfører på vegne av kundene sine, er AddSecure databehandler for kunden. Hvis du er
DetaljerPersonvernerklæring om behandling av personopplysninger Felleskatalogen AS
Personvernerklæring om behandling av personopplysninger Felleskatalogen AS Innledning Denne personvernerklæringen beskriver hvordan Felleskatalogen AS behandler personopplysninger. Erklæringen beskriver
DetaljerSikkerhet i Pindena Påmeldingssystem
Sikkerhet i Pindena Påmeldingssystem Versjon: 6.0.0 Oppdatert: 20.05.2019 1 Innhold Innhold 2 1.Om dokumentet 3 2. Sikkerhet på klientsiden 3 3.Sikkerhetstiltak i koden 3 3.1 Rollesikkerhet 3 3.2 Databasesikkerhet
DetaljerDenne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg.
PERSONVERNERKLÆRING Sist oppdatert: 23.11.2018. Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg. El-Tilsynet as (ET) lenker til nettsider som
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom.. (barnehagen) og MyKid AS. (databehandler) 1. Avtalens hensikt
DetaljerPersonvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen
Det frivillige Skyttervesen Del 1 Personvernerklæring Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1 av
DetaljerRegler og informasjon til foresatte om bruk av datautstyr for 1.-3. trinn
Regler og informasjon til foresatte om bruk av datautstyr for 1.-3. trinn Med hjemmel i IKT-reglement for grunnskolene i Notodden kommune. I følge Kunnskapsløftet er det et mål at elevene etter 2. trinn
DetaljerDatabehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle
Databehandleravtale Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og
DetaljerDatabehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale mellom Behandlingsansvarlig Tjenesteleverandøren Iris skolefoto as Postboks
DetaljerVedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale
Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering
DetaljerVEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold
VEILEDER GDPR PERSONVERN DEL 2 - personopplysninger utover ansatteforhold Nye krav fra 20. juli 2018 Forordningen ble norsk lov og den gjeldende loven ble erstattet. Det nye lovverket styrker forbrukernes
DetaljerDatabehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden
Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert
DetaljerPartene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler
mal versjon 1.0 19.01.2018 Eksemplar nr: /2 Kontrakt nr:
DetaljerDatabehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)
DetaljerDiabetesforbundet. Personvernerklæring
Diabetesforbundet Personvernerklæring Versjon Dato Utarbeidet av Godkjent av 1.0 01.06.2018 NN Sekretariatet 1.1 22.06.2018 GDPR-ansvarlig Sekretariatet INNHOLD 1 KRAV TIL PERSONVERNERKLÆRING... 2 1.1
DetaljerNye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen
Nye personvernregler fra mai 2018 - Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen Bakgrunn Ny personvernforordning vedtatt i EU 14. april 2016 Trer i kraft
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerSikkerhet og personvern i skole og klasserom
Sikkerhet og personvern i skole og klasserom NKUL 2017 Tommy Tranvik Harald Torbjørnsen Vi skal: Øke kvaliteten i det pedagogiske arbeidet med digitale ferdigheter hos barn og unge Øke den digitale kompetansen
DetaljerPersonvernerklæring Meldal Regnskapskontor SA
Personvernerklæring Meldal Regnskapskontor SA Denne personvernerklæringen (heretter «erklæringen») gir deg informasjon om hvordan Meldal Regnskapskontor SA samler, bruker eller deler dine personlige data
DetaljerPersonvern i Falck Helse
Personvern i Falck Helse Vi Falck Helse er opptatt av at du som deltaker skal ha tillit til oss. Derfor er vi blant annet opptatt av å ivareta ditt personvern. Alle dine personopplysninger skal være trygge
DetaljerGDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016
GDPR The General Data Protection Regulation Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016 Personloven basert på 1995 vs 2016 Eus direktiv Det har skjedd mye innen teknologien på 20 år,
DetaljerPersonvernerklæring for MOOC
Personvernerklæring for MOOC Om denne personvernerklæringen Hva er personopplysninger? Kort om tjenesten Formålet med behandling av personopplysninger i tjenesten Registrerte personopplysninger, rettslig
DetaljerDatabehandleravtale Pilot Digitalt Bortsettingsarkiv
Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt
DetaljerNår du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:
Personvernerklæring Denne personvernerklæringen handler om hvordan Magnar Eikeland Gruppen AS samler inn og bruker personopplysninger om deg. (Magnar Eikeland Kontormaskiner AS og Magnar Eikeland Kontorutstyr
DetaljerKiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg
KiNS seminar for fylkeskommunene 2019 Databehandleravtaler Datatilsynet ved seniorrådgiver Ragnhild Castberg Bakgrunn for nytt personvernregelverk Lik behandling innenfor hele EU/EØS Styrke de registrertes
DetaljerKan du legge personopplysninger i skyen?
Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,
DetaljerAVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel
DetaljerGDPR Prosjektgjennomføring Sjekkliste
GDPR Prosjektgjennomføring Sjekkliste DIGFO.no Org nr. 920 052 142 / Contact@DIGFO.no +47 99 03 0006 Side 1 av 6 1 Samtykke (Consent) Kunder må gi sitt samtykke for behandling av personopplysninger. Det
DetaljerBedre personvern i skole og barnehage
Bedre personvern i skole og barnehage NOKIOS, 28. oktober 2014 Eirin Oda Lauvset, seniorrådgiver i Datatilsynet Martha Eike, senioringeniør i Datatilsynet Datatilsynet Uavhengig forvaltningsorgan Tilsyn
DetaljerGDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017
GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,
DetaljerDATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")
DATABEHANDLERAVTALE mellom [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") og Mattilsynet (heretter kalt "Databehandler") Vedrørende Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig
DetaljerKontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.
Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning 6. Mars 2018 NARMA Av Åshild M. Revhaug, NTNU GDPR ny personvernforordning Personvernforordningen ( 2016/679)
DetaljerPersonvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger
DetaljerSAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET
Sykehuset Innlandet HF Styremøte 29.08.18 SAK NR 061 2018 INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET Forslag til VEDTAK: Styret
DetaljerRisiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering
Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering Sist revidert av Kristoffer Iversen 29.07.19 1 Innledning Alle virksomheter er forpliktet til å gjennomføre
DetaljerNye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen
Nye personvernregler fra mai 2018 - Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen Bakgrunn Ny personvernforordning vedtatt i EU 14. april 2016 Trer i kraft
DetaljerReglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)
Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde
Detaljer3. Databehandleravtale
3. Databehandleravtale Visma jobber målrettet for at Programvaren skal være i samsvar med gjeldende personvernlover og -forskrifter. 3.1. Visma Trust Centre 3.1.1. Åpenhet og ansvarlighet er viktig for
DetaljerREGLEMENT FOR BRUK AV IT-INFRASTRUKTUR
REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR Vedtatt av styret for Høgskolen i Finnmark 25. april 2007 i sak S 19/07 1. ANVENDELSE Dette reglement gjelder for all bruk av Høgskolen i Finnmarks (HiF) IT-system.
DetaljerDatabehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.
I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om
DetaljerKUNDEN, slik angitt i ordrebekreftelse fra, eller annen avtale med, ABAX (Behandlingsansvarlig, heretter "Kunden")
24.04.2018 DATABEHANDLERAVTALE Mellom og ABAX AS, org. nr. 993 098 736 (Databehandler, heretter "ABAX") KUNDEN, slik angitt i ordrebekreftelse fra, eller annen avtale med, ABAX (Behandlingsansvarlig, heretter
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerIT-reglement Aurskog-Høland kommune for ansatte og politikere
IT-reglement Aurskog-Høland kommune for ansatte og politikere Vedtatt i rådmannens ledermøte 03.12.14 0 For at kommunens IT-systemer skal fungere optimalt er det viktig at alle kommunens ITbrukere følger
DetaljerBEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING
BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES - PERSONVERNERKLÆRING Sist endret: 1. mai 2018 1 INNLEDNING Denne Personvernerklæringen er utarbeidet av Danske Capital AS ("Danske Capital") for å sørge for
DetaljerGDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse
GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse Bakgrunn General Data Protection Regulation (GDPR) ble formelt vedtatt av EU i april 2016 GDPR trer i kraft
DetaljerBakgrunn. EU har vedtatt ny personvernforordning
GDPR på UB Bakgrunn EU har vedtatt ny personvernforordning General Data Protection Regulation (GDPR) styrke europeiske borgeres personvern styrke tilliten til digitale tjenester gjøre det lettere å utveksle
DetaljerPedagogisk IKT-strategi for stavangerskolen
Pedagogisk IKT-strategi for stavangerskolen 2017-2020 Stavanger kommune Oppvekst og levekår 2016 Innhold Kompetanse for et digitalt samfunn 2 Om pedagogisk IKT-strategi for stavangerskolen 3 Mål for IKT-strategien
Detaljer1 Våre tiltak. Norsk Interaktivs arbeid med personvern
Til våre kunder Kristiansand 22. juni 2016 Norsk Interaktivs arbeid med personvern Norsk Interaktiv har alltid hatt fokus på personvern i våre systemer. Vi vedlikeholder hele tiden våre tjenester for å
DetaljerPERSONVERN Personopplysninger som lagres Hvilke personopplysninger behandler vi
! PERSONVERN Vi tar personvern på alvor fordi det handler om respekt for deg som bruker av våre nettsider og for deg som kunde. ellaandil.com har derfor utarbeidet denne personvernerklæringen i henhold
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerPersonvern og informasjonssikkerhet
Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
DetaljerPERSONVERNERKLÆRING FORUM SECURITIES AS
PERSONVERNERKLÆRING FORUM SECURITIES AS Nytt personvernregelverk ble innført i Norge gjeldende fra 1. juli 2018 og Forum Securities AS har oppdatert sin personvernerklæring i tråd med det nye regelverket.
DetaljerForte Fondsforvaltning AS personvernerklæring
Forte Fondsforvaltning AS personvernerklæring Formålet med denne personvernerklæringen er å informere om hvordan Forte Fondsforvaltning AS (heretter kalt Forte) samler inn og bruker personopplysninger.
Detaljer24. mai 2018 Web telefonterror.co.no er forpliktet til å beskytte og respektere ditt privatliv
Personvern Dette dokumentet handler om nettstedet telefonterror.co.no (heretter bare Tjeneste ). Hver besøkende av denne Tjeneste må overholde Generelle vilkår, ellers er vedkommende tvunget til å slutte
DetaljerRollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).
Personvern Det er viktig for oss at du føler deg trygg når du bruker vår nettsider, tisip.no og itfag.no. Derfor legger vi stor vekt på å beskytte ditt personvern. Denne erklæringen forklarer hvordan vi
DetaljerPersonvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen
Personvern nytt landskap i 2018 #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen Personvernforordningen (General Data Protection Regulation/GDPR) Personvernforordningen på overordnet
DetaljerINFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober
INFORMASJONSSIKKERHET & GDPR Kundeforum 18.oktober Den nye personvernforordningen GDPR (General Data Protection Regulation) Hvem gjelder den for? Lovverket gjelder for alle EU- og EØS-land og alle bransjer
DetaljerFelles datanett for kommunene Inderøy, Verran og Steinkjer
IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.
DetaljerDatabehandleravtale for Visma Avendo Webtime
Databehandleravtale for Visma Avendo Webtime mellom Behandlingsansvarlig: Visma Mamut AS Organisasjonsnr: 972 417 491 Etablert i: Norge Behandlingsansvarliges kontaktinformasjon for generelle henvendelser
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 mellom Utdanningsdirektoratet direktoratet for barnehage, grunnopplæring og IKT Organisasjonsnummer:
DetaljerAVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER
AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift
DetaljerEr du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen
Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Innledning Hva er cloud computing? IaaS, PaaS, SaaS osv Skyen er en forretningsmodell som bygger på noen prinsipper: Standardisering (tjenester,
Detaljer