Risikoanalysemetodikk

Størrelse: px
Begynne med side:

Download "Risikoanalysemetodikk"

Transkript

1 Risikoanalysemetodikk Mars 2012 Eva Henriksen, Eva Skipenes, Sikkerhetsrådgivere NST

2 Metodikk for Risikoanalyse Risikovurdering Sårbarhetsanalyse ROS-analyse

3 Hvorfor risikoanalyse? Avdekke risikonivå på tjenesten/ systemet Kunne gjøre en begrunnet vurdering av behovet for sikkerhetstiltak Ha et bevisst forhold til det risikonivået man har Lovpålagt ved behandling av sensitive personopplysninger (POF 2-4) *) POF: Personopplysningsforskriften *) Krav om gjennomføring av risikovurdering og oppfyllelse av sikkerhetsmessige lovkrav gjelder også for forskningsprosjekt som er godkjent av REK. REK forutsetter at sikkerheten blir ivaretatt.

4 Def. personopplysninger Personopplysninger: Opplysninger og vurderinger som kan knyttes til en identifisert enkeltperson Sensitive personopplysninger: rasemessig/etnisk, politisk, religiøs straffbare forhold (mistanke, siktelse, dom, straff) helseforhold seksuelle forhold fagforeningsmedlemskap

5 Informasjonssikkerhet Konfidensialitet at uvedkommende ikke får tilgang til informasjonen (ikke kan se/lese informasjonen) Integritet at uvedkommende ikke kan endre informasjonen at systemfeil ikke skal medføre uautoriserte endringer i informasjon Tilgjengelighet at informasjonen er tilgjengelig for de som skal ha tilgang til den når den trengs Kvalitet at informasjonen er riktig; ikke er misvisende

6 Prosess for risikostyring ISO/IEC Information technology Security techniques Information security risk management

7 Risikoanalysens fem faser: 1. Legge rammene for risikoanalysen, identifisere det som skal analyseres system, tjeneste, bruk/funksjonalitet, brukere, omgivelser, rammebetingelser, hvem skal delta, definere akseptabelt risikonivå ( Context identification ) 2. Trusselidentifisering, kartlegging av trusler 3. Validering av truslene mhp konsekvens og sannsynlighet og anslå risikonivå 4. Analyse av risikonivå (sammenligne avdekket risikonivå med akseptabelt risikonivå) 5. Foreslå tiltak som reduserer risikonivået

8 Fase 1: Sette rammene for analysen Forarbeid: Planlegging: Hvem skal delta? Når skal møter avholdes? Tidsfrister? Ansvarsfordeling (hvem gjør hva før, underveis og etter), System- og tjenestebeskrivelse Avgrensning av det som skal analyseres (ToE) Kartlegge sikkerhetskrav, sikkerhetspolicy, lover og regler, identifisere verdier som skal beskyttes, f eks liv og helse, pasientopplysninger, virksomhetens renommé Kartlegge behov, krav til faglig forsvarlighet, reguleringer i helse- og personvernlovgivningen, Fastslå nivå for akseptabel risiko og definere verdier for konsekvens, sannsynlighet, risikonivå

9 Fase 2: Identifisere trusler Flere metoder/framgangsmåter Identifisere mulige uønskede hendelser, relatert til krav (eks faglig forsvarlighet) Styrt brainstorming Identifisere årsaker, svakheter/sårbarheter Brainstorming, intervju, spørreskjema, sjekklister Bearbeide de identifiserte truslene kategorisere/slå sammen ( rydde )

10 Fase 2: Identifisere trusler, forts. Tre hovedkategorier Trusler påført av noen fra utsiden Trusler påført av noen fra innsiden Andre trusler (strømbrudd, brann, oversvømmelse, etc.) To typer intensjon Med overlegg Uaktsomme handlinger En stor andel av sikkerhetsbruddene skyldes egne medarbeideres feil eller forglemmelse.

