Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo
|
|
- Hilmar Bjarte Stene
- 8 år siden
- Visninger:
Transkript
1 Saksnummer: 14/00130 Dato for kontroll: Rapportdato: Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen og Kim Ellertsen 1 Innledning Datatilsynet gjennomførte kontroll hos Justis- og beredskapsdepartementet 5. mai Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Temaet for kontrollen var departementets behandling av personopplysninger, særlig i forbindelse med plikt til å innføre internkontroll og å sørge for tilfredsstillende informasjonssikkerhet i henhold til gjeldene lover og forskrifter. Kontrollen ble gjennomført på departementets faste besøksadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. Alle henvisninger til lovhjemler i kontrollrapporten er knyttet til personopplysningsloven og dens forskrifter. Andre henvisninger til lovhjemler er nevnt særskilt. Foreløpig kontrollrapport ble sendt til departementet, som vedlegg til «Varsel om vedtak» av 27. november 2014, for kommentarer. Departementets tilsvar og tilbakemeldinger er det i den endelige rapporten tatt hensyn til. 2 Tilstede under kontrollen 2.1 Fra departementet: - Tor Saglie, departementsråd (fram til ca 1430) - Erik Blom-Dahl, ekspedisjonssjef - Bernt Jansrud, seksjonssjef IKT - Inger Wraamann, kontrolldirektør - Tine Berg Floater, seksjonssjef, dokumentsenter - Andreas Karbøl Hanssen, rådgiver - Bjørn Mobæk, informasjonssikkerhetsleder 2.2 Fra Datatilsynet: - Kim Ellertsen, avdelingsdirektør - Knut B. Kaspersen, fagdirektør - Hallstein Husand, seniorrådgiver 1 av 12
2 3 Generelt Justis- og beredskapsdepartementet har ca. 400 årsverk fordelt på 9 avdelinger. Sivilt operasjonssenter har 24/7 bemanning. Det er 12 underlagte virksomheter til departementet og 8 virksomheter med administrativ tilknytning. Departementet har jobbet mye med sikkerhetsarbeid og sikkerhetskultur de siste årene, og da særlig knyttet opp mot beredskap og håndtering av gradert materiale etter sikkerhetsloven. Departementet mener dette arbeidet også vil gjenspeile seg i de områdene som har med personvernspørsmål å gjøre. Det er også stilt krav til underliggende virksomheter om at de skal ha på plass et styringssystem for informasjonssikkerhet i løpet av Justis- og beredskapsdepartementet behandler en rekke saker som inneholder personopplysninger, også svært sensitive. Dette gjelder bl.a. i saker om soningsoverføring, benådning, testamentsendringer, fri rettshjelp for utlendinger osv. Dette understreker betydningen av god internkontroll og god informasjonssikkerhet etter personopplysningsloven. 4 Oversendelse av dokumentasjon Datatilsynet ba i varselet av 4. februar 2014, med påfølgende e-post av 28. februar 2014 om at departementet oversendte følgende dokumentasjon: a) oversikt over departementets organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. 13 og 14, og forskriften kapittel 2 og 3, c) oversikt over personopplysninger som behandles, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. forskriften 2-4, f) avviksrutiner, jf. forskriften 2-6, g) navn og funksjon på de som deltar fra departementet under kontrollen, dersom dette er avklart. Departementet oversendte dokumenter i brev av 23. april De dokumenter som ble oversendt var i stor grad relatert til arbeidet med å styrke sikkerhets- og beredskapskulturen i departementet. Dessuten var det lagt ved en arkivplan for H-arkiv i departementet, og en policy for informasjonssikkerhet. Datatilsynet ble ikke forelagt noen dokumenterte risikovurderinger knyttet opp mot de behandlinger av personopplysninger som departementet fortar. Rutiner som kan oppfylle pliktene etter 13 og 14 var delvis tatt inn i andre plandokumenter. Det var ikke utferdiget noe egnet eller helhetlig dokument for etterlevelse av personopplysningslovens krav til internkontroll. Loven gir ikke pålegg om at det skal utferdiges noe eget dokument for internkontrollrutiner etter 13 og 14. Det er imidlertid en fordel at rutinene samles så godt som mulig for tilgjengelighetens skyld. En detaljert agenda ble oversendt departementet før kontrollen. 2 av 12
3 5 Kort om kontrollen Under kontrollen ble departementets internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Tilsynet hadde fokus på behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll Generelt om 14 Virksomheten har etter 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i forskriften kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 6.2. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak virksomheten hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til 14 skal den behandlingsansvarlige dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. Departementet kunne ikke fremvise et internkontrollsystem i henhold til personopplysningsloven 14. De dokumenter som hadde relevans for vurderingen opp mot 14 var delvis tatt inn i andre plandokumenter, men da i noe uferdig form. Det vises her bl.a. til arkivplanen. De fremlagte dokumenter viste et fragmentert bilde av kontroll og sikkerhetssystemer som de hadde utarbeidet. Kravet til et dokumentert og systematisk internkontrollsystem var ikke oppfylt. Departementet viser i sin tilbakemelding til at loven ikke stiller krav om at det skal være et særskilt dokument for å tilfredsstille personopplysningsloven. Det er ikke noe krav, men det er et krav til en helhetlig systematikk og dokumentasjon noe det fremlagte ikke oppfylte. Departementet selv viste også til at det som var fremlagt var mangelfullt. Det er et avvik fra 14 at det ikke er etablert et internkontrollsystem som er dokumenteret. Det som er fremlagt har store mangler. 3 av 12
