Foreløpig kontrollrapport

Størrelse: px
Begynne med side:

Download "Foreløpig kontrollrapport"

Transkript

1 Saksnummer: 14/00121 Dato for kontroll: Foreløpig rapport: Endelig rapport: Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av: Martha Eike Eirin Oda Lauvset Ylva Marrable 1 Innledning Datatilsynet gjennomførte en kontroll hos Nesodden kommune ved Heia barnehage den 28. februar Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, tredje ledd. Temaet for kontrollen var å se om barnehagens behandling av personopplysninger er i tråd med kravene som stilles i personopplysningsloven med forskrift. Mer spesifikt ønsker vi å undersøke barnehagens håndtering av opplysningene om barna som behandles i barnehagens informasjonssystemer, og eventuelle andre digitale plattformer som brukes pedagogisk og/eller for å kommunisere med foresatte. I kontrollrapporten beskriver Datatilsynet de faktiske forhold som ble avdekket under kontrollen. Rapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Jorunn Lunde Jensen, kommunalsjef Nesodden kommune - Berit Soløy, rådgiver/sikkerhetsansvarlig Nesodden kommune - Rune Holmedal, virksomhetsleder Heia barnehage 2.2 Fra Datatilsynet: - Martha Eike, overingeniør - Eirin Oda Lauvset, seniorrådgiver - Ylva Marrable, rådgiver 3 Oversendelse av informasjon Datatilsynet ba i varselet om at følgende dokumentasjon ble oversendt: Rutiner for innhenting av samtykke fra foresatte når det gjelder personopplysninger om barna (bilder, kartleggingsverktøy, overføring av opplysninger til skole og lignende). Rutiner for informasjon til foresatte og hvilken informasjon som lagres i kommunikasjonsplattformen og eventuelt kartleggingsverktøy. Rutiner for innsyn i opplysninger som er lagret ved bruk av kartleggingsverktøy. Rutiner for om/når barnas personopplysninger skal slettes. 1 av 15

2 Risikovurderinger som er gjort før det ble besluttet at kommunikasjonsplattform og kartleggingsverktøy skulle tas i bruk. Oversikt over systemenes utforming: a) Et konfigurasjons- eller systemkart hvor kommunikasjonsplattform og eventuelt kartleggingsverktøy er inntegnet. b) En beskrivelse av kommunikasjonsplattformen og hva den brukes til c) En beskrivelse av kartleggingsverktøyet og hva det brukes til d) En beskrivelse av hvem som har tilgang til opplysningene i henholdsvis kommunikasjonsplattformen og kartleggingsverktøyet, og hvordan disse tilgangene blir styrt. Databehandleravtale med leverandør av kommunikasjonsplattform og eventuelt kartleggingsverktøy. Navn og funksjon på de som deltar fra barnehagen under kontrollen. Følgende dokumentasjon ble mottatt av Datatilsynet 25. februar 2014: Avtale for innhenting av tillatelser Samtykke for henvisning til PPT Samtykke til utlevering av personopplysninger til helsestasjonen Databehandleravtale med MyKid med tjenestebeskrivelse Følgende dokumentasjon ble mottatt under kontrollen: Beskrivelse av sikkerhetsmål og sikkerhetsstrategi Egenkontrollskjema oversikt over personopplysninger Sjekkliste ved bruk av TRAS Skjema for overføring av personopplysninger fra barnehage til skole Sjekkliste for årlig gjennomgang av registre med personopplysninger (2012) Beskrivelse av sikkerhetsorganisasjon Følgende dokumentasjon ble ettersendt 25. april 2014: Visma Barnehage SmartClient V2 Strategi IKT_Endelign_ Ros-analyse, gjennomføring, tjenesteområder Nesodden kommune 1 IKT Backup plan Nesodden kommune Oversik_fagsystem_ Nesodden kommune Oversikt over personregistre per Nesodden kommune Agenda ble oversendt kommunen og barnehagen på e-post før kontrollen. Heia barnehage bruker: MyKid TRAS Alle med 2 av 15

