Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn
|
|
- Even Arntzen
- 8 år siden
- Visninger:
Transkript
1 Har du kontroll med din databehandler? En utro elsker Annikken Seip Seniorrådgiver IT-tilsyn DIFI
2 Det jeg skal snakke om Tilsyn etter 5, 3 og 12/ regelverk Vi har regelverk som påpeker kontroll Hva kan gå galt? På avveie uten å vite det, Ikke tilgjengelig, Endret Vet ikke hva som kan gå galt eller hvor, Vet ikke ansvar Vet ikke hvem man skal snakke med når noe går galt Hva vil det si å ha kontroll med databehandler? Eie, bestemme alt, samme interesser kjøpe tjenester, ulike interesser Andre land, andre regler 2
3 Databehandler? Behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, Databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige, 3
4 Personopplysningsloven 13. Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd. 4
5 eforvaltningsforskriften 13. Sikkerhetsmål og sikkerhetsstrategi (1) Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi). Sikkerhetsstrategien skal danne grunnlaget for forvaltningsorganets beslutninger om innføring og bruk av sikkerhetstjenester og -produkter på en helhetlig, planlagt, systematisk og dokumentert måte. Sikkerhetsstrategien skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. 5
6 6 IKT-forskriften 12. Utkontraktering Foretaket har ansvar for at IKT-virksomheten oppfyller alle krav som stilles etter denne forskrift. Dette gjelder også der hele eller deler av IKT-virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretak under tilsyn også gis rett til å inspisere og kontrollere de av leverandørens aktiviteter som er knyttet til avtalen. Avtalen skal også sikre håndtering av taushetsbelagt informasjon. Avtalen skal videre sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn hos IKT-leverandøren der Finanstilsynet finner det nødvendig som et ledd i tilsynet med foretaket. Foretaket skal sikre, i egen regi eller gjennom et formalisert samarbeid med andre foretak enn IKT-leverandøren, at organisasjonen besitter tilstrekkelig kompetanse til å forvalte utkontrakteringsavtalen.
7 IKT-forskriften 3. Risikoanalyse Foretaket skal fastsette kriterier for akseptabel risiko forbundet med bruk av IKT-systemene. Foretaket skal ha en dokumentert prosess for gjennomføring av risikoanalyser av IKT-virksomheten. Prosessen skal blant annet definere klare ansvarsforhold og omfatte oppfølging av tiltak som iverksettes som et resultat av den gjennomførte risikoanalysen. Foretaket skal minst en gang årlig, eller ved endringer som har betydning for IKT-sikkerheten, gjennomføre risikoanalyser for å påse at risiko styres innenfor akseptable grenser i forhold til foretakets virksomhet. Resultatet av risikoanalysen skal dokumenteres. 7
8 5. Sikkerhet Foretaket skal utarbeide prosedyrer som skal sikre beskyttelse av utstyr, systemer og informasjon av betydning for foretakets virksomhet, jf. 1, mot skader, misbruk, uautorisert adgang og endring, samt hærverk. Videre skal prosedyrene inneholde retningslinjer for tildeling, endring, sletting og kontroll med autorisasjon for tilgang til IKTsystemene. Kravene til IKT-sikkerhet skal så langt det er praktisk mulig være målbare. Oppfyllelse av kravene til informasjonssikkerhet for personopplysninger etter forskrift av 15. desember 2000 nr til personopplysningsloven skal anses som oppfyllelse av kravene i paragrafen her. 8
9 Odense kommune i skyen Ønsket at lærerne skal bruke Google Apps til Planlegge undervisning, evaluere undervisning og elever, skriv til foreldre om barna deres. Datatilsynet mente at Risikovurderingen ikke er god nok Databehandleravtalen ikke lever opp til pol om Å sikre kontroll med data i tredjeland Kryptering, sletting, tilgang At Google utelukkende skal handle på instruks fra kommunen 9
10 10 Erfaringer Bankene var tidlig ute med å sette bort IToppgaver mye erfaring Uklare ansvarsforhold Hvor starter ulike databehandleres ansvar? Manglende dokumentasjon Mangelfulle avtaler Utfordringene blir større ved utkontraktering ut av landet Person- og foretaksopplysninger i skyen skaper enda flere utfordringer Vet ikke hvor data er Noen flagger inn igjen for å ha kontroll.