11 Verktøy: Trusseltabell Id Trussel, hendelse Årsak Risiko Sannsynlighet Konsekvens Kommentarer

12 Trusseltabell (med eksempler) ID Trussel, uønsket hendelse Risiko Årsak Sannsynlighet Konsekvens Kommentarer K1 Pasientopplysninger sendt til feil mottaker Feil mottaker registrert i journalsystemet, ev. feil mottaker valgt fra adresse register K2 Uautorisert tilgang til journal Bruker glemmer å logge ut og neste bruker av pc-en får tilgang T1 Journalsystem utilgjengelig i én time Server-krasj etter strømbrudd

13 Fase 3: Analysere risiko For hver av de identifiserte truslene, vurdere: Konsekvens Sannsynlighet

14 Eksempel: Verdier for konsekvens Alvorlig: Tap av helse, eller uopprettelig økonomisk tap, eller alvorlig tap av anseelse, eller alvorlig lovbrudd Stor: Forbigående virkning på helse, eller noe økonomisk tap, eller noe tap av anseelse, Moderat: Ingen virkning på helse, eller lite økonomisk tap som kan gjenopprettes, eller noe tap av anseelse på kortere sikt Liten: Ubetydelig økonomisk tap, eller lite forbigående tap av anseelse

15 Eksempel: Verdier for sannsynlighet Stor: Frekvens: Oftere enn hver tiende gang. Letthet: Uten kjennskap til systemet, uten ekstra hjelpemidler, ved uaktsomhet eller feil bruk. Motivasjon: 1000-kr-tips Middels: Frekvens: Oftere enn hver femtiende gang. Letthet: Normal kjennskap til systemet, vanlige hjelpemidler, med overlegg, bevisst. Motivasjon:??? Liten: Frekvens: Sjeldnere enn hver femtiende gang. Letthet: detaljkunnskap om systemet, spesielle hjelpemidler, med overlegg. Motivasjon: ingen

16 ID K1 K2 Trusseltabell (med eksempler) Trussel, uønsket hendelse Pasientopplysninger sendt til feil mottaker Uautorisert tilgang til journal Årsak Sannsynlighet Konsekvens Risiko Kommentarer Feil mottaker registrert i journalsystemet, ev. feil mottaker valgt fra adresseregister Bruker glemmer å logge ut og neste bruker av pc-en får tilgang Stor Skjer ukentlig Middels Stor Brudd på konfidensialitet (og tilgjengelighet) Moderat Ny bruker jobber ssv på samme avd. T1 Journalsystem utilgjengelig i én time Server-krasj etter strømbrudd Liten Moderat

17 Definere risikonivå Risiko er produktet av sannsynlighet og konsekvens Definere risikonivå Hjelpemiddel: Risikomatrise Anslå risikonivå for de enkelte truslene Kombinasjon av sannsynlighet og konsekvens

18 Risikomatrise Konsekvens Sannsynlighet Liten Moderat Stor Alvorlig Liten Middels Stor

19 Definere risikonivå (skyggeleggingen) Konsekvens Sannsynlighet Liten Liten Moderat Stor Alvorlig Lav risiko Lav risiko Lav risiko Moderat risiko Middels Lav risiko Moderat risiko Moderat risiko Høy risiko Stor Moderat risiko Moderat risiko Høy risiko Høy risiko

20 Eksempel: Definisjon av risiko Høy risiko: Uakseptabel risiko. Sikkerhetstiltak skal iverksettes før systemet eller tjenesten kan tas i bruk eller videreføres Moderat risiko: I hvert enkelt tilfelle vurdere om det er nødvendig å iverksette organisatoriske prosedyrer eller tekniske tiltak for å unngå hendelser Lav risiko: Hendelser av denne typen er akseptable, men bør følges/overvåkes rutinemessig (f.eks. gjennom avviksrapportering)

21 ID K1 K2 Trusseltabell (med eksempler) Trussel, uønsket hendelse Pasientopplysninger sendt til feil mottaker Uautorisert tilgang til journal Årsak Sannsynlighet Konsekvens Risiko Kommentarer Feil mottaker registrert i journalsystemet, ev. feil mottaker valgt fra adresseregister Bruker glemmer å logge ut og neste bruker av pc-en får tilgang Stor Skjer ukentlig Middels Stor Brudd på konfidensialitet (og tilgjengelighet) Moderat Ny bruker jobber ssv på samme avd. T1 Journalsystem utilgjengelig i én time Server-krasj etter strømbrudd Liten Moderat

22 Plassering av trusler i risikomatrisa Konsekvens Sannsynlighet Liten Middels Stor Liten Moderat Stor Alvorlig T1 K2 K1

23 ID K1 Trusseltabell (med eksempler) Trussel, uønsket hendelse Pasientopplysninger sendt til feil mottaker Feil mottaker registrert i journalsystemet, ev. feil mottaker valgt fra adresse register Stor Skjer daglig Stor Brudd på konfidensialitet (og tilgjengelighet) Risiko Høy Årsak Sannsynlighet Konsekvens Kommentarer K2 Uautorisert tilgang til journal Bruker glemmer å logge ut og neste bruker av pc-en får tilgang Middels Moderat Ny bruker jobber ssv på samme avd. Moderat T1 Journalsystem utilgjengelig i én time Server-krasj etter strømbrudd Liten Moderat Lav

24 Fase 4: Evaluere risiko Evaluere i forhold til akseptabelt risikonivå Hvilken risiko er akseptabel, hvilken er ikke Høy risiko (hentet fra definisjonen av risiko): Uakseptabel risiko. Sikkerhetstiltak skal iverksettes før systemet eller tjenesten kan tas i bruk eller videreføres Konklusjon: Trussel K1 må reduseres!

25 Husk: Å akseptere en RISIKO er ikke det samme som å akseptere en uønsket hendelse

26 Fase 5: Håndtere risiko Foreslå tiltak for risikoreduksjon for alle trusler med uakseptabelt risikonivå

27 Mulig håndtering av risiko 1. Unngå risiko (Risk avoidance) Ikke utføre den risikable handlingen (f eks ikke utvikle systemet eller ikke sette det i drift) 2. Redusere risiko (Risk reduction) Iverksette tiltak for å redusere sannsynlighet og/eller konsekvens 3. Overføre risiko (Risk transfer) For eksempel til et forsikringsselskap 4. Beholde risiko (Risk retention) Leve med den risikoen som er der

28 Eksempler på spørsmål man bør stille i en tidlig fase Hvordan finne ut om en tenkt tjeneste er faglig forsvarlig? Involvere brukere Relevant helsepersonell og andre fagpersoner Pasienter/pasientforeninger Ev. representanter for (tilsyns)myndighetene Hvilke lovreguleringer er relevant for det vi ønsker å gjøre? På hvilke måter og hvor er det lov å lagre og/eller overføre dataene? Hvem kan ev få tilgang til dataene? Hvilke krav stilles til sikkerhet? Har vi et godt system for å håndtere avvik?

29 Tips til gjennomføring av risikovurdering Minimum en person bør ha erfaring med gjennomføring av risikovurdering Analysegruppa bør bestå av personer med relevant kunnskap og erfaring Kjennskap til helsetjenesten (organisering, brukergrupper (helsepersonell), pasientgrupper) Kjennskap til regelverket, bl.a. krav til faglig forsvarlighet og informasjonssikkerhet Kjennskap til potensiell teknologi Analysegruppa bør delta gjennom hele prosessen (med mulige utvidelser underveis) Personer med relevant kompetanse/myndighet bør anslå akseptabelt risikonivå

30 Dokumentasjonskrav Risikovurderinger skal dokumenteres og være tilgjengelig for Beslutningstakere (ledelsen, sikkerhetssjef, de som er ansvarlig for å følge opp tiltakene) Tilsynsmyndigheter på forespørsel Kunder på forespørsel Rapport bør inneholde Beskrivelse av hva som har vært analysert Hvem som har deltatt og når analysen ble utført Oversikt over trusler med tilhørende risikonivå Forslag til tiltak for å oppnå tilfredsstillende risikonivå

31 Takk for oss! Mer info på Enkel veileder for gjennomføring av risikovurdering Enkel rapportmal for risikovurdering

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Kvalitetssikring av arkivene

Kvalitetssikring av arkivene Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Risiko- og sårbarhetsvurdering

Risiko- og sårbarhetsvurdering Risiko- og sårbarhetsvurdering Risikovurdering av skytjenesten box.com Versjon: 0.3 Dato: 2013-31-08 Skrevet av: Rolf Sture Normann Utkast 0.3 Side 1 2013-31-08 Innholdsfortegnelse Innledning... 3 Bakgrunn...

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer?

Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer? Nasjonal møteplass Når pasienten skriver journalen, om pasientinvolvering og bruk av nye verktøy i psykiatrien Tromsø 7. september 2010 Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer?

Detaljer

Retningslinje for risikostyring for informasjonssikkerhet

Retningslinje for risikostyring for informasjonssikkerhet Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra

Detaljer

Risikovurdering for folk og ledere Normkonferansen 2018

Risikovurdering for folk og ledere Normkonferansen 2018 Risikovurdering for folk og ledere Normkonferansen 2018 Åsmund Ahlmann Nyre Informasjonssikkerhetsrådgiver Helse Midt-Norge IT Risiko «Effekten av usikkerhet knyttet til mål» (ISO 27001) «Antatt sannsynlighet

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Risiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess

Risiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess Risiko og Sårbarhetsanalyse på NTNU Presentasjons av prosess 2 (Info)Sikkerhetsrisiko formål Utfører risikovurderinger for å: Redusere usikkerhet og kompleksitet for systemet Kartlegge uakseptabel risiko

Detaljer

Et spørsmål om tid! Lars Hopland Nestås Software Security Architect

Et spørsmål om tid! Lars Hopland Nestås Software Security Architect Et spørsmål om tid! Lars Hopland Nestås Software Security Architect Lars Hopland Nestås 2010: Master i informatikk, sikker og trådløs kommunikasjon, spesialisering i datasikkerhet. Universitet i Bergen

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Har du kontroll på verdiene dine

Har du kontroll på verdiene dine Har du kontroll på verdiene dine Et juridisk perspektiv 1_Tittellysbilde Advokat Arve Føyen 1 Selskapets verdier Finansielle verdier Omdømme Humankapital Kunderelasjoner IPR og Forretningshemmeligheter

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Retningslinjer for scenariobasert trusseldokumentasjon, erfaringer fra praksis

Retningslinjer for scenariobasert trusseldokumentasjon, erfaringer fra praksis Retningslinjer for scenariobasert trusseldokumentasjon, erfaringer fra praksis Ida Hogganvik, PhD student SINTEF/UiO Innhold Hva er scenariobasert risikodokumentasjon? I hvilke sammenhenger brukes det?

Detaljer

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

November Internkontroll og styringssystem i praksis - Aleksander Hausmann November 2018 Internkontroll og styringssystem i praksis - Aleksander Hausmann Artikkel 24 - Den behandlingsansvarliges ansvar Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen

Detaljer

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi Øyvind A. Arntzen Toftegaard Rådgiver 1 Hva er internkontroll for informasjonssikkerhet Hva er virksomhetens behov Hvordan

Detaljer

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet Konsekvens Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet 1 2 3 4 5 5 4 3 1. Sikkerhet 2. Bruk av og kunnskap om 3. Eksterne avtaleparter 4. Økonomiske misligheter 5. Annet 2 1 Risiko Risikopunkt

Detaljer

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse

Detaljer

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering Sist revidert av Kristoffer Iversen 29.07.19 1 Innledning Alle virksomheter er forpliktet til å gjennomføre

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Rapport: Risikovurdering komplett

Rapport: Risikovurdering komplett Side 1/7 Brannsikkerhet for Stadsbygd eldresenter ID 138 Gjennomført i perioden: 27.06.2013 31.07.2014 Risikoområde: Brann Statusoversikt Ny (registrert) Vurdering startet Vurdering ferdig Mottiltak besluttet

Detaljer

Risikovurdering av elektriske anlegg

Risikovurdering av elektriske anlegg Risikovurdering av elektriske anlegg NEK Elsikkerhetskonferanse : 9 november 2011 NK 64 AG risiko Fel 16 Hvordan gjør de det? Definisjon av fare Handling eller forhold som kan føre til en uønsket hendelse

Detaljer

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS Rutine for informasjonssikkerhet for personopplysninger i BRIS RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS Innhold 1. Innledning 2 2. Formålet med BRIS 2 3. Personopplysninger i BRIS

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

1. Innledning. Prosessen svarer ut CSM-RA (Felles Sikkerhetsmetoder Risikovurdering), og er i tråd med NS 5814, NS 5815 og EN 50126.

1. Innledning. Prosessen svarer ut CSM-RA (Felles Sikkerhetsmetoder Risikovurdering), og er i tråd med NS 5814, NS 5815 og EN 50126. Styringssystem Dokumentansvarlig: Morrison, Ellen Side: 1 av 6 1. Innledning Dette dokumentet beskriver risikostyringsprosessen og gjennomføring av 1 i Jernbaneverket. For kravoversikt, se STY-600533 Prosedyre

Detaljer

Risikovurdering av cxstafettloggen

Risikovurdering av cxstafettloggen Risikovurdering Side 1 av 6 Risikovurdering av cxstafettloggen Haugesund kommune har gjennomført ei risikovurdering av informasjonssikkerheten i forbindelse med plan om oppstart av CX Stafettloggen. I

Detaljer

Risiko og sårbarhetsanalyser

Risiko og sårbarhetsanalyser Risiko og sårbarhetsanalyser Et strategisk verktøy i sertifiseringsprosessen ISO 14001 Nasjonal miljøfaggruppe 30.05.13 Miljørådgiver Birte Helland Gjennomgang Teoretisk gjennomgang av hva risiko er Hvorfor

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

" Deling og utveksling med pasienter Deling i store foretak Utlevering / deling mellom foretak Legemiddeldeling Kjernejournal

 Deling og utveksling med pasienter Deling i store foretak Utlevering / deling mellom foretak Legemiddeldeling Kjernejournal ! " " #$ % $$ " Deling og utveksling med pasienter Deling i store foretak Utlevering / deling mellom foretak Legemiddeldeling Kjernejournal " & '$()!"# ) $% #% $ % * $$ + ( & ) &'$$% (' (') * &* % &,,)

Detaljer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter

Detaljer

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Helhetlig arbeid med informasjonssikkerhet. Remi Longva Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13 Vårt utgangspunkt Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Personvern og informasjonssikkerhet

Personvern og informasjonssikkerhet Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Informasjonssikkerhet

Informasjonssikkerhet Informasjonssikkerhet med spesielt blikk på administrative funksjoner Ingvild Stock-Jørgensen Juridisk seniorrådgiver UiT Norges arktiske universitet Innledning Om meg Tema for dagen Hva er informasjonssikkerhet

Detaljer

FUNNKe Rapport fra risikovurdering. Informasjonssikkerhet i elektronisk meldingsutveksling med helse- og omsorgssektoren i kommunene

FUNNKe Rapport fra risikovurdering. Informasjonssikkerhet i elektronisk meldingsutveksling med helse- og omsorgssektoren i kommunene FUNNKe Rapport fra risikovurdering Informasjonssikkerhet i elektronisk meldingsutveksling med helse- og omsorgssektoren i kommunene Versjon 1.1 16.09.2013 Eva Henriksen og Eva Skipenes Nasjonalt senter

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 8 Versjon: 5.0 Dato: 21.11.2018 Formål Ansvar Gjennomføring Omfang Målgruppe Dette

Detaljer

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18. Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.september 2012 Om Datatilsynet Et forvaltningsorgan med stor grad av faglig uavhengighet

Detaljer

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen Kort introduksjon til Normen Jan Henriksen Sekretariatet for Normen 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 2 Trusler mot personvernet

Detaljer

Styringssystem i et rettslig perspektiv

Styringssystem i et rettslig perspektiv Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Personvern-rett H2016

Personvern-rett H2016 Personvern-rett H2016 Aktualitet - mål Alle virksomheter som behandler personopplysninger - og det er de fleste - må sørge for å opptre iht. personopplysningsloven. Virksomheten er ansvarlig, og kan ikke

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Helseforskningsrett med fokus på personvern

Helseforskningsrett med fokus på personvern Helseforskningsrett med fokus på personvern Sverre Engelschiøn Helseforskningsrett 2009 Sverre Engelschiøn 1 Tema Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Helseforskningsrett

Detaljer

ROS - forskningsprosjekter

ROS - forskningsprosjekter ROS - forskningsprosjekter Risiko- og sårbarhetsanalyse av informasjonssikkerheten i forskningsvirksomheten ved NIH Praktisk gjennomføring og metodiske vurderinger Baard Wist og Catharina Holm, Tromsø

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Rapport informasjonssikkerhet Helgelandssykehuset 2015 Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser

Detaljer

Risikovurdering av informasjonssystem

Risikovurdering av informasjonssystem Risikovurdering av informasjonssystem Innholdsfortegnelse 1 Innledning... 4 1.1 Risiko og personvern... 4 2 Akseptabelt risikonivå... 6 3 Forberedelse av risikovurdering... 7 3.1 Planlegging... 7 3.2 Organisering...

Detaljer

Bruk av risikoanalyser i KRIK

Bruk av risikoanalyser i KRIK Bruk av risikoanalyser i KRIK Dette dokumentet er ment som en beskrivelse av Kristen Idrettskontakts (heretter KRIK) bruk av risikoanalyser i sitt arbeid. Målet er å forebygge uønskede hendelser under

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

Personvern - sjekkliste for databehandleravtale

Personvern - sjekkliste for databehandleravtale ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten

Detaljer

Aktivitet Forberedelse, gjennomføring, rapportering og oppfølging av Risikoanalyse.

Aktivitet Forberedelse, gjennomføring, rapportering og oppfølging av Risikoanalyse. RISIKOANALYSE OG FAREREDUSERENDE TILTAK Hensikt Å etablere en skriftlig oversikt på hva som kan gå galt med tilhørende sannsynlighetsgrad for at det skjer med gradering av konsekvens. Videre fastlegge

Detaljer

Krav til informasjonssikkerhet i nytt personvernregelverk

Krav til informasjonssikkerhet i nytt personvernregelverk Krav til informasjonssikkerhet i nytt personvernregelverk 8. desember 2017 Informasjonsikkerhet er et ledelsesansvar Sikkerhetsledelse Klare ansvarsforhold Oversikt over det totale risikobildet og beslutte

Detaljer

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016 GDPR The General Data Protection Regulation Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016 Personloven basert på 1995 vs 2016 Eus direktiv Det har skjedd mye innen teknologien på 20 år,

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Opplæring i informasjonssikkerhet Fem egenutviklete elæringsmoduler

Opplæring i informasjonssikkerhet Fem egenutviklete elæringsmoduler Geir Troøien og Rohan Fininger Opplæring i informasjonssikkerhet Fem egenutviklete elæringsmoduler NIFS, 7. september 2016 Informasjonssikkerhet i Økt fokus føringer tilsyn hendelser Krav til opplæring

Detaljer

Min Helsestasjon - sikker kommunikasjon ved hjemmebasert oppfølging og opplæring

Min Helsestasjon - sikker kommunikasjon ved hjemmebasert oppfølging og opplæring Min Helsestasjon - sikker kommunikasjon ved hjemmebasert oppfølging og opplæring Tatjana Burkow Eva Henriksen Fri Flyt, 16. juni 2009 Motivasjon Økende antall personer med kroniske sykdommer Helsemessig

Detaljer

GDPR - Personvern

GDPR - Personvern Eid Elektro AS skrevet ut av Ove Kjøllesdal 3/9/18 15:37:31 00.110 GDPR - Personvern Hensikt Personopplysningslovens bestemmelser gir de overordnede rammene for behandling av personopplysninger. Prosedyren

Detaljer

Risikoanalyse: Mottak og håndtering av farlig avfall

Risikoanalyse: Mottak og håndtering av farlig avfall Risikoanalyse: Mottak og håndtering av farlig avfall Tittel Mottak og håndtering av farlig avfall BENN LARSEN Avdeling ØST-FINNMARK AVFALLSSELSKAP Lokasjon alle anlegg Dato 13.12.2013 Gjennomført av BENN

Detaljer

Hvordan sikre seg at man gjør det man skal?

Hvordan sikre seg at man gjør det man skal? Beredskapsforskriften og krav om ROS-analyser. Hvordan sikre seg at man gjør det man skal? Roger Steen NVE, Beredskapsseksjonen rost@nve.no Tenk igjennom hva som kunne vært konsekvensene for ditt selskap

Detaljer

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN Dette dokumentet beskriver hvordan oppfyller kravene i personopplysningsloven og EUs personvernforordning, GDPR. Versjon 1 04.12.2018 Innhold

Detaljer

Arkiv skal ikkje førast ut or landet

Arkiv skal ikkje førast ut or landet Arkiv skal ikkje førast ut or landet Advokat Siv Owing Maanum Copyright 2015 Foyen Torkildsen All Right Reserved 1 Arkivloven 9 b) «Utan i samsvar med føresegner gjevne i medhald av 12 i denne lova eller

Detaljer

Etatene/sentrene står fritt til å bruke egne kontroll-/konsekvensområder i tillegg.

Etatene/sentrene står fritt til å bruke egne kontroll-/konsekvensområder i tillegg. Dok.id.: 1.3.1.7.0 Metode for beskrivelse av arbeidsprosess og risiko- og Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 02.02.2016 Godkjent av: Camilla Bjørn Dok.type: Styringsdokumenter Sidenr:

Detaljer

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Mottaker: Kunnskapsdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold til lov om Riksrevisjonen

Detaljer

Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres

Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres Arne Tjemsland Chefkonsulent Secode Norge arne.tjemsland@secode.com +47 99282916 1 Bakgrunn Mørketallsundersøkelsen (Norge),

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold VEILEDER GDPR PERSONVERN DEL 2 - personopplysninger utover ansatteforhold Nye krav fra 20. juli 2018 Forordningen ble norsk lov og den gjeldende loven ble erstattet. Det nye lovverket styrker forbrukernes

Detaljer

Styresak Orienteringssak - Informasjonssikkerhet - status pr mai 2018

Styresak Orienteringssak - Informasjonssikkerhet - status pr mai 2018 Direktøren Styresak 037-2018 Orienteringssak - Informasjonssikkerhet - status pr mai 2018 Saksbehandler: Alisa Larsen Dato dok: 30.04.2018 Møtedato: 23.05.2018 Vår ref: 2015/1426 Vedlegg (trykt): Rapport

Detaljer

RISIKOANALYSE (Grovanalyse-Hazid )

RISIKOANALYSE (Grovanalyse-Hazid ) RISIKOANALYSE (Grovanalyse-Hazid ) Mars Side 1 av 7 Risikoanalyse(Grovanalyse) Ifølge Norsk Standard (NS 5814) er begrepet risiko definert som: «Uttrykk for den fare som uønskede hendelser representerer

Detaljer

R102 Retningslinjer for gjennomføring av risikovurderinger

R102 Retningslinjer for gjennomføring av risikovurderinger R102 Retningslinjer for gjennomføring av 1. HENSIKT 1.1 Formål Formålet med retningslinjen er å sikre at det gjennomføres årlig risikovurdering av arbeidsoppgavene som utføres på gjenvinningsstasjonene

Detaljer

Gjelder fra: 19.08.2014. Godkjent av: Fylkesrådet

Gjelder fra: 19.08.2014. Godkjent av: Fylkesrådet Dok.id.: 1.3.1.7.0 Metode beskrivelse av arbeidsprosess og risiko- og Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 19.08.2014 Godkjent av: Fylkesrådet Dok.type: Styringsdokumenter Sidenr: 1 av 7

Detaljer

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017 BEHANDLING AV PERSONOPPLYSNINGER Tone Tenold 2017 PERSONVERNLOVGIVNINGEN - bygger på en kjerne av grunnleggende personvernprinsipper Disse springer ut fra et ideal om at alle skal ha bestemmelsesrett over

Detaljer

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen Det frivillige Skyttervesen Del 1 Personvernerklæring Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1 av

Detaljer

Konseptrapport 28. mars 2014

Konseptrapport 28. mars 2014 Konseptrapport 28. mars 2014 Prosjekt Regionale datasentre Helse Nord 6 Prosjektets risikobilde pr mars 2014 7 Alternative løsninger Alternativer for plassering av regionalt datasenter Alternativ Lokalisering

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert: Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017 Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende

Detaljer

HMS-forum 2013. Tirsdag 12 mars 2013. Risikovurdering som verktøy i daglige beslutninger

HMS-forum 2013. Tirsdag 12 mars 2013. Risikovurdering som verktøy i daglige beslutninger HMS-forum 2013 Tirsdag 12 mars 2013. Risikovurdering som verktøy i daglige beslutninger Arild A. Danielsen Risk Manager arild.danielsen@fada.no 1 Risikovurdering Det vanlige er at risiko er et uttrykk

Detaljer

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,

Detaljer