3 4 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 4.1 Internkontroll Generelt om personopplysningsloven 14 Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningsloven 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for ivaretakelsen av pliktene etter loven at behandlingsansvaret er klart definert med hensyn til hvor det er lagt. Personopplysningsforskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Nesodden kommune ved øverste leder, rådmannen, oppgis å være behandlingsansvarlig for behandling av personopplysninger om barn i de kommunale barnehagene. Daglig ansvar er delegert i linja til henholdsvis kommunalsjef og virksomhetsleder. Nesodden kommune har lagt opp til en rutine hvor det årlig foretas en gjennomgang av en liste over registre som inneholder personopplysninger. De enkelte virksomhetslederne er ansvarlige for å føre egenkontroll, og for å rapportere inn hvilke informasjonssystemer de har som behandler personopplysninger innen sin virksomhet. I henhold til overordnede rutiner skulle MyKid vært en del av denne oversikten, men det er den ikke. Nesodden kommune er barnehageeier, men har ikke deltatt i beslutningen om å inngå avtale om bruk av MyKid i Heia barnehage. Kartleggingsverktøyet TRAS er det kommunen sentralt som har besluttet at barnehagen skal bruke. Verktøyet er basert på utfylling av skjema, og innebærer ingen behandling av personopplysninger med elektroniske hjelpemidler. Kommunen har nylig gjennomført en omorganisering og etablert ny sikkerhetsledelse gjeldende fra og med januar Rutiner for beslutning om å inngå avtale om bruk av informasjonssystemer som behandler personopplysninger er tydeliggjort i den nye organisasjonen. 3 av 15

4 Manglende kontroll med hvilke informasjonssystemer som tas i bruk innen kommunens virksomheter er noe som tilsier avvik fra det som kreves av en behandlingsansvarlig etter personopplysningsloven. Dersom behandlingsansvarlig ikke har kjennskap til at et informasjonssystem er tatt i bruk har den heller ikke mulighet til å forsikre seg om at grunnvilkårene i personopplysningsloven 11 er oppfylt. Nesodden kommune ivaretar imidlertid sitt ansvar ved å ha en rutine som skal sikre en årlig rapportering av hvilke informasjonssystemer som tas i bruk innen kommunens virksomheter. Vår vurdering er at Nesodden kommune har utarbeidet de nødvendige rutiner for å skaffe seg oversikt og innflytelse over hvilke informasjonssystemer som skal tas i bruk. Vi har dessuten vektlagt at kommunen nylig har gjennomgått en omorganisering, og en styrking av prosedyrene rundt bruk av nye informasjonssystemer. Avtaleinngåelse med MyKid har riktignok skjedd i tråd med disse rutinene, men dette kommer vi tilbake til under gjennomgangen av informasjonssikkerhet og opplæring av ansatte. Datatilsynet har ikke konstatert avvik Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt, jf. personopplysningsloven 14. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Nesodden kommune har en rutine som skal sikre oversikt over behandlinger av personopplysninger som foretas innen kommunens virksomheter. I etterkant av kontrollen fikk vi tilsendt Oversikt over personregistre per Nesodden kommune. Den inneholdt en del som het Skole, barnehage og oppvekst. Oversikten er ikke oppdatert siden januar i fjor og inneholder ikke MyKid. 4 av 15

5 Vi mener at det er bra at kommunen har laget en oversikt over behandlinger. Det er et godt utgangspunkt, men det må spesifiseres hvilket hjemmelsgrunnlag som gjelder for den enkelte behandlingen og hvem som har tilgang til de enkelte personopplysningene eller når de enkelte opplysningene skal slettes. Datatilsynet mener at Nesodden kommune sin mangelfulle oversikt over hvilke behandlinger av personopplysninger som foretas i barnehagene, og hvilke informasjonssystemer som brukes, er å anse som et avvik fra personopplysningsloven og personopplysningsforskriftens krav. Vi bemerker at det ikke må være én oversikt som omfatter hele virksomheten, men Nesodden kommune må etablere et system som sørger for oversikt over behandlingene, og at detaljer kan hentes inn fra underliggende oversikter. Mangelfull oversikt over behandlinger av personopplysninger som foretas innenfor Nesodden kommune sin virksomhet, er et avvik fra personopplysningsloven 14 og 13, jf. personopplysningsforskriften Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til personopplysningsloven 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å innhete samtykke, gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis Samtykke Enhver behandling av personopplysninger må baseres på et rettslig grunnlag, jf. personopplysningsloven 11, jf. 8 og 9. Personopplysningsloven angir en rekke behandlingsgrunnlag hvorav samtykke og hjemmel i lov er utgangspunktet. For at et samtykke skal være gyldig må det være frivillig, uttrykkelig og informert, jf personopplysningsloven 2 nr. 7. Behandlingsansvarlig har en plikt til å ha oversikt over hvilke rettslige grunnlag de ulike behandlinger av personopplysninger som foretas er basert på. For de behandlinger som er basert på samtykke er det spesielt viktig å sørge for at det blir gitt tilstrekkelig informasjon til at den registrerte forstår hva det samtykkes til, og at informasjonen som gis er objektiv. 5 av 15