11 EnterCard Poenget med avtalen mellom EnterCard og Capgemini Norge er å konsolidere driften av sentrale systemer til én leverandør. Capgemini skal levere rådgivning, applikasjonsutvikling, applikasjonsforvaltning, forvaltning av forretningsinformasjon («business information management») og testtjenester. Leveransen til EnterCard bygger på Capgeminis globale leveransemodell Rightshore med sterkt innslag av kompetanse fra India. Driftsdirektør Tord Topsholm i EnterCard sier det er essensielt for dem å ha en smidig og fleksibel IT-partner som kan matche deres ambisjon om å være markedsleder i en bransje i kontinuerlig endring. Digi.no
12 Tilsyn Vi har noen få ganger hatt «problemer» med å få tilgang til det underleverandørene gjør. Hvordan data behandles, endringshåndtering Test, katastrofe, Sletting av data Styring og kontroll Hvordan vet man at ikke en av underleverandørene er i skyen? 12
13 Problemstillinger ved å sette bort Definere omfang og avgrensninger Regelverk Hva får man lov til? Vurdere risiko Hvem sin risiko? Hvem taper på at systemene ikke er gode nok? Inngå avtale Kan avtale avsluttes? Kan man bytte leverandør? Evaluere og teste at det virker også ved katastrofe Bestillerkompetanse ressurser 13
14 Kjennetegn ved databehandlere Skal tjene penger Kan gjøre ting effektivt for mange like oppdragsgivere Setter selv bort til underleverandører Har mye kompetanse om databehandling Men følger de med i utviklingen? Må lære seg oppdragsgiveres arbeidsområder Må lære oppdragsgivers regelverk + eget Må ha avtaler som sikrer dem selv Solide reserveløsninger Skal tjene penger 14
15 Databehandlere Standarder er ikke tilpasset utviklingen Standarder og automasjon Gå i takt for å få til inntjening Holde ulike kunder adskilt Effektivisere plattform, programmer, nøkler, kompetanse Mer bruk av nett Samhandling med andres servere Kompleksiteten øker 15
16 Databehandlere 2 Administrere test, kriser og endringer med mange deltakere grensesnitt, logikk i applikasjoner Flytte kunde og data til annen tilbyder Uautorisert tilgang til data eller eksternt angrep Uautorisert ressursallokering, DoS, Etterlevelse av regelverk Ansvar Det er ikke deres system eller data som går i stykker, så hva taper de på at det ikke er bra nok? Sikkerhet legges bare på ved eksplisitte krav(?) 16
17 Hva kan gå galt? Manglende styring og kontroll Dokumentasjon av systemer, roller og ansvar. Hvor er dataene? Koordinering og test utføres ufullstendig før endring Ikke etterleve regelverk Ubrukelig risikoanalyse og ukjente sårbarheter Sikkerhet og tap av omdømme Spionasje Utvannet bestillerkompetanse over tid Egen forståelse for IT-utvikling mangler Vanskelig å endre eller avvikle avtaler Overføre oppgaver til annen leverandør Hvem betaler hvis noe går galt? Beredskap og katastrofeløsninger testes ikke. 17
18 Utfordringer for dataeier Endringer i regelverk, krever raske endringer i systemer. Noen forstår ikke hva endringene krever teknologisk. Det settes ikke av nok penger til endringer Nye teknologiske muligheter Minnepinner, mobiltelefoner, tilgang fra «alle steder» Tingenes internett store datamengder om andre, sporing Data i skyen hvor som helst i verden Cloud Computing Kompleksiteten i datasystemene vokser eksponentielt Samhandling mellom systemer Samhandling mellom aktører ansvar for data Beredskap og katastrofeløsninger 18
19 Hva er det man slipper? Kravspesifi kasjon Akseptansetest Design Test Implement asjon Test Drift Teste endringer Teste krise og katastrofe 19
20 Utfordringer for dataeier 2 Ledelsen må ta ansvar! Kan ikke fraskrive seg ansvar Da lønner det seg å forstå hva det dreier seg om Risikovurderinger Bestillerkompetanse krever egen, oppdatert Teknologiforståelse Avtaleforståelse Ta stilling til skybruk Ressurser Penger, tid, kompetanse 20
21 Dataeier 3 Vet ikke hvordan det oppfører seg det som er nedenfor tjenesten de kjøper. Kjøper tjenester fra flere tilbydere Kompleksiteten øker Må tilpasse program og systemer Skille ut sensitive data 21
22 Dataeier 4 Ikke transparente opplegg, ofte proprietære implementeringer hos databehandler Får ikke tilgang til informasjon, Vanskelig å lage god risikoanalyse Har ikke kontroll og må samarbeide med databehandler om sikkerhet Vanskelig å ha krypterte data i skyen som databehandler ikke skal kunne lese. ENISA Dele hemmeligheter ettersom man ikke har kontroll Organisere arbeidet internt og eksternt 22
23 Forsvare landet De fleste virksomheter er avhengig av internett Avhengig av at andre lands nett fungerer. Offentlig sektors avhengighet av private tilbydere i skyen Spionasje via skyene Industrispionasje, Forsvarshemmeligheter Få sikkerhetskrav til skybruk Grensekryssende regler kan skape uklarheter om suverenitet. Flere og større angrep fra utlandet Lettere, Vanskelig å spore, Vanskelig å håndheve manglende regelverk Tilsyn Vanskelig å få tilgang til å reparere i utlandet 23
24 Juridiske problemstillinger Manglende grenseoverskridende regelverk og avtaler Problemer med suverenitet Nettnøytralitet Tilbydere kan komme i konflikt mellom egen inntjening og kundenes interesser Sperre for eller gi dårligere betingelse til konkurrenter Håndheve avtaler Ansvar over landegrenser Politiet i annet land stopper maskin 24
25 Hjelpemiddelsentralen ISO Risikovurdering ISO og 2 Styringssystem for sikkerhet 27003: Implementasjonsguide 27004: Målinger av sikkerhet Kommunikasjon på tvers av organisasjoner og sektorer Veiledning for e-gov 27014: Rammeverk for styring Sikkerhet og økonomi Kontinuitetsstandarder Nettsikkerhet, applikasjonssikkerhet, hendelser, utkontraktering (36), sanke bevis Standarder er veiledende. Virksomheter kan kreve at de brukes. 25
26 Andre ting man kan gjøre Opprettholde og øke egen kompetanse. Stadig forklare ledelsen hva problemene er. Teknologiforståelse, Kreve dokumentasjon av systemer og tester Kreve melding om tester. Det er ikke alltid at databehandler vet konsekvenser av endringer for andre kunder. Snakke med og samhandle med andre kunder Avtaler med samarbeidsparter om ansvar og om tester. 26
27 Utro elsker? Kan ha motstridende interesser Industrispionasje Mer opptatt av andre kunder, Lekke informasjon til konkurrenter Starter med å hjelpe deg, men tjener ikke nok Utkontrakterer til skyen Skiller ikke godt nok mellom ulike kunders data Lager systemer for like kunder Evaluer resultatet mot det dere hadde før! 27
28 28 Djevelen er i detaljene! FINANSTILSYNET Revierstredet 3 Postboks 1187 Sentrum 0107 Oslo
Lovgivningens krav til sikkerhet ved outsourcing - offshoring
Lovgivningens krav til sikkerhet ved outsourcing - offshoring Advokat Arve Føyen FØYEN Advokatfirma DA Introduksjon Et konglomerat av lovgivning stiller rammer for outsourcing og offshoring av IKT tjenester
DetaljerTilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017
Tilsyn med IKT-sikkerhet i finansnæringen Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017 Gjelder alle foretak under tilsyn Stiller krav til foretakenes styring og kontroll
DetaljerVirksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
DetaljerStyringssystem i et rettslig perspektiv
Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerKan du legge personopplysninger i skyen?
Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerCloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011
Cloud computing og offshoring Juridiske sjekkpunkter for overføring av data til utlandet Espen Werring, 1. desember 2011 Er dette noe å bry seg om? Betydelig vekst innen offshoring de seneste årene Alle
Detaljerwww.pwc.no Utfordringer innen IKTområdet PwC 20. september 2011
www.pwc.no Utfordringer innen IKTområdet 20. september 2011 Innhold 1. Risiko i betalingsformidling 2. Kontinuitetsplaner 3. Bankenes ansvar ved utkontraktering 4. Oppsummering 2 Risiko i betalingsformidling
DetaljerCloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.
Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerSpesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum
Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens
DetaljerSkytjenester regler, sårbarheter, tiltak i finanssektoren. v/ Atle Dingsør
Skytjenester regler, sårbarheter, tiltak i finanssektoren v/ Atle Dingsør Skytjenester regler, risiko, tiltak Skytjenester regler, risiko, tiltak Atle Dingsør, Tilsynsrådgiver, seksjon for tilsyn med IT
DetaljerRettslige krav til informasjonssikkerhet i offentlig forvaltning
Rettslige krav til informasjonssikkerhet i offentlig forvaltning Advokat dr. juris Rolf Riisnæs WIKBORG REIN rri@wr.no DRI1010 11. mars 2010 1 Informasjonssikkerhet Hvem, hva og hvorfor Det velkjente og
DetaljerVeiledning i etterlevelse av IKT-forskriften for eiendomsmeglingsforetak
Veiledning i etterlevelse av IKT-forskriften for eiendomsmeglingsforetak DATO: 15.04.2016 MOTTAKERE: EIENDOMSMEGLINGSFORETAK Innhold 1 INNLEDNING 3 2 VEILEDNING TIL PARAGRAFENE I IKT- FORSKRIFTEN 3 2.1
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerEndelig kontrollrapport
Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerDatabehandleravtaler. Tommy Tranvik Unit
Databehandleravtaler Tommy Tranvik Unit Spørsmål Hva er databehandlere? Når er det lovlig å bruke databehandlere? Hva må til for at fortsatt bruk skal være lovlig? Databehandlere i GDPR Leverandører av
DetaljerKrav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden
Krav til informasjonssikkerhet DRI1010 forelesning 15.03.2012 Jon Berge Holden jobe@holden.no Sikkerhet - hva skal beskyttes? Informasjonssikkerhet (def. ISO 27001, 3.4) Bevare konfidensialitet, integritet
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerTjenester i skyen hva må vi tenke på?
Tjenester i skyen hva må vi tenke på? Renate Thoreid, senioringeniør Datatilsynet, Tilsyn og sikkerhetsavdeling Side 1 Visjon: Datatilsynet i front for retten til selvbestemmelse, integritet og verdighet
DetaljerVeiledning i etterlevelse av IKT-forskriften for mindre foretak
Veiledning i etterlevelse av IKT-forskriften for mindre foretak Kredittilsynet v1.0 01.10.2006 Side 1 av 19 INNLEDNING Med bakgrunn i finansforetakenes økte bruk og avhengighet av IKT, utarbeidet Kredittilsynet
DetaljerArkivet i skyen Serveren på månen
Arkivet i skyen Serveren på månen EDOK 2012, onsdag 23. mai 2012 Anne Mette Dørum, Riksarkivet 1 Kort om Riksarkivet hovedbølet i Arkivverket Arkivverket består av Riksarkivet, åtte statsarkiver, Samisk
DetaljerRettslige krav til informasjonssikkerhet i offentlig forvaltning
Rettslige krav til informasjonssikkerhet i offentlig forvaltning Advokat dr. juris Rolf Riisnæs Wikborg, Rein & Co rri@wr.no DRI1010 13. mars 2008 Informasjonssikkerhet Hvem, hva og hvorfor Det velkjente
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerHvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015
Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets
DetaljerBruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.
Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. mars 2015 Utgangspunktet Det er Datatilsynets utgangspunkt at det er mulig
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerSkytjenester. Forside og Databehandleravtale. Telenor Norge
Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976
DetaljerPå tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013
På tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013 Kort om Datatilsynet Uavhengig forvaltningsorgan Ombud og tilsynsorgan kontrollere at lover og forskrifter
DetaljerInformasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden
Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter
DetaljerSkytjenester bruk dem gjerne, men bruk dem riktig
Skytjenester bruk dem gjerne, men bruk dem riktig 29.10.2014 Dagens tema Bruk av skytjenester, og bevisst(løs) bruk Skytjenester og informasjonssikkerhet Datatilsynets krav til skytjenester Hvor trykker
DetaljerKontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre
Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerDatabehandleravtale. Charlotte Lindberg Difi
Databehandleravtale Charlotte Lindberg Difi Hvorfor er denne avtalen så viktig? En databehandleravtale skal sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en klar ramme
DetaljerVedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)
Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold
DetaljerVirksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.
Virksomhetens kontroll og ansvar - Når den ansatte går i skyen Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.2014 Samme data Store data - nye formål Aller først - vårt
DetaljerAvtale om leveranse av IKT-tjenester. Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:
DetaljerKF Brukerkonferanse 2013
KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom
DetaljerSkytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE
Skytjenester utviklingstrekk, krav og forventninger Frank Skapalen NVE Kilde: http://srmsblog.burtongroup.com/ Innhold Globale utviklingstrekk for skytjenester Skypolitikk Dilemmaet sikkerhet opp mot funksjonalitet
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerPersonvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen
Personvern nytt landskap i 2018 #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen Personvernforordningen (General Data Protection Regulation/GDPR) Personvernforordningen på overordnet
DetaljerVeiledning til IKT- forskriftens 5 "Sikkerhet" August 2013
Veiledning til IKTforskriftens 5 "Sikkerhet" August 2013 2 Finanstilsynet Innhold 1 Innledning 4 2 Forskriftsmessige krav til sikkerhet i IKT-systemene 5 3 Berørte områder av IKT-virksomheten 5 4 Etterlevelse
DetaljerRevisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer
Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Mottaker: Kunnskapsdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold til lov om Riksrevisjonen
DetaljerStyresak 69-2015 Orienteringssak - Informasjonssikkerhet
Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerArkiv og lagring i skyen Rettslige skranker. Malin Tønseth og Nicolai Halbo 18. Mars 2015 www.svw.no
Arkiv og lagring i skyen Rettslige skranker Malin Tønseth og Nicolai Halbo 18. Mars 2015 www.svw.no Hvorfor arkiv / lagring i skyen? Gammel teknologi - dyr å vedlikeholde/drifte Brukergrensesnitt Vanskelig
DetaljerBruk av skytjenester og sosiale medier i skolen
Bruk av skytjenester og sosiale medier i skolen 13.11.2015 Agenda Hva er personvern? Datatilsynets skole- og barnehageprosjekt Skytjenester Sosiale medier Thinkstock.com 2 Hvem har ansvaret? «Behandlingsansvarlig»
DetaljerEndelig kontrollrapport
Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet
DetaljerDatabehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg
I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse
DetaljerKontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund
Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerRegnskap- og oppdragssystemer
IKT-sikkerhet Bakgrunn Finanstilsynet gjennomførte i oktober og november 2015 et tematilsyn vedrørende IKT-sikkerhet i regnskapsførerbransjen Tilsynet var rettet mot regnskapsførerselskaper Selskapene
DetaljerHelsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.
Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10. mars 2015 10.03.2015 Side 2 Utgangspunktet Det er Datatilsynets utgangspunkt
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerDatabehandleravtale etter personopplysningsloven m.m
Databehandleravtale etter personopplysningsloven m.m Databehandleravtale I henhold til personopplysningsloven 13, jf. 15 og personopplysningsforskriftens kapittel 2. Avtalen omhandler også håndtering av
DetaljerPersonvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?
Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR? Stab Fag, pasientsikkerhet og samhandling Avdeling for informasjonssikkerhet og personvern Hovedbudskap fra Datatilsynets
DetaljerEr du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen
Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Innledning Hva er cloud computing? IaaS, PaaS, SaaS osv Skyen er en forretningsmodell som bygger på noen prinsipper: Standardisering (tjenester,
DetaljerAdvokat Arve Føyen Advokatfirmaet FØYEN Torkildsen
1_Tittellysbilde Advokat Arve Føyen Advokatfirmaet FØYEN Torkildsen 1 Tema - bakgrunnsteppe Behovet for global sourcing og bruk av Skytjenester Rollene ved bruk av Skytjenester Krav til internkontroll
DetaljerRisikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning
Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning Om Ikomm Lillehammer Hamar Askim 85 Ansatte ISO 9001 ISO 27001 30 000 Brukere 500+ Applikasjoner Norge Sverige Finland
DetaljerInformasjon interesseorganisasjoner
Informasjon interesseorganisasjoner Behandling av personopplysninger ved gjennomføring av arbeidsrettede tiltak for NAV Implementering av databehandleravtale mellom tiltaksarrangør og NAV Datatilsynet
DetaljerDatabehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.
I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om
DetaljerStandarder for risikostyring av informasjonssikkerhet
Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere
DetaljerVår referanse (bes oppgitt ved svar)
Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerDATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")
DATABEHANDLERAVTALE mellom [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") og Mattilsynet (heretter kalt "Databehandler") Vedrørende Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig
DetaljerSkytjenester i skolen
Skytjenester i skolen NKUL 2012 Tommy Tranvik og Harald Torbjørnsen Agenda 1. Skytjenester fordeler og ulemper 2. Rettslige reguleringer personopplysningsloven med forskrift 3. Praktiske eksempel fra skolesektoren
DetaljerEndelig kontrollrapport
Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning
DetaljerKrav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden
Krav til informasjonssikkerhet DRI1010 forelesning 16.03.2016 Jon B. Holden jobe@holden.no Dagens tema: Informasjonssikkerhet og eforvaltningsforskriften Hva er informasjonssikkerhet? Hvem skal sikre?
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerEndelig kontrollrapport
Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand
DetaljerPersonvern i skyen Medlemsmøte i Cloud Security Alliance
Personvern i skyen Medlemsmøte i Cloud Security Alliance 31. oktober 2018 Trond Ericson Agenda Personvern i skyen Kort om Devoteam Kort om GDPR GDPR i skyen Oppsummering Devoteam Fornebu Consulting Devoteam
DetaljerKontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler
Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerArkiv skal ikkje førast ut or landet
Arkiv skal ikkje førast ut or landet Advokat Siv Owing Maanum Copyright 2015 Foyen Torkildsen All Right Reserved 1 Arkivloven 9 b) «Utan i samsvar med føresegner gjevne i medhald av 12 i denne lova eller
DetaljerKrav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden
Krav til informasjonssikkerhet DRI1010 forelesning 26.03.2014 Jon B. Holden jobe@holden.no Dagens tema: Informasjonssikkerhet og eforvaltningsforskriften Hva er informasjonssikkerhet? Krav til informasjonssikkerhet
DetaljerRevisjon av IKT-området i en mindre bank
Revisjon av IKT-området i en mindre bank Bankenes sikringsfond, Høstkonferansen 2010 Vidar A. Løken PwC Innholdet i presentasjonen 1. Hvilken risiko IT innebærer for bankenes interne kontroll 2. Bankens
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerPålegg om stans av behandling av personopplysninger - Gator AS
Gator AS Håkon Magnussons gate 8 7041 TRONDHEIM Deres referanse Vår referanse Dato 17/01432-12/EOL 07.12.2017 Pålegg om stans av behandling av personopplysninger - Gator AS Vi viser til vårt brev av 18.
DetaljerEndelig kontrollrapport
Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig
DetaljerKontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger
Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerEgenevalueringsskjema
Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no
DetaljerRisikoanalyse i arkivarbeidet Ta sjansen?
Risikoanalyse i arkivarbeidet Ta sjansen? Jorunn Bødtker, 23. mars 2010 1 Risikoanalyse - NA 23.3.2010 - Jorunn Bødtker Begreper Norsk standard 5814:2005 og ISO 27002 Risiko: Muligheten for å lide tap
DetaljerGDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017
GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,
DetaljerFagkurs for kommuner Ansvar og avtaler (45 minutter)
Fagkurs for kommuner Ansvar og avtaler (45 minutter) 1 Innhold 1. Definere sentrale begrep 2. Ansvar 3. Ansvar ved delegering av oppgaver 4. Ansvar og avtaler for databehandler 5. Avtale ved fjernaksess
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerNye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon
Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss Bjørn Erik Thon God informasjonssikkerhet er viktigere enn noen gang 16.10.2012 Side 2 16.10.2012 Side 3 16.10.2012 Side 4 16.10.2012
DetaljerForeløpig kontrollrapport
Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand
DetaljerEndelig Kontrollrapport
Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning
DetaljerBak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,
Bak skyen: Behandling av personopplysninger Tommy Tranvik, Senter for rettsinformatikk NOIKOS, 28.10.10 Utfordringer for sky kunder 1. Manglende styring og kontroll 2. Etterleve lover og regler 3. Endring
DetaljerInnsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds
Informasjonsdeling og nettsky-teknologi i helsesektoren Felix konferansesenter, 28. oktober 2011 Norm for informasjonssikkerhet i helse, omsorgs- og sosialsektoren om utveksling av informasjon Jan Gunnar
DetaljerRUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS
Rutine for informasjonssikkerhet for personopplysninger i BRIS RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS Innhold 1. Innledning 2 2. Formålet med BRIS 2 3. Personopplysninger i BRIS
DetaljerSporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler
Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
Detaljer" Deling og utveksling med pasienter Deling i store foretak Utlevering / deling mellom foretak Legemiddeldeling Kjernejournal
! " " #$ % $$ " Deling og utveksling med pasienter Deling i store foretak Utlevering / deling mellom foretak Legemiddeldeling Kjernejournal " & '$()!"# ) $% #% $ % * $$ + ( & ) &'$$% (' (') * &* % &,,)
DetaljerHVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?
HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og
DetaljerVIRKE. 12. mars 2015
VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter
Detaljer