Informasjonssikkerhet ved Universitetet i Tromsø Fastsatt av universitetsdirektøren

Størrelse: px
Begynne med side:

Download "Informasjonssikkerhet ved Universitetet i Tromsø Fastsatt av universitetsdirektøren 01.09.2011"

Transkript

1 Informasjonssikkerhet ved Universitetet i Tromsø Fastsatt av universitetsdirektøren

2 Innholdsfortegnelse Forord Sikkerhetsmål og sikkerhetsstrategi Sikkerhetsmål Sikkerhetsstrategi Sikkerhetsarbeidet Ansvar og roller mellom universitetet og brukerne Erklæring om kjennskap til sikkerhetsregelverket Privat bruk av universitetets IT-ressurser Innsyn i universitetstilsattes e-postkasse m.v Brukerkontrakt Brukeropplæring Håndtering av sikkerhetshendelser og svakheter i sikkerheten Rapportering av sikkerhetshendelser og svakhet i sikkerheten Disiplinære reaksjoner Årlig revisjon Personopplysninger og personvern Behandlingsansvarlig Personvernombud Informasjonsaktiva Fysisk sikring Kommunikasjon og driftsadministrasjon Nettverk Serverdrift, fillagring og backup Administrative systemer Tilgangskontroll Brukeradministrasjon Administrasjon av brukerpassord Brukeransvar Sikring av ubevoktet brukerutstyr og dokumenter Pålogging Logging Sletting og endring av tilgang Retur av universitetets eiendeler Systemanskaffelser, utvikling og vedlikehold Sikkerhetskrav ved systemanskaffelse Sikkerhet i utviklings- og vedlikeholdsprosesser Juridiske krav Personopplysningsloven og personopplysningsforskriften Arkivloven med forskrifter eforvaltningsforskriften Offentleglova Vedlegg

3 Forord Informasjonsteknologien har blitt et stadig viktigere verktøy for forskning, undervisning, formidling og administrasjon. En stigende del av universitetets aktiviteter benytter IT- ressurser, og universitetet er i økende grad avhengig av IT. Det forutsettes at alle brukere av universitetets IT-ressurser skal gjøre seg kjent med informasjonssikkerheten. Til forsknings- og administrasjonsformål disponerer universitetet en voksende mengde data. Data som er noe av de viktigste ressursene universitetet har for å gjennomføre forskning, utdanningsforvaltning, undervisning og kunne formidle dette til omverdenen. Truslene mot universitetets data og IT-ressurser er voksende. Kompleksitet og avhengighet er i seg selv en trussel fordi det skaper sårbarhet, men også tekniske uhell, mangelfulle rutiner og tankeløs eller kriminell adferd skaper trusler. Virus og uønsket e- post (spam) er eksempler på trusler universitetet daglig utsettes for. Det er derfor viktig at vi forsøker å sikre oss, slik at vi reduserer vår sårbarhet og ikke utsetter oss for risikoer som kan medføre driftsstans, ødelagt troverdighet eller på annen måte skape vansker for forskere, studenter eller informanter. Denne dokumentasjonen av universitetets informasjonssikkerhet er et verktøy i arbeidet med å sikre oss. Den er ikke uttømmende fordi området utvikler seg raskt. Den er et forsøk på å fokusere på områder hvor vi aner hva truslene er og hva mottrekkene bør være. I den utstrekning dokumentasjonen ikke gir svar på konkrete problemer må sikkerhetsmålene være en rettesnor for de løsninger som velges. Dokumentet er bygd opp med henblikk på å synliggjøre universitetets verdier, ansvarliggjøre den enkelte, samt lederne og organisasjonen som helhet for hvordan en må bidra for å ivareta informasjonssikkerheten. Vi har videre, for å bevare oversikteligheten, forutsigbarheten og robustheten i dette dokumentet, lagt rutiner og retningslinjer som vedlegg. Dette gir en lavere terskel for den enkelte å sette seg inn i hva informasjonssikkerhet er og hvordan den best kan ivaretas. Videre gir det også mulighet, på en hensiktsmessig måte, å få tilgang til strukturert og utdypende informasjon for den/de ansvarlige som har dette behovet eller har et ønske om større kunnskap og forståelse. Informasjonssikkerhet og instrukser om datasikkerhet kan ikke fylle alle behov. Sikkerhet koster, i form av både arbeid og andre ressurser. Mangelfull sikkerhet har også stor kostnad. De instrukser som er gitt, forsøker å avveie sikkerhetskostnadene mot konsekvensene av manglende sikkerhet. Instrukser om informasjonssikkerhet kan ikke gjøres til gjenstand for en demokratisk konsensus. Retningslinjene må kontinuerlig prøves mot innspill fra enhetene og 3