6 Nesodden kommune har ingen dokumenterte rutiner for hvilke behandlinger av personopplysninger som skal baseres på samtykke, hvordan samtykke innhentes eller kontrolleres. I Heia barnehage baseres følgende behandlinger av personopplysninger på samtykke: utlevering av personopplysninger til eksterne hjelpeinstanser (barnevern, PPT, etc) ta bilder bruke bilder (differensiert i intern bruk i barnehagen, publisering på hjemmeside og publisering på MyKid). utlevering av kontaktopplysninger på MyKid Bruk av kartleggingsverktøyet TRAS Ved overgang barnehage-skole er det skolen som innhenter samtykke fra foresatte til utlevering av opplysninger fra barnehagen. Etter vår vurdering har ledelsen ved Heia barnehage gjort en kvalifisert vurdering av hvilke personopplysninger om barna de må ha samtykke fra de foresatte for å behandle. Samtykkeerklæringene er godt forståelige samtidig som de er differensierte nok til at foresatte kan ta kvalifiserte valg med hensyn til hvordan de ønsker at opplysninger om barna skal behandles. Hvis vi skal bemerke noe, må det bli at praksisen med at det er skolen som innhenter samtykke til at barnehagen kan utlevere opplysninger om barna, kan medføre at de foresatte ikke har kontroll på hvilke opplysninger som blir utlevert. Dersom samtykket hadde vært innhentet av barnehagen så ville det bedre muligheten for samtidig å bli enige om hvilke opplysninger som skal utleveres til skolen. Vi bemerker også at formuleringen i pkt 8 om filming og fotografering i skjemaet for innhenting av tillatelser er misvisende. Her står det at når film/bilder ikke inneholder sensitive personopplysninger så er det ikke nødvendig med samtykke. Dette er ikke riktig. Det avgjørende for om det er nødvendig med et rettslig grunnlag (f.eks samtykke) er om opplysningene kan knyttes til enkeltpersoner. Det gjelder følgelig både ikke-sensitive og sensitive personopplysninger. Hvis det behandles sensitive personopplysninger må man ha rettslig grunnlag i både 8 og 9 i personopplysningsloven, i tillegg til at det kan være plikt til å søke konsesjon. Dette vil gjelde f.eks filming i forbindelse med (forsknings-) prosjekter som også er nevnt under dette punktet. Til tross for at Heia barnehage har noen rutiner for å innhente samtykke er det et avvik at Nesodden kommune ikke har overordnede rutiner for hvilke behandlinger som skal baseres på samtykke. Dette er en praksis som medfører fare for at det blir tilfeldig hva de ulike barnehagene i kommunen innhenter samtykke for. 6 av 15

7 Delkonklusjon Manglende dokumenterte rutiner for innhenting og kontroll av de registrertes samtykke er et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav a Rett til innsyn Det følger av personopplysningsloven 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. : Nesodden kommune har ingen dokumenterte rutiner som gjelder innsynsbegjæringer. Når det gjelder TRAS opplyser virksomhetsleder i Heia barnehage om at foresatte blir informert muntlig om innsynsrett i kartleggingsskjemaene under foreldresamtalen. Datatilsynet mener det er viktig for ivaretakelsen av barnas personvern at barnehager har tydelige og lett tilgjengelige rutiner for hvordan begjæringer om innsyn i barnas opplysninger skal håndteres. Barnehager lagrer opplysninger om barn som er relevante og interessante for flere aktører, for eksempel forsikringsselskaper og advokater som håndterer barnefordelingssaker. Det er heller ikke unaturlig at andre i barnets omsorgskrets enn den/de som har foreldreansvaret kan henvende seg for å få opplysninger. Dette kan være biologisk forelder uten foreldreansvar eller foreldres nye partnere. I slike situasjoner er det viktig at barnehagen har klare retningslinjer for hvem som har rett til innsyn. Nesodden kommune må utarbeide overordnede, skriftlige rutiner for hvordan begjæringer om innsyn i barnas opplysninger skal håndteres. I den grad de enkelte barnehagene innenfor virksomheten opplever særskilte problemstillinger med hensyn til hvem som ber om innsyn, eller har behov for egne rutiner for håndtering av innsyn, må det vurderes hvorvidt den overordnede rutinen skal tilpasses den enkelte barnehage. Delkonklusjon Manglende dokumenterte rutiner for innsynsbegjæringer er et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d. 7 av 15