4 6.1.2 Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Forskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i kapittel 6.2. Faktiske forhold Behandlingsansvaret som tilligger departementet v/departementsråden er synliggjort i organisasjonen, og tilstrekkelig dokumentert Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må departementet ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig del av internkontrollen etter 14, og trengs for å sikre at grunnvilkårene i 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av departementets sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved departementets risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av forskriften 2-4. Oversikten over behandlinger må blant annet omfatte behandlingsgrunnlag ( 8 og 9) for den enkelte behandling, samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Det er utferdiget en grovmasket oversikt over personopplysninger som behandles i departementet. Dette er gjort i en matriseform, og opplistingen var grovmasket, og har liten verdi når oversikten bl.a. skal anvendes for å gjennomføre risikovurderinger. Det ble også opplyst på møtet at oversikten var av ny dato, noe som kan indikere at departementet ikke hadde utarbeidet noen slik liste tidligere. En oversikt over hvilke opplysninger som den behandlingsansvarlige håndterer skal være uttømmende for å tilfredsstille lovens krav. Detaljeringsnivået må være av en slik karakter at oversikten viser konkret hvilke opplysninger som behandles eksempelvis som svar på 4 av 12
5 forespørsler fra publikum. Risikovurderingene som skal foretas skal omfatte alle opplysninger og behandlinger og det er derfor en nær sammenheng mellom en slik oversikt og hvilke vurderinger som skal være foretatt. Mangelfull oversikt over hvilke personopplysninger som behandles er et avvik, jf. 14 og 13, jf. forskriften Øvrige plikter etter 14 jf. forskriften 3-1 Behandlingsansvarlige må i henhold til 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt vurdering av personopplysningenes kvalitet etter 27 og 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av internkontrollens gjennomførende del. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for utlegging av postlister og saksdokumenter på Internett Rett til innsyn Det følger av 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Departementet skal etter 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av 18 siste ledd og 23. : Departementet har ikke utferdiget dokumenterte rutiner i forhold til enhvers (borgerens) krav på innsyn etter 18, første ledd eller innsynsretten som den registrerte har etter 18, andre ledd. Arkivplanen inneholder rutiner for innsyn. Det er imidlertid tydelig at man her tenker på hvilke rutiner som skal overholdes ved innsynsbegjæringer etter offentlighetsloven. Det er ikke laget rutiner for innsyn etter 18. Departementet sier i sin kommentarer at personopplysningsloven i seg selv lang på vei vil være tilstrekkelig som rutinebeskrivelse, og at en eventuell rutinebeskrivelse i stor grad vil være en gjentakelse av loven. Kravet er at rutinen skal beskrive hvordan dette løses av den enkelte behandlingsansvarlige, hvem som har ansvaret for at innsyn gis og hvordan det konkret skal løses. Rutinene vil kunne variere i forhold til innsynskrav etter andre bestemmelser eksempelvis offentleglova og forvaltningsloven. Rutinene etter personopplysningsloven skal derfor være spesifikke for å sikre at rett informasjon leveres til rette vedkommende og sikre at reglene etterleves.. 5 av 12
6 Manglede dokumenterte rutiner for ivaretakelse av 18, første og andre ledd er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 bokstav d) Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av 19, andre ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og 28. Det følger av 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Departementet skal etter 3-1, tredje ledd bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd, 20 andre og tredje ledd og 23. Faktiske forhold Det er ikke utferdiget dokumenterte rutiner for ivaretakelse av den registrertes krav på informasjon etter 19 og 20. Datatilsynet ser at informasjonsplikten etter 20 i et departement kan være lite anvendbar, gitt at det i hovedsak behandles personopplysninger i henhold til lovhjemler. Det er imidlertid likevel viktig å skille mellom de behandlinger det er knyttet informasjonsplikt til, og hvilke det ikke er knyttet informasjonsplikt til. Manglede dokumenterte rutiner for ivaretakelse av 19 og 20 er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1, tredje ledd bokstav d) Retting og sletting I henhold til 11 bokstav e), jf. 27 og 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. Personopplysningsloven 11 bokstav e) krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene 6 av 12