4 endringer i omgivelser og teknologi. Dette skal man forsøke å ta høyde for, i den utstrekning det er mulig. Universitetsdirektøren forutsetter at den enkelte lojalt etterlever og håndhever regelverket slik det til enhver tid er gitt. 1 Sikkerhetsmål og sikkerhetsstrategi 1.1 Sikkerhetsmål Informasjonsteknologi representerer viktige ressurser for universitetet i Tromsø, både i forskning, undervisning og administrasjon. Formålet med behandlingen er å oppfylle institusjonens forpliktelser etter lov om universiteter og høyskoler 1-3. Forskere og studenter skal ha friest mulig tilgang til data og til å bruke og utvikle løsninger i forsknings- og studieøyemed. Universitetets infrastruktur må understøtte dette og gi tilgang til omverdenen og til universitetets ressurser fra punkter utenfor universitetets nett, samtidig som informasjonssikkerheten ivaretas. Universitetet forvalter store mengder arbeidsdata for studenter og forskere, sensitive forskningsdata og administrative data som krever sikring. Informasjonssikkerhet betyr beskyttelse av informasjonens konfidensialitet, integritet og tilgjengelighet. Disse begrepene defineres slik: Konfidensialitet: Å sikre at informasjonen er tilgjengelig bare for dem som har autorisert tilgang. Integritet: Å sikre at informasjonen og behandlingsmetodene er nøyaktige og fullstendige. Tilgjengelighet: Å sikre autoriserte brukeres tilgang til informasjon og tilhørende ressurser ved behov. Universitetet skal ha et nivå på sin informasjonssikkerhet som skal gi tilfredsstillende sikkerhet basert på en vurdering av risiko for uønsket hendelse skjer, og eventuelle konsekvenser av dette. Samtidig skal krav i personopplysningsloven og personopplysningsforskriften, arkivloven, forvaltningsloven, eforvaltningsforskriften, offentlighetsloven, reglement for økonomistyring i staten, åndsverksloven, straffeloven og annen relevant lovgivning ivaretas. Resultater av risikovurderingene skal vurderes i forhold til de førende hensyn som beskrevet nedenfor. Universitetets informasjonsbehandling skal beskyttes mot alle identifiserbare trusler, både interne og eksterne, samt tilsiktede og utilsiktede. Sikkerhetstiltak skal iverksettes slik at personer utenfor universitetet ikke skal kunne forårsake hendelser med store konsekvenser for studenter, tilsatte og personer som deltar i forskningsprosjekt, samt virksomheten for øvrig ved universitetet. Tilsatte som bruker universitetets informasjonssystemer skal ha tilstrekkelig kompetanse for å ivareta universitetets sikkerhetsbehov. Tilsatte uten fullstendig kjennskap til sikkerhetstiltakene skal ikke kunne forårsake slike hendelser, verken uaktsomt eller forsettelig. 4

5 Universitetet behandler sensitive personopplysninger i forsknings- og studentprosjekter. Utlevering av opplysningene kan medføre tap av anseelse og integritet for dem det gjelder. Det er derfor nødvendig å sikre disse opplysningenes konfidensialitet. Ved disse prosjektene skal hensynet til konfidensialitet ha prioritet foran hensynet til tilgjengelighet og integritet. Det vil ikke være akseptabelt at tilsatte forårsaker konfidensialitetsbrudd uaktsomt eller ved forsett, eller at personer utenfor universitetet med overlegg kan få tilgang til disse. Internt ved universitetet skal bare de som har et saklig behov ut fra sitt virke ved universitetet ha tilgang til disse personopplysningene. Universitetet behandler personopplysninger av stor betydning for studentene og tilsatte, herunder også søkere til studieplasser og stillinger, tidligere studenter og tilsatte og søkere til fond universitetet forvalter. Behandlingen av personopplysninger om studentene er nødvendig for å oppfylle virksomhetsmålene. Feil kan medføre forsinkelser og økonomisk tap for denne gruppen. Det er derfor viktig å sikre disse opplysningenes tilgjengelighet og integritet for den enkelte. Studentopplysningenes tilgjengelighet og integritet må også sikres for de tilsatte som skal administrere opptak, undervisningen og eksamener ved universitetet. Personalopplysningenes tilgjengelighet og integritet må tilsvarende sikres for de tilsatte som arbeider med saker på personalområdet. Selv om den enkelte student eller tilsatt kan oppfatte opplysningene som følsomme, vil hensynet til tilgjengelighet og integritet her ha prioritet foran hensynet til konfidensialitet. Det må hindres at medarbeidere uaktsomt påvirker integriteten ved registreringer og uthenting av opplysninger. Videre er det viktig at personer utenfor universitetet ikke forsettlig kan påvirke driftsstabiliteten. 1.2 Sikkerhetsstrategi Tilfredsstillende informasjonssikkerhet skal oppnås gjennom en kombinasjon av teknologiske og organisatoriske tiltak. Med teknologiske tiltak menes blant annet de valg som gjøres mht. utstyr og programvare til ulike formål og direkte til sikringsformål, og de krav som stilles til maskinvare og programvare som skal få rettigheter i universitetets nettverk. Med organisatoriske tiltak menes blant annet informasjon om og opplæring i datasikkerhet og i bruk av programmer, og de krav som stilles til brukerne med hensyn til bruk av utstyr og systemer og sikring av brukerkonti, passord, maskiner og arbeidsplasser. Informasjonssikkerhetsarbeidet skal ta utgangspunkt i standarden NS_ISO/IEC 27002:2005 Informasjonsteknologi. Sikkerhetsteknikk. Administrasjon av informasjonssikkerhet. Universitetsdirektøren har det overordnede ansvaret for universitetets informasjonssikkerhet og fastsetter eventuell nærmere instruks. Det daglige ansvar forvaltes av IT-direktøren. Vedkommende har instruksjonsmyndighet overfor alle andre enheter ved universitetet i saker som angår informasjonssikkerhet. Alle brukere har et ansvar for å overholde det til enhver til gjeldende retningslinjer for bruk av universitetets IT-ressurser. 5

6 Alle datasystemer og all IT-basert informasjon skal ha en systemeier 1 utpekt av universitetsdirektøren. Avdeling for IT skal ikke være systemeier for annet enn basal infrastruktur, og ikke for annen informasjon enn den som omhandler den datatekniske drift. Systemeier skal i samarbeid med avdeling for IT identifisere og ha oversikt over de systemer som han er ansvarlig for, og som ikke er ivaretatt av avdeling for IT. Videre skal det fremgå, for det aktuelle system, hvem som har det daglige ansvar systemeier (enhetsledere, avdelingsdirektører, fakultetsdirektører). Det skal videre fremgå hvem det operative systemansvaret, eventuelt, er delegert til. Systemeier skal holde oversikt over de data som behandles i systemet, samt angi hvilke data det er nødvendig å sikre med hensyn til konfidensialitet, integritet og tilgjengelighet. Denne oversikten skal benyttes som en del av grunnlaget i risikovurderinger. Resultatet av risikovurderingen skal sammenlignes med sikkerhetsmålene nevnt i punkt 1.1. Systemeier skal kunne dokumentere at risikovurdering er gjennomført. For å oppnå tilfredsstillende informasjonssikkerhet skal systemeier også etablere og vedlikeholde rutiner for å ivareta de viktigste sikkerhetsmål, som nevnt i punkt 1.1. Systemeier skal kunne dokumentere rutinene. Avdeling for IT skal foreta risikovurdering av basal infrastruktur, og vedlikeholde beredskapsplan for IT. Risikovurderinger av aktuelle systemer skal utføres av systemeier, og årlige revisjonsrutiner skal etableres. Videre har systemeier ansvaret for å definere systemets og informasjonens sikkerhetsbehov i samarbeid med avdeling for IT, og for å finansiere nødvendige sikkerhetstiltak og nødvendig opplæring. Universitetet skal ha en IT-sikkerhetsansvarlig som skal utøve IT-direktørens myndighet innen IT-sikkerhetsområdet. Den løpende forvaltning av informasjonssikkerheten gjennom strakstiltak ved akutte hendelser foretas av Computer Security Incident Response Team (CSIRT) ved avdeling for IT. CSIRT iverksetter eller beordrer iverksatt ethvert tiltak som, etter en vurdering av skademuligheter og ulempe ved tiltaket, måtte finnes tjenlig for å avverge skade på universitetets IT-systemer og data. CSIRT skal periodisk rapportere om sikkerhetshendelser, skadepotensial, skadeomfang og iverksatte tiltak til IT-direktøren. Brudd på informasjonssikkerheten skal rapporteres til CSIRT. Rapportering er viktig fordi denne type informasjon kan brukes til å gi målrettede mottiltak som er med på å forbedre IT-sikkerheten. 1 Med systemeier forstår vi de som har ansvaret for de prosesser som systemet er ment å skulle støtte, og at innholdet i dataene er korrekte. 6

7 2 Sikkerhetsarbeidet 2.1 Ansvar og roller mellom universitetet og brukerne Erklæring om kjennskap til sikkerhetsregelverket Alle brukere som skal ha brukerkonto skal ha gjort seg kjent med dette dokumentet om universitetets informasjonssikkerhet og forplikte seg til å overholde retningslinjer for bruk av universitetets IT-ressurser, se vedlegg B Privat bruk av universitetets IT-ressurser Universitetets datautstyr og datasystemer er anskaffet og drives for å være en ressurs for forskning, undervisning, formidling og administrasjon. Annen bruk enn det som er angitt over, heretter kalt privat bruk, kan kun skje i den utstrekning den er i samsvar med det generelle regelverket for bruk av universitetets IT-ressurser, ikke strider mot lov eller annet regelverk, ikke er egnet til å svekke universitetets omdømme, og ikke skjer til fortrengsel for oppgaver som inngår i forskning, undervisning, formidling og administrasjon. Privat bruk av universitets tilsattes e-postkasse skal kun forekomme når den private karakter er gjort eksplisitt slik at e-posten ikke for mottaker kan fremstå som tjenstlig eller offisiell, og bruken ikke er egnet til å svekke universitetets omdømme. Det samme gjelder bruk av universitetets tilsattes e-postkasse som referanse på chattekanaler, i newsgrupper og lignende. Universitetet vil ikke skaffe seg tilgang til studenters epostkasse, med mindre det foreligger et særskilt grunnlag Innsyn i universitetstilsattes e-postkasse m.v. Universitetet, som arbeidsgiver, har rett til å gjennomsøke, åpne eller lese e-post i arbeidstakers e-postkasse, når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten. Dette gjelder også ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed. Tilsvarende gjelder for universitetets adgang til gjennomsøking av og innsyn i arbeidstakers personlige område i universitetets datanettverk og i andre elektroniske kommunikasjonsmedier eller elektronisk utstyr som universitetet har stilt til arbeidstakers disposisjon til bruk i arbeidet ved universitetet. Skulle den ansatte motta privat e-post eller lagre private data på universitetets utstyr, må dette lagres i mapper merket (navngitt) «Privat». Universitetet vil respektere slik merking og vil ikke skaffe seg tilgang til data lagret på slike områder uten at særskilt grunnlag kan påvises. Ved opphør av arbeidsforholdet og ved innlevering av universitetets utstyr, må arbeidstaker slette private mapper. Dersom universitet ønsker å gjennomføre innsyn som beskrevet ovenfor, skal prosedyrene i forskrift om behandling av personopplysninger 9-3 følges. 7

8 Når arbeidsforholdet opphører skal arbeidstakers e-postkasse mv. avsluttes og innhold som ikke er nødvendig for den daglige driften av virksomheten slettes innen rimelig tid Brukerkontrakt Brukere av universitetets datasystem defineres som ansatte og studenter, samt andre kontraktspartnere som skal gjøre oppdrag som tilsier at det er nødvendig med tilgang til elektronisk lagrede personopplysninger. Ansatte skal som en del av arbeidsavtalen ved universitetet undertegne erklæring om taushetsplikt jf. forvaltningsloven 13. Samtidig fremkommer det av arbeidsavtalen for universitetets ansatte at man forplikter seg til å gjøre seg kjent med til enhver tid gjeldende retningslinjer for informasjonssikkerhet ved universitetet. Systemeier kan ta i bruk spesifikke taushetserklæringer for tilgang til spesifikke systemer. Studenter må elektronisk godta retningslinjer for bruk av universitetets IT-ressurser for å få brukerkonto ved universitetet. I denne er det tatt inn bestemmelser om stenging av brukerkonto ved brudd på IT-retningslinjene Brukeropplæring Brukerne er den viktigste faktoren i informasjonssikkerheten. Brukerne er forpliktet til å gjøre seg kjent med innholdet informasjonssikkerheten og skal sette seg inn aktuelle retningslinjer som gjelder for bruk at universitetets IT-ressurser. Brukerne skal gjennomgå et kort innføringskurs i informasjonssikkerhet i tilknytning til at de får tildelt brukernavn og passord. Gjennomført opplæring skal være et krav for å ha/beholde brukerkonto. Universitetets ansatte skal tilbys generell opplæring i bruk av PC og grunnleggende PCverktøy avpasset til deres arbeidsområde. Systemeiere skal påse at det regelmessig tilbys opplæring som er tilpasset deres systemer og brukernes behov. For enkelte systemer kan systemeier fastsette krav til gjennomført opplæring for å ha generelle eller spesifikke brukerrettigheter i systemet. 2.2 Håndtering av sikkerhetshendelser og svakheter i sikkerheten Med sikkerhetshendelse menes det tap av konfidensialitet (uvedkommende kan lese data), tap av integritet (kan ikke lengre stole på data), tap av data, tjenester gjøres utilgjengelige og misbruk av ressurser. Dette kan for eksempel forårsakes av virus, innbrudd eller tap av fysisk medium (PC er, minnepinner, mobil etc). Innenfor hver kategori vil det være grader av alvorlighet Rapportering av sikkerhetshendelser og svakhet i sikkerheten Alle brukere av universitetets IT-ressurser er pliktig til å rapportere om sikkerhetsmessige svakheter i, eller trusler mot systemer og tjenester, eller mistanke om slike til nærmeste overordnet eller til Computer Security Incident Response Team (CSIRT) på følgende e-post adresse: csirt@uit.no. 8

9 CSIRT skal rapportere løpende om aktuelle sikkerhetshendelser og hvordan disse skal håndteres gjennom en e-postliste hvor alle IT-konsulentene på universitetet er medlem. I e-posten vil det beskrives hva trusselen går ut på, hvilke konsekvenser den kan ha for sårbare systemer, og en beskrivelse av hvordan man best kan sikre disse systemene Disiplinære reaksjoner Ved brudd på gjeldende regelverk for data- og informasjonssikkerhet skal det vurderes reaksjon. Reaksjonsform og eventuell av utstenging eller begrenset tilgang til datasystemer/it-ressurser skal vurderes ut fra alvorlighetsgraden av handlingen eller unnlatelsen av å handle (sikre personopplysninger). For ansatte vil dette variere fra muntlig orientering om gjeldende regelverk (muntlig tjenstlig tilrettevisning) til andre reaksjoner etter lov om statens tjenestemenn (tjenestemannsloven) bestemmelser. For studenter skal det etter samme vurderinger vurderes stenging av brukerkonto for en periode eller for alltid. For alle brukergrupper kan det ved vesentlige brudd på sikkerhetsbestemmelser som medfører vesentlige kostnader, vurderes å søke regress for kostnadene hos brukeren. 2.3 Årlig revisjon Systemeier skal årlig gjennomgå de områder han har ansvar for med sikte på å klarlegge områder hvor praksis ikke er i samsvar med kravene i retningslinjene for informasjonssikkerhet. Avvik skal drøftes med avdeling for IT med sikte på å avklare områder hvor teknologiske eller andre praktiske forhold vanskeliggjør en realisering av retningslinjene områder hvor det er særlig viktig å få gjennomført kravene i retningslinjene Årlig revisjon skal arkiveres i universitetets arkivsystem. 3 Personopplysninger og personvern 3.1. Behandlingsansvarlig Universitetet i Tromsø er behandlingsansvarlig, jf. lov om behandling av personopplysninger 2, for behandling av personopplysninger som helt eller skjer med elektroniske hjelpemidler ved universitetet. Behandlingsansvarlig er ansvarlig for at behandlingen av personopplysninger skjer i overensstemmelse med lov om behandling av personopplyninger. Ved universitetet skjer elektronisk behandling av personopplysninger i hovedsak med administrativt formål og forskingsformål. Den enkelte systemeier for systemer hvor det behandles personopplysninger har det daglige ansvaret for at pliktene som personopplysningsloven pålegger behandlingsansvarlig er oppfylt. Behandlingen av personopplysninger i forsknings- og studentprosjekter er ikke knyttet til et særskilt system ved Universitetet i Tromsø. For denne behandlingen må det daglige ansvaret være knyttet til personer. Prosjektleder av det enkelte forskningsprosjekt har det daglige ansvaret for pliktene som personopplysningsloven tillegger behandlingsansvarlig, Universitetet i Tromsø, er oppfylt for behandlingen som skjer av 9

10 personopplysninger i forskningsprosjektet. For studentprosjekter er det den oppnevnte faglige veileder som har det daglige ansvaret. Det er fastsatt en egen instruks for behandling av personopplysninger ved universitetet, se vedlegg A. Det er fastsatt egne retningslinjer for behandling av personopplysninger vedrørende studentene ved universitetet, se vedlegg C. Tilsvarende retningslinjer er fastsatt for behandlingen av personalopplysninger, se vedlegg D. Det er fastsatt egne retningslinjer for behandling av personopplysninger i forsknings- og studentprosjekter, se vedlegg E. 3.2 Personvernombud Norsk samfunnsvitenskapelig datatjeneste er oppnevnt som personvernombud for forsknings- og studentprosjekter som gjennomføres helt eller delvis ved universitetet. 4 Informasjonsaktiva Som informasjonsaktiva regnes datasystemer med tilhørende data, også papirbaserte, og infrastruktur til behandling, transport og lagring av data. I vedlegg F finnes oversikt over alle sentrale informasjonsaktiva og hvem som er systemeier. På lokalt nivå er enhetsdirektørene systemeier for de servere som enheten drifter, og har de plikter som etter universitetets informasjonssikkerhet følger med rollen som systemeier. 5 Fysisk sikring Utstyr for informasjonsbehandling, lagring av data eller data- eller telekommunikasjon skal enten være under tilsyn eller være avlåst. Universitetets sentrale servere skal være forsvarlig sikret og kun autorisert personell skal ha tilgang til disse. Avdeling for IT har ansvaret for slik sikring. Elektronikk og kabler til nettverk skal også være beskyttet ved at alle koblingssteder og fordelere skal være i låste rom der kun autorisert personell har tilgang. På kritiske steder, spesielt i datarom/maskinhall skal det være system som: Brann- og røyk varslingssystem. Temperatur og fuktighetsfølere med spesifiserte nivåer for utløsning av alarm. 6 Kommunikasjon og driftsadministrasjon 6.1 Nettverk Universitetets datanettverk skal inndeles i ulike soner med henblikk på sikkerhets- og driftsmessige forhold. 10

11 6.2 Serverdrift, fillagring og backup Ansvar for serverdrift ligger hos avdeling for IT. Det skal foreligge ajourført driftsdokumentasjon, både elektronisk- og papirform, som i detalj beskriver hvordan de enkelte tjenestene er satt opp og driftet. Informasjon og dokumenter produsert eller behandlet ved universitetet skal oppbevares slik at backup rutinemessig blir gjennomført. Brukere skal unngå permanent oppbevaring av data på datamaskinens lokale harddisk, og/eller eksterne enheter som minnepinne etc. 6.3 Administrative systemer Administrative systemer skal driftes sentralt av avdeling for IT, med mindre annet er bestemt. Det skal foreligge en avtale med ekstern driftsoperatør hvor krav til informasjonssikkerhet skal fremgå. 7 Tilgangskontroll Tildeling og kontroll av spesielle privilegier (administrasjonsrettigheter) skal begrenses og kontrolleres. Kun brukere som har et saklig og reelt behov skal ha tilgang til systemet. 7.1 Brukeradministrasjon Universitetet skal ha et system som samlet ivaretar informasjon om personer som er tilknyttet universitetet og som forhindrer uønsket adgang til universitetets IT-ressurser. Alle systemer skal være tilfredsstillende sikret med passord. Systemeier skal etablere rutiner slik at tilgang, avgang og endring i ansattes tilsettingsforhold blir ajourført Administrasjon av brukerpassord Systemadministrator tildeler første gang et midlertidig passord som brukerne må endre ved første gangs bruk. Dette gjelder også i de tilfeller hvor systemadministrator setter passordet på nytt, eksempelvis når passordet er glemt. Dette gjøres kun etter en sikker identifikasjon av brukeren. Overlevering av passord skal ikke foregå via tredjepart eller via e-post. Brukeren skal også bekrefte at passordet er mottatt. Passord skal aldri lagres i ubeskyttet form på datasystemet Brukeransvar Brukerne skal holde sitt personlige passord hemmelig, se retningslinjer for bruk av universitetets IT-ressurser, se vedlegg F. Brukerne bør vedlikeholde sine personlige passord. Passord skal ikke noteres ned og oppbevares i tilknytning til arbeidsplassen. Passord skal endres hvis det er indikasjoner på at systemet eller passordet er blitt misbrukt. 11

12 7.1.3 Sikring av ubevoktet brukerutstyr og dokumenter Datamaskiner skal sikres ved passordbeskyttet skjermsparer som slår inn etter maksimum 30 minutters inaktivitet. Brukerne skal låse/logge av datamaskinen når den forlates. Dokumenter og datautstyr som inneholder personopplysninger eller sensitive forskningsdata må forsvarlig sikres. Dette for å hindre at uvedkommende får tilgang til personopplysninger eller informasjon som kan gi slik tilgang (brukernavn, passord og lignende). 7.2 Pålogging Alle datamaskiner skal kreve at brukeren identifiserer seg med tildelt brukernavn og passord for å få tilgang til maskinen og til tjenester i universitetets nett. Publikumsterminaler skal kun benyttes dersom brukerne kan identifiseres med en unik id som gir mulighet å spore tilbake hvem som brukte maskinen på et gitt tidspunkt. 7.3 Logging Avdeling for IT skal logge nett-trafikk til og fra universitetets nettverk. Hensikten med loggingen er å skape og oppbevare data som er nødvendig for å avdekke og oppklare sikkerhetsbrudd. Disse loggene skal kun benyttes ved etterforskning av innbrudd (eller mistanke om innbrudd) fra maskiner som ikke er tilknyttet universitetets nett, eller ved innbrudd på eksterne maskiner hvor universitetets maskiner er involvert. I dette arbeidet blir personopplysningsforskriften 7-11 fulgt. Loggførte data skal ikke oppbevares lengre enn 3 måneder. 7.4 Sletting og endring av tilgang Systemeier skal ha rutiner for sletting og endring av tilgang til systemene. 7.5 Retur av universitetets eiendeler Personal- og organisasjonsdirektøren har ansvar for å utarbeide rutiner for retur av universitetets eiendeler når ansatte slutter ved universitetet eller går ut i lengre permisjoner. Eksempelvis vil slikt utstyr være bærbar og stasjonær PC, telefon, nøkler, minnepinner og lignende. 8 Systemanskaffelser, utvikling og vedlikehold 8.1 Sikkerhetskrav ved systemanskaffelse Ved anskaffelse av nye systemer skal det utpekes en systemeier som har ansvar for informasjonen og prosessene rundt. Den utpekte systemeier skal i samråd med avdeling for IT utforme krav til sikkerhet som skal inngå i kravspesifikasjonen. En risikoanalyse vil danne rammeverket for å definere krav til sikkerhet. 12

13 Ved anskaffelse av nye systemer skal avdeling for IT også bistå systemeier i forhold til å vurdere leverandørers løsningsforslag i forhold til kravspesifikasjonen. 8.2 Sikkerhet i utviklings- og vedlikeholdsprosesser Ansvaret for å vedlikeholde systemets integritet skal tillegges systemeier og leverandør av systemet. Avdeling for IT har ansvar for at drift av systemet skjer etter systemeiers og leverandørens anvisning og anbefalinger. Det skal være streng kontroll med gjennomføring av endringer for å begrense forringelse av informasjonssystemene. Dette skal følge formelle prosedyrer for endringskontroll. 9 Juridiske krav Informasjonsbehandlingen ved universitetet er regulert i en rekke lover og forskrifter. De mest sentrale lover og forskrifter listes opp her. 9.1 Personopplysningsloven og personopplysningsforskriften Lov om behandling av personopplysninger (personopplysningsloven) av 14. april 2000 nr 34 fastsetter regler om vår behandling av personopplysninger, mens Forskrift om behandling av personopplysninger (personopplysningsforskriften) av 15. desember 2000 nr gir utfyllende bestemmelser. Lenker: Loven Forskriften Arkivloven med forskrifter Lov om arkiv av 14. desember 1992 nr. 126, med Forskrift om offentlige arkiver av 11. desember 1998 nr. 1193, gir bestemmelser om journalføring, lagring, oppbevaring og kassasjon av institusjonens arkiver. Forskrift om utfyllende tekniske og arkivfaglige bestemmelser av 1. desember 1998 nr. 1566, gir utfyllende bestemmelser til arkivforskriften. Lenker: Loven: Arkivforskriften: Utfyllende bestemmelser: eforvaltningsforskriften Forskrift om elektronisk kommunikasjon med og i forvaltningen av 25. juni 2004 gir bestemmelser om tilrettelegging, samordning og sikring av elektronisk kommunikasjon med institusjonen, og for elektronisk saksbehandling og kommunikasjon i institusjonen. Lenke: 13

14 9.4 Offentleglova Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova) av 19. mai 2006 nr. 16 gir bestemmelser om føring av offentlig journal og om allmennhetens adgang til å gjøre seg kjent med innholdet i journalførte dokumenter. Lenke: Universitetet i Tromsø publiserer offentlig journal på veven. 14

15 Vedlegg Vedle gg A B C D E F G Beskrivelse Fastsatt Sist endret Instruks for behandling av personopplysninger ved Universitetet i Tromsø Retningslinjer for bruk av IT-ressurser ved Universitetet i Tromsø Rutiner for behandling av studentopplysninger ved Universitetet i Tromsø Rutiner for behandling av personalopplysning er som forvaltes av Avdeling for personal og organisasjon og Avdeling for økonomi. Rutiner for behandling av personopplysninger i forsknings- og studentprosjekter ved Universitetet i Tromsø Systemlandskap ved Universitetet i Tromsø Klassifikasjon av informasjonsaktiva ved Universitetet i Tromsø Finnes på linken: /210743/Systemlandskap.pdf Finnes på linken: /210740/Informasjonsaktiva.pdf 15

Retningslinjer for bruk av Universitetets IT-ressurser

Retningslinjer for bruk av Universitetets IT-ressurser Retningslinjer for bruk av Universitetets IT-ressurser Fastsatt av universitetsdirektøren 01.04.05. Sist endret 27.03.08. Ref: 2009/6652 Innhold: 1.0 Begrepsforklaringer 2.0 Formål 3.0 Anvendelse 4.0 Lojalitet

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

IT-reglement Aurskog-Høland kommune for ansatte og politikere

IT-reglement Aurskog-Høland kommune for ansatte og politikere IT-reglement Aurskog-Høland kommune for ansatte og politikere Vedtatt i rådmannens ledermøte 03.12.14 0 For at kommunens IT-systemer skal fungere optimalt er det viktig at alle kommunens ITbrukere følger

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte - Styret - Rektor - Leder for Organisasjonsavdelingen -

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

eforvaltningsforskriften 14 og 20, personvernforordningen artikkel 24, 32

eforvaltningsforskriften 14 og 20, personvernforordningen artikkel 24, 32 NTNUs IKT-reglement Type dokument Reglement Forvaltes av Organisasjonsdirektør Godkjent av NTNUs styre Klassifisering Åpen Gjelder fra 14.06.2018 Gjelder til Frem til revisjon Unntatt offentlighet Nei

Detaljer

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune W Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune Innhold 1. Bruker-ID og passord... 3 2. Privat bruk og eiendomsrett... 3 3. Innsyn... 3 4. Virus og spam... 4 5. Konfidensialitet...

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift

Detaljer

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 GDPR General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 en grunnleggende kjedelig men absolutt nødvendig innføring for lag og foreninger i Asker

Detaljer

SIKKERHETSINSTRUKS - Informasjonssikkerhet

SIKKERHETSINSTRUKS - Informasjonssikkerhet SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen») Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig

Detaljer

AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON. [Virksomhetens navn] [Virksomhetens navn]

AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON. [Virksomhetens navn] [Virksomhetens navn] V1.0 AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON i henhold til kraftberedskapsforskriften mellom Org.nr.: 000 000 000 og Org.nr.: 000 000 000 Dato: 20xx-xx-xx Side 1 av 5 1. Om avtalen

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Databehandleravtale for NLF-medlemmer

Databehandleravtale for NLF-medlemmer Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Felles studentsystem leverer elektronisk studentopplysninger til følgende interne systemer: Lånekort til Universitetsbiblioteket

Felles studentsystem leverer elektronisk studentopplysninger til følgende interne systemer: Lånekort til Universitetsbiblioteket RUTINER FOR BEHANDLING AV STUDENTOPPLYSNINGER VED UNIVERSITETET I TROMSØ Fastsatt av universitetsdirektøren 04.07.05, jf. pkt. 1.5 i Instruks for behandling av personopplysninger ved Universitetet i Tromsø(instruksen).

Detaljer

Reglement for brukere av IKT-ressurser ved UiT Norges arktiske universitet

Reglement for brukere av IKT-ressurser ved UiT Norges arktiske universitet Reglement for brukere av IKT-ressurser ved UiT Norges arktiske universitet Fastsatt av: Universitetsstyret Dato: 7.9.2018 Ansvarlig enhet: Avdeling for IT Id: UiT.ITA.infosec.reg01 Sist endret av: - Dato:

Detaljer

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02 Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr:

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS Rutine for informasjonssikkerhet for personopplysninger i BRIS RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS Innhold 1. Innledning 2 2. Formålet med BRIS 2 3. Personopplysninger i BRIS

Detaljer

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel

Detaljer

Personvernerklæring for EVUweb - søkere

Personvernerklæring for EVUweb - søkere Personvernerklæring for EVUweb - søkere Sist endret: 21.06.2018 1) Kort om EVUweb EVUweb er en webapplikasjon som lar deg melde deg på kurs og andre arrangementer og å søke om opptak til Nord universitet.

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Personvern og informasjonssikkerhet

Personvern og informasjonssikkerhet Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1

Detaljer

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse

Detaljer

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Forvaltningsrevisjon IKT sikkerhet og drift 2017 Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD

Detaljer

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold VEILEDER GDPR PERSONVERN DEL 2 - personopplysninger utover ansatteforhold Nye krav fra 20. juli 2018 Forordningen ble norsk lov og den gjeldende loven ble erstattet. Det nye lovverket styrker forbrukernes

Detaljer

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR Vedtatt av styret for Høgskolen i Finnmark 25. april 2007 i sak S 19/07 1. ANVENDELSE Dette reglement gjelder for all bruk av Høgskolen i Finnmarks (HiF) IT-system.

Detaljer

Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale.

Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale. 1 av 5 Personalavdelingen 01.12.2015 Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale. Innhold 1 Innledning... 2 1.1 Mål... 2 1.2 Gyldighetsområde... 2 1.3 Forhold

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Lagring av forskningsdata i Tjeneste for Sensitive Data

Lagring av forskningsdata i Tjeneste for Sensitive Data AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Lagring av forskningsdata i Tjeneste for Sensitive Data Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer. 1

Detaljer

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale Pilot Digitalt Bortsettingsarkiv Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt

Detaljer

Personvernerklæring for Søknadsweb

Personvernerklæring for Søknadsweb Personvernerklæring for Søknadsweb Sist endret: 06.07.2018 Kort om Søknadsweb Søknadsweb er en webapplikasjon for søking om opptak til studier ved VID vitenskapelige høgskole. Søknadsweb er knyttet til

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Helseforskningsrett med fokus på personvern

Helseforskningsrett med fokus på personvern Helseforskningsrett med fokus på personvern Sverre Engelschiøn Helseforskningsrett 2009 Sverre Engelschiøn 1 Tema Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Helseforskningsrett

Detaljer

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen Det frivillige Skyttervesen Del 1 Personvernerklæring Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1 av

Detaljer

GDPR - Personvern

GDPR - Personvern Eid Elektro AS skrevet ut av Ove Kjøllesdal 3/9/18 15:37:31 00.110 GDPR - Personvern Hensikt Personopplysningslovens bestemmelser gir de overordnede rammene for behandling av personopplysninger. Prosedyren

Detaljer

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER Avtale innledning ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER For den behandlingen av personopplysninger som AddSecure utfører på vegne av kundene sine, er AddSecure databehandler for kunden. Hvis du er

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

3.1 Prosedyremal. Omfang

3.1 Prosedyremal. Omfang 3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative

Detaljer

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE Prinsippet i behandling av alle personopplysninger er med utgangspunkt i det nye regelverket er at alle har rett til å bestemme over opplysninger

Detaljer

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 8 Versjon: 5.0 Dato: 21.11.2018 Formål Ansvar Gjennomføring Omfang Målgruppe Dette

Detaljer

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON Retningslinjer for ansattes bruk av IKT-tjenester RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON Vedlagt vil du finne Retningslinjer for ansattes bruk av IKT-tjenester. Retningslinjer for

Detaljer

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle Databehandleravtale Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og

Detaljer

Personvernerklæring for Søknadsweb

Personvernerklæring for Søknadsweb Personvernerklæring for Søknadsweb Sist endret: 07.06.2018 1) Kort om Søknadsweb Søknadsweb er en webapplikasjon for søknad om opptak til studier ved MF vitenskapelig høyskole. Søknadsweb er knyttet til

Detaljer

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert

Detaljer

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering») Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger

Detaljer

Personvernerklæring for EVUweb - søkere

Personvernerklæring for EVUweb - søkere Personvernerklæring for EVUweb - søkere Sist endret: 06.06.2018 1) Kort om EVUweb EVUweb er en webapplikasjon for påmelding til kurs og andre arrangementer ved MF vitenskapelig høyskole. EVUweb er knyttet

Detaljer

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to

Detaljer

IT-REGLEMENT FOR TILSATTE / ENGASJERTE VED KUNSTHØGSKOLEN

IT-REGLEMENT FOR TILSATTE / ENGASJERTE VED KUNSTHØGSKOLEN IT-REGLEMENT FOR TILSATTE / ENGASJERTE VED KUNSTHØGSKOLEN Instruks for bruk av IT-utstyr ved Kunsthøgskolen i Oslo er fastsatt av høgskoledirektøren 1.april 2006. 1 Omfang, forutsetninger 1.1 Dette reglementet

Detaljer

RETNINGSLINJE for klassifisering av informasjon

RETNINGSLINJE for klassifisering av informasjon RETNINGSLINJE for klassifisering av informasjon Fastsatt av: Universitetsstyret Dato: 5.4.19 Ansvarlig enhet: Avdeling for IT Id: UiT.ITA.infosec.ret01 Sist endret av: -- Dato: 5.4.19 Erstatter: Kap. 3

Detaljer

Prosedyre for personvern

Prosedyre for personvern Formål: Hensikten med denne prosedyren er å sørge for samsvar med relevant regelverk for vern av personopplysninger. Prosedyren skal også sikre styring, gjennomføring og kontroll av hvordan selskapet håndterer

Detaljer

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt Behandlingsansvarlig) Mattilsynet. (heretter kalt Databehandler) DATABEHANDLERAVTALE mellom [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") og Mattilsynet (heretter kalt "Databehandler") Vedrørende Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

Policy for personvern

Policy for personvern 2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Prosedyre for skjerming av informasjon

Prosedyre for skjerming av informasjon Prosedyre for skjerming av informasjon FORMÅL: Forebyggende sikkerhet mot kriminelle handlinger. OPPFØLGINGSANSVAR: SB Prosjektledere og PG disiplinledere UTFØRES AV: Alle NÅR: Detaljprosjekt og byggefase.

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Avtale mellom. om elektronisk utveksling av opplysninger

Avtale mellom. om elektronisk utveksling av opplysninger Avtale mellom og.. om elektronisk utveksling av opplysninger INNHOLD 1. AVTALENS PARTER 3 2. AVTALENS GJENSTAND OG AVTALENS DOKUMENTER 3 3. HJEMMEL FOR UTLEVERING, INNHENTING OG BEHANDLING AV OPPLYSNINGENE

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015 PRAKTISK ARBEID MED RUTINER Normkonferansen Scandic Ørnen, 15. oktober 2015 RÅDMANNSMØTET 09.10.2013 ER DERE KLAR FOR EN HEMMELIGHET? Arbeidsseminar Internkontrollsystem for informasjonssikkerhet MANDAG

Detaljer

Strategi for Informasjonssikkerhet

Strategi for Informasjonssikkerhet Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt

Detaljer

Personvernerklæring for Søknadsweb

Personvernerklæring for Søknadsweb Personvernerklæring for Søknadsweb Sist endret: 01.06.2018 kn 1) Kort om Søknadsweb Søknadsweb er en webapplikasjon for søking om opptak til studier ved NLA Høgskolen. Søknadsweb er knyttet til det studieadministrative

Detaljer

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser Motiv: Oslofjorden Foto: Vann- og avløpsetaten Informasjon om sikkerhetsgraderte anskaffelser Vedlegg til sikkerhetsgraderte anskaffelser Innhold 1 Generelt... 2 2 Sikkerhetsavtale... 2 2.1.1 Generelt...

Detaljer

heretter kalt Operatøren.

heretter kalt Operatøren. Bilag 1 til Oppdragsbeskrivelsen Databehandleravtale Mellom: Ruter As (Ruter) som Oppdragsgiver Og heretter kalt Operatøren. Innholdsfortegnelse: Bilag 1 til Oppdragsbeskrivelsen... 1 Databehandleravtale...

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Personvernerklæring for Studentweb

Personvernerklæring for Studentweb Personvernerklæring for Studentweb Sist endret: 21.06.2018 1) Kort om Studentweb Studentweb er en webapplikasjon som lar deg som student utføre en rekke studieadministrative oppgaver, slik som semesterregistrering

Detaljer

Personvern - sjekkliste for databehandleravtale

Personvern - sjekkliste for databehandleravtale ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten

Detaljer

Instruks for utlevering av elektronisk lagret materiale til politi eller påtalemyndighet

Instruks for utlevering av elektronisk lagret materiale til politi eller påtalemyndighet NTNU Norges teknisk-naturvitenskapelige universitet Instruks for utlevering av elektronisk lagret materiale til politi eller 1 Innledning 1.1 Mål Denne overordnede instruksen skal sikre at bestemmelsene

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Personvernerklæring for Kong Arthur Admin (KA Admin)

Personvernerklæring for Kong Arthur Admin (KA Admin) Personvernerklæring for Kong Arthur Admin (KA Admin) -for søkere og studenter ved Norsk Gestaltinstitutt Høyskole Sist endret: 27.06.2018 Innhold: 1) Kort om Kong Arthur Admin (KA Admin) 2) Hva er en personvernerklæring?

Detaljer

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no). Personvern Det er viktig for oss at du føler deg trygg når du bruker vår nettsider, tisip.no og itfag.no. Derfor legger vi stor vekt på å beskytte ditt personvern. Denne erklæringen forklarer hvordan vi

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering Sist revidert av Kristoffer Iversen 29.07.19 1 Innledning Alle virksomheter er forpliktet til å gjennomføre

Detaljer

Eksempel på datadisiplininstruks

Eksempel på datadisiplininstruks Eksempel på datadisiplininstruks Denne datadisiplininstruksen gjelder bruk av [bedriftens navn]s datautstyr, nettverk og datasystemer, inkludert fjernpålogging og mobiltelefoner. 1. Hovedprinsipp Den ansatte

Detaljer

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Avviksbehandling Støttedokument Faktaark nr 8 Versjon: 5.1 Dato: 11.12.2018 Formål Formålet med avviksbehandling er å: Håndtere sikkerhetsbrudd

Detaljer

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr: Databehandleravtale for Økonomibistand I henhold til "Personopplysninger" betyr all informasjon om en identifisert eller identifiserbar fysisk person, som nærmere definert i gjeldende lov og EU-forordning

Detaljer