8 Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av personopplysningsloven 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Nesodden kommune har ingen dokumenterte rutiner for hvordan og når informasjon gis til foresatte om hvilke personopplysninger barnehagen behandler. Virksomhetsleder i barnehagen opplyser at foreldremøte er en arena hvor det blir gitt informasjon til de foresatte, men at det varierer hva som blir tatt med på disse møtene. Barnehagens bruk av kommunikasjonsplattformen MyKid og kartleggingsverktøyet TRAS kan være tema, men det er ikke et fast punkt på agendaen. Det er ikke gitt noe skriftlig informasjon om barnehagens behandling av personopplysninger generelt eller barnehagens bruk av MyKid og TRAS spesielt. Informasjon om hvor, hvorfor og hvordan personopplysninger blir behandlet er grunnleggende for ivaretakelsen av personvernet. Dersom en registrert ikke får informasjon om at personopplysninger behandles, får vedkommende heller ikke mulighet til å stille spørsmål ved nødvendigheten av at disse opplysningene lagres, hvor mange som har tilgang til dem, hvordan de er sikret osv. I sammenheng med inngåelse av avtale om barnehageplass er det særlig viktig å informere om hvilke opplysninger som det er nødvendig for barnehagen å ha for å oppfylle avtalen, og hvilke opplysninger som det er opp til den enkelte foresatte å bestemme om barnehagen skal 8 av 15

9 ha (samtykke). Det er dessuten viktig å informere om hvorfor barnehagen innhenter visse opplysninger (formål), om de vil bli utlevert, og eventuelt hvem som er mottaker. Lagringstid og når opplysningene vil bli slettet er også viktig for foresatte å vite. Kommunen har en plikt til å informere om alle former for behandling av personopplysninger som gjøres i barnehagen. Kontrollen som ble foretatt denne gangen var imidlertid konsentrert om kommunikasjonsplattformer og kartleggingsverktøy. Nesodden kommune må utarbeide overordnede, skriftlige rutiner for hvordan foresatte skal informeres om barnehagenes behandling av personopplysninger. I den grad de enkelte barnehagene innenfor virksomheten har særskilte informasjonssystemer må informasjonen som gis tilpasses den enkelte barnehage. For Heia barnehages del vil det være naturlig å utarbeide informasjon om bruken av MyKid og kartleggingsverktøyet TRAS. Virksomhetsleder i barnehagen opplyser om at utlevering av personopplysninger om skolestarterne til skolen i dag baseres på samtykke gitt til skolen. Det er grunn til å stille spørsmål ved om de foresatte blir kjent med hvilke opplysninger som blir utvekslet mellom barnehage og skole når det skjer på denne måten. En mer ryddig praksis ville vært om samtykke til utlevering ble gitt til barnehagen. Dette fordi barnehagen har mulighet til å sikre at de foresatte blir kjent med hvilke konkrete opplysninger som det er aktuelt å utlevere til skolen. Delkonklusjon Mangelfulle dokumenterte rutiner for informasjon til foresatte om barnehagens behandling av personopplysninger er et avvik, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d Sletting I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter personopplysningsforskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Nesodden kommune har ingen dokumenterte rutiner for hvordan og når personopplysninger skal slettes. Heia barnehage har en prosedyre for sletting som går ut på at foresatte får tilbud om å få med seg barnets mappe når barnet slutter i barnehagen. Dersom foresatte ikke skal ha mappen blir alle opplysningene om barnet slettet. Dette inkluderer TRAS kartlegginger. 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 15

10 Når det gjelder bilder lastet opp i MyKid så fremgår det av «Tjenestebeskrivelse og brukervilkår» at bilder av barn som har avsluttet oppholdet i barnehagen automatisk vil bli slettet 45 dager etter oppstart av nytt barnehageår. Sletting forutsetter imidlertid at det er kun barnet som er sluttet som er tagget i bildet. Dersom vedkommende er tagget i bilder med andre barn (som ikke er sluttet) vil bildene bli liggende helt til alle som er tagget på bildet er sluttet. Nesodden kommune må utarbeide overordnede, skriftlige rutiner for sletting. I den grad de enkelte barnehagene innenfor virksomheten har personopplysninger hvor det vil gjelde særskilte sletteregler må rutiner tilpasses for den enkelte barnehage. Innarbeidede rutiner, som f.eks sletting av TRAS-kartlegginger og andre personopplysninger om barna ved avslutning av barnehageavtale, bør skriftliggjøres. MyKid sine retningslinjer for sletting av bilder medfører at dersom et barn på 1 år og et barn på 6 år avbildes sammen vil bildet av barnet på 6 år bli liggende hos MyKid i 4-5 år etter at det eldste barnet er ferdig i barnehagen. Også dersom et barn bytter barnehage vil bilder av barnet sammen med andre fortsatt være lagret inntil de andre barna har avsluttet barnehageoppholdet. Nesodden kommune/heia barnehage må ta stilling til om dette er tilfredsstillende sletterutiner. Hvis disse opprettholdes, må foresatte informeres om dette. Delkonklusjon Mangelfulle dokumenterte rutiner for sletting av personopplysninger, er avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c Mangelfulle dokumenterte rutiner for oppfyllelse av sine plikter og de registrertes rettigheter, er avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav a, d og c. 4.2 Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel Sikkerhetsledelse Personopplysningsloven 14 fastslår behandlingsansvarlig sitt ansvar for å sørge for planlagte og systematiske tiltak som er nødvendig e for å oppfylle pliktene i loven. For at tiltakene skal være planlagte og systematiske må det være tydelig hvem som er ansvarlig for sikkerheten. 10 av 15

11 I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Nesodden kommune har ingen overordnede føringer for bruk av informasjonsteknologi i barnehagene innen virksomheten. Valg og prioriteringer er imidlertid beskrevet i en nylig utarbeidet sikkerhetsstrategi. Det pågår et arbeid med å lage et nytt styringssystem for informasjonssikkerhet. Nesodden kommune hadde begynt på dokumentasjon av sikkerhetsmål og sikkerhetsstrategi før Datatilsynets varsel om kontroll. Noe er på plass, mens noe gjenstår. Etter vår vurdering er Nesodden kommune såpass godt i gang med dette arbeidet at vi velger å ikke konstatere avvik på dette punktet. Datatilsynet har ikke konstatert avvik Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Nesodden kommune har ingen rutine for at informasjonssystemer innen barnehagedrift skal risikovurderes før bruk. Det er således ikke gjennomført risikovurdering i forkant av at MyKid ble tatt i bruk. 11 av 15

12 Virksomhetsleder i Heia barnehage opplyser å ha gjort en vurdering av den pedagogiske nytteverdien av MyKid, samt en vurdering av at sikkerheten var tilfredsstillende. Denne vurderingen er ikke gjort skriftlig. I etterkant av kontrollen fikk vi ettersendt Ros-analyse gjennomføring tjenesteområder Nesodden kommune. Nesodden kommune har utarbeidet en overordnet, skriftlig rutine for ROS-analyse i Nesodden kommune. I den grad det tillates at de enkelte barnehagene innenfor virksomheten tar i bruk særskilte informasjonssystemer, må barnehagene gjøres i stand til å gjennomføre og dokumentere risikovurdering selv. Virksomhetsleder i Heia barnehage har gjort en vurdering av sikkerheten i MyKid. Dette er en for snever vurdering til å kunne kvalifisere som risikovurdering, og den er heller ikke skriftliggjort. Uten at risikovurdering innlemmes i det systematiske arbeidet med informasjonssikkerhet, blir det for tilfeldig om dette blir gjort eller ikke. Manglende gjennomføring og dokumentasjon av risikovurdering er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. personopplysningsforskriften 2-3. Datatilsynet ble informert om at kommunen ikke hadde gjennomført sikkerhetsrevisjon slik det fremgår av kravene i personopplysningsforskriften. Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften av 15

13 4.2.5 Sikkerhetstiltak Personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Nesodden kommune drifter IKT-utstyret i barnehagen med PC, nettverk og brannmurer. De har automatisk oppdatering av brannmur og virusbeskyttelse. Tilgangsstyring organiseres på kommunalt nivå. Det er to printere i barnehagen som man må logge seg inn på for å få utskriften. Det er planlagt å gå over til å bruke Feide-innlogging. Tilgangsstyring til MyKid er brukernavn og passord. I etterkant av kontrollen fikk vi tilsendt konfigurasjonskart med Visma Barnehage. Konfigurasjonskartet inneholder ikke andre informasjonssystem innenfor barnehagen, slik som MyKid. Å beslutte sikkerhetstiltak er en helt sentral del av informasjonssikkerhetsarbeidet i en virksomhet. Nesodden kommune og Heia barnehage har enkelte sikkerhetstiltak på plass, slik som brannmur, segmentering av nettverk, tilgangsstyring, logging av autorisert og uautorisert bruk, og avvikshåndtering. Det at Nesodden kommune og Heia barnehage ikke har gjennomført og dokumentert risikovurdering av informasjonssystemene, kan tyde på at det kan finnes trusler og tiltak det ikke er tatt høyde for når informasjonssystemet er satt opp og under drift. Datatilsynet mener at kommunen og barnehagen må gjøre en risikovurdering av informasjonssystemet for å komme frem til sikkerhetstiltak som skal dokumenteres og innføres. Kapittel 2 i personopplysningsforskriften inneholder en del minimumskrav til konkrete sikkerhetstiltak alle virksomheter som behandler personopplysninger skal oppfylle. Mangelfull dokumentasjon av sikkerhetstiltak er avvik fra personopplysningsloven 13, jf. personopplysningsforskriften av 15

14 4.2.6 Opplæring I henhold til personopplysningsforskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Det finnes ingen dokumentert oversikt over informasjonssystemets utforming og heller ingen sikkerhetsinstruks for brukerne av systemet. Det finnes ingen skriftlige prosedyrer for hvordan ansatte skal gå frem dersom de ønsker å ta i bruk et informasjonssystem som behandler personopplysninger. Det finnes ingen skriftlige prosedyrer for bruk av MyKid og TRAS. Sikkerhetsrutiner for brukere, ledere og sikkerhetsansvarlige må utarbeides. Videre må det lages et opplegg for opplæring av ansatte. Manglende opplæring i bruk av IT i barnehagen er avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Nesodden kommune har ingen rutine som skal sikre at databehandleravtale blir inngått når kommunen tar i bruk informasjonssystemer som innebærer at tredjepart behandler personopplysninger på vegne av kommunen. Vi har fått tilsendt databehandleravtale med MyKid, samt tjenestebeskrivelse og brukervilkår for tjenesten. Begge dokumentene sier noe om sikkerheten i systemet, at behandlingsansvarlig 14 av 15

15 har tilgang til sikkerhetsdokumentasjon, sikkerhetsmål og sikkerhetsstrategien til MyKid. Avtalen inneholder også noe informasjon om lagring og taushetserklæringer. Avtalen inneholder ingen presisering av hvilke personopplysninger som lagres på plattformen. Det er heller ingen informasjon om hvor data lagres og lite informasjon om hvordan prosedyrer for sletting av personopplysninger foregår underveis i avtaleperioden. Avtalen er ikke datert og heller ikke signert av noen av partene. Databehandleravtalen med MyKid beskriver ikke hvilke personopplysninger som behandles. Dette er en mangel. Avtalen fastslår at behandlingsansvarlig har tilgang til sikkerhetsdokumentasjon og sikkerhetsrevisjoner, men presiserer at slik sikkerhetsrevisjon må bekostes av kunden (barnehagen). Avtaleteksten sier ikke noe mer om hva slik bekostning innebærer, men etter vår vurdering vil en slik formulering oppfattes som en terskel for å få gjennomført sikkerhetsrevisjon. En av hovedintensjonene med en databehandleravtale er å sørge for at behandlingsansvarlig skal kunne forsikre seg om at personopplysningene behandles på en forsvarlig måte hos databehandler. I den grad sikkerhetsrevisjon er forbundet med en kostnad for behandlingsansvarlig vil dette ikke være i tråd med intensjonen med å inngå en slik avtale. Det er en mangel at avtalen ikke inneholder informasjon om hvor data lagres. Avtalen beskriver videre at data slettes ved avtalens opphør, men det bør også dokumenteres rutiner for når personopplysninger slettes dersom det initieres sletting fra barnehagen underveis i avtaleperioden. Det er videre en mangel at avtalen ikke er datert eller signert av noen av partene. Mangelfull databehandleravtale med MyKid er avvik, jf. personopplysningsloven 15, jf. personopplysningsforskriften På generelt grunnlag vil Datatilsynet påpeke plikten til å ha databehandleravtaler. Avtalen med virksomhetens databehandlere skal ivareta kravene som oppstilles i personopplysningsloven 15. Veiledere på hvordan slike avtaler bør se ut ligger på Datatilsynets hjemmesider, 15 av 15

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00118 Dato for kontroll: 6.3.2014 Foreløpig rapport: 29.4.2014 Endelig rapport: 8.8.2014 Endelig kontrollrapport Kontrollobjekt: Bjerkås barnehage Sted: Vollen, Asker Utarbeidet av: Martha

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00119 Dato for kontroll: 24.02.2014 Foreløpig rapport: 11.04.2014 Endelig rapport: 07.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Norlandiabarnehagene, Myrertoppen barnehage Sted:

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00122 Dato for kontroll: 7.3.2014 Foreløpig rapport: 16.5.2014 Endelig rapport: 12.8.2014 Endelig kontrollrapport Kontrollobjekt: Espira Gruppen AS Sted: Blåveisbakken barnehage Utarbeidet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00139 Dato for kontroll: 18.03.2014 Foreløpig rapport: 22.04.2014 Endelig rapport: 14.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Kongsberg kommune, Skrim ungdomsskole Sted: Kongsberg

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Saksnummer: 13/00933 Dato for kontroll: 15.10.2013 Foreløpig rapport: 19.12.2013 Endelig rapport: 07.07.2014 Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av:

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00138 Dato for kontroll: 14.03.2014 Foreløpig rapport: 11.04.14 Endelig rapport: 15.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Hamar kommune, Ajer ungdomsskole Sted: Hamar Utarbeidet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 30.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Oslo kommune, Foss videregående skole Sted:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00140 Dato for kontroll: 19.03.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Akershus fylkeskommune, Skedsmo videregående skole

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/30431 12/01044-8/MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 13/00939 Dato for kontroll: 05.11.2013 Foreløpig rapport: 26.02.2014 Endelig rapport: 11.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Elverum kommune, Elverum ungdomsskole Sted: Elverum

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 17.12.2013 Foreløpig rapport: 11.03.2014 Endelig rapport: 07.08.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Drammen kommune, Aronsløkka skole Sted:

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet Statens Havarikommisjon for Transport Postboks 213 2001 LILLESTRØM Deres referanse Vår referanse (bes oppgitt ved svar) 12/611-6 12/01022-8/HHU 28. februar 2013 Dato Vedtak om pålegg Endelig kontrollrapport

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00941 Dato for kontroll: 03.12.2013 Foreløpig rapport: 11.03.2014 Endelig rapport: 04.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Bergen kommune, Møhlenpris skole Sted:

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Bedre personvern i skole og barnehage

Bedre personvern i skole og barnehage Bedre personvern i skole og barnehage NOKIOS, 28. oktober 2014 Eirin Oda Lauvset, seniorrådgiver i Datatilsynet Martha Eike, senioringeniør i Datatilsynet Datatilsynet Uavhengig forvaltningsorgan Tilsyn

Detaljer

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009. Avslutning av sak - kontroll hos kommune - Internkontroll og informasjonssikkerhet Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/858/09/5428 09/00171-8 /ABE 30. juni 2009 Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune Det vises til Datatilsynets

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009.

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009. Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/42637 09/00173-7 /RTH 11. september 2009 Vedtak om pålegg - endelig kontrollrapport fra kommune Det vises til Datatilsynets kontroll hos kommunen

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat etterforskningsvirksomhet

Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat etterforskningsvirksomhet AS Scan Detect Postboks 54 1330 FORNEBU Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00327-14/MEP 12. november 2013 Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00137 Dato for kontroll: 12.03.2014 Foreløpig rapport: 02.07.2014 Endelig rapport: 05.11.2014 Endelig kontrollrapport Kontrollobjekt: Vestfold fylkeskommune, Sandefjord videregående skole

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Avtale mellom. om elektronisk utveksling av opplysninger

Avtale mellom. om elektronisk utveksling av opplysninger Avtale mellom og.. om elektronisk utveksling av opplysninger INNHOLD 1. AVTALENS PARTER 3 2. AVTALENS GJENSTAND OG AVTALENS DOKUMENTER 3 3. HJEMMEL FOR UTLEVERING, INNHENTING OG BEHANDLING AV OPPLYSNINGENE

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner

Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner IKA KONGSBERG Interkommunalt arkiv for Buskerud, Vestfold og Telemark IKS Forord Med personopplysningsloven

Detaljer

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01. Virksomhetens kontroll og ansvar - Når den ansatte går i skyen Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.2014 Samme data Store data - nye formål Aller først - vårt

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

Vedtak om pålegg kameraovervåking hos Move treningssenter

Vedtak om pålegg kameraovervåking hos Move treningssenter Move Treningssenter AS Arnemannsveien 5 3510 HØNEFOSS Deres referanse Vår referanse Dato 14/01089-7/YMA 05.06.2015 Vedtak om pålegg kameraovervåking hos Move treningssenter Datatilsynet viser til kontroll

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Smart Club AS v/ Advokatene Kjetil Bull og Bjørn Tore Flaatten Postboks 1173 Sentrum 0107 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00831-9/HVE 21. desember 2011 Vedtak om pålegg

Detaljer

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Veileder 25.11.2010 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Kontroll av reseptformidleren 11122013 endelig kontrollrapport

Kontroll av reseptformidleren 11122013 endelig kontrollrapport Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig

Detaljer

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre. Treningssenter AS Postboks OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00001-34/KBK 10. september 2013 Konsesjon til å behandle personopplysninger - Treningssenter - Dopingkontroll

Detaljer

Adressemekling. Innhold INNLEDNING AKTØRENE

Adressemekling. Innhold INNLEDNING AKTØRENE Adressemekling Oppdatert februar 2012 Innhold Adressemekling... 1 INNLEDNING... 1 AKTØRENE... 1 1. Når kan man foreta mekling uten samtykke?... 2 2. Når krever bruk av adresselister samtykke?... 3 3. Den

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kjøpmannshuset Norge AS Postboks 330 Skøyen 0213 Oslo Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00852-9/BSO 25. juni 2013 Vedtak om pålegg - Endelig kontrollrapport Den 19. oktober 2012

Detaljer

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner Velkommen til Fagkurs i informasjonssikkerhet basert på Normen for kommuner 1 Mål for fagkurset (1) Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) NorgesGruppen ASA Postboks 2775 Solli 0203 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00832-9/MAB 1. februar 2012 Vedtak om pålegg - Endelig kontrollrapport for Trumf AS Det vises

Detaljer

PERSONVERN I FINANSSEKTOREN

PERSONVERN I FINANSSEKTOREN CHRISTINE ASK OTTESEN KATRINE BERG BLIXRUD PERSONVERN I FINANSSEKTOREN å GYLDENDAL AKADEMISK Innhold Introduksjon 19 Innledning 21 DEL I EN GENERELL INNFØRING I PERSONOPPLYSNINGSLOVEN 23 KAPITTEL 1 Rettskildebildet

Detaljer

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

Datatilsynets høringsuttalelse lovhjemmel for barnehagers behandling av personopplysninger i forbindelse med dokumentasjon og vurdering

Datatilsynets høringsuttalelse lovhjemmel for barnehagers behandling av personopplysninger i forbindelse med dokumentasjon og vurdering Kunnskapsdepartementet Postboks 8119 Dep 0032 OSLO Deres referanse Vår referanse Dato 14/01335-2/EOL 13.01.2015 Datatilsynets høringsuttalelse lovhjemmel for barnehagers behandling av personopplysninger

Detaljer

Skytjenester bruk dem gjerne, men bruk dem riktig

Skytjenester bruk dem gjerne, men bruk dem riktig Skytjenester bruk dem gjerne, men bruk dem riktig 29.10.2014 Dagens tema Bruk av skytjenester, og bevisst(løs) bruk Skytjenester og informasjonssikkerhet Datatilsynets krav til skytjenester Hvor trykker

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i

Detaljer