7 ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side 114. Departementet er pliktig å ha rutiner for ivareta personopplysningenes kvalitet, jf. 28. Se forskriften 3-1, tredje ledd bokstav c). Departementet har utferdiget en rutine for å ivareta den registrertes rettigheter etter bestemmelsene om retting og sletting i arkivplanen. Dette er rutiner som følger arkivlovens bestemmelser om kassasjon. Forholdet til arkivverket og kassasjonsbestemmelser er i denne sammenheng ikke tilstrekkelig for å anse rutinen for tilfredsstillende. I tillegg må det utferdiges rutiner for retting/sletting etter personopplysningslovens bestemmelser. Manglede rutiner for ivaretakelse av 27 og 28 er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 bokstav c) Melde- og konsesjonsplikten I henhold til 33 kreves det konsesjon for å behandle sensitive personopplysninger. Etter 33 femte ledd gjelder ikke konsesjonsplikten behandling av personopplysninger i organ for stat eller kommune. Hvis behandlingen av personopplysninger er unntatt konsesjonsplikten etter 33 gjelder hovedregel i 31 om meldeplikt. Personopplysningslovens forskrifter kapittel 7 har flere unntak fra konsesjonsplikten og/eller meldeplikten. Det er ikke utferdiget dokumenterte rutiner for ivaretakelse av melde- og konsesjonsplikten etter Dette kan løses enkelt ved at hvorvidt en behandling er konsesjons eller meldepliktig tas inn i oversikten over behandlinger. At det ikke er utferdiget dokumenterte rutiner for ivaretakelse av melde- og konsesjonsplikten etter er et avvik etter 14, jf. forskriften 3-1, tredje ledd bokstav f). 6.2 Krav om informasjonssikkerhet I henhold til 13 skal departementet gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i forskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, og veiledningsmateriale som ble overrakt under kontrollen Sikkerhetsledelse 7 av 12
8 I henhold til forskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om det er hensiktsmessig for den behandlingsansvarliges behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet hos den behandlingsansvarlige. Forskriften 2-7 stiller blant annet krav om at den behandlingsansvarlige skal etablere en sikkerhetsorganisasjon. Sikkerhetsmål og sikkerhetsstrategi Departementets sikkerhetsmål er dokumentert i dokumentet «Policy for Informasjonssikkerhetsarbeidet», mens departementets sikkerhetsstrategi ikke kommer like tydelig fram. Departementet gir inntrykk av å ha klare sikkerhetsmål, og det er utviklet en rekke prinsipper for informasjonssikkerhetsarbeidet. Selv om det ikke går helt klart fram at dette er departementets strategi har vi valgt å legge til grunn dette som strategien som sier noe om hvordan man ønsker å arbeide for å nå sine sikkerhetsmål. Sikkerhetsorganisasjon Ansvar og roller for sikkerhetsledelse og beskrivelse av sikkerhetsorganisasjon er tydelig beskrevet og dokumentert Risikovurdering I henhold til forskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynlighet for, og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenliknes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Departementet mangler risikovurdering knyttet til de behandlingene av personopplysninger som finner sted. 8 av 12
9 Departementet viser i sitt tilsvar til at de har gjennomført risikovurderinger og at dette kommer til syne indirekte gjennom de rutiner som finnes i arkivplan og andre dokumenter. Datatilsynet opprettholder konklusjonen at departementet ikke har gjennomført risikovurdering i henhold til personopplysningsloven. Kravet er at den skal omfatte all behandling av personopplysninger etter personopplysningsloven i tillegg til andre regler om håndtering av personopplysninger. Det vil for eksempel kunne være forskjellige akseptkriterier etter ulike regelverk, noe som skal vurderes i slike risikovurderinger. Som nevnt over er det vanskelig å vurdere om risikovurderingen er foretatt og om den inneholder tilstrekkelige vurderinger når den ikke er dokumentert. Vi viser også til at oversikten over hvilke personopplysninger som behandles var for lite detaljert til å være et godt grunnlag for risikovurderinger i henhold til loven. Det er imidlertid positivt at de rutinene som er fremlagt inneholder beskrivelser som ivaretar personvernet, men de oppfyller som nevnt ikke kravet til dokumentasjon etter forskriftens 2-4. Manglende risikovurdering etter personopplysningsloven er et avvik i henhold til forskriften 2-4. Departementet må sørge for å utarbeide en risikovurdering basert på de behandlingene av personopplysninger som utføres. Risikovurdering må være forankret i ledelsen og ha et definert nivå for akseptabelt risiko Sikkerhetsrevisjon Departementet plikter i henhold til forskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i departementet. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. forskriften 2-3. Faktiske forhold Departementet har rutiner for sikkerhetsrevisjon, som er beskrevet i dokumentet «Policy for informasjonssikkerhet» Avvikshåndtering Det følger av forskriften 2-6 at departementet skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter forskriften 2-8, andre ledd skal 9 av 12
10 medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i departementet. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. Departementet har ikke dokumenterte rutiner for avvikshåndtering etter personopplysningsloven- og forskriften, men departementet har rutiner for dette innenfor når det gjelder gradert informasjon. Det kan ikke umiddelbart legges til grunn at de rutiner som er på plass for gradert informasjon er direkte overførbare til avvikshåndtering etter personopplysningsloven. At det ikke er utarbeidet og dokumentert rutiner for avviksbehandling etter personopplysningsloven er et avvik i henhold til forskriften 2-6. Departementet må etablere avviksrutiner som en del av internkontrollen Sikkerhetstiltak Lovens 13 jf. forskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Forskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8, tredje ledd og 2-14 annet ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Departementet har en sone-modell, som omfatter bl.a. egne soner for gradert informasjon og egne soner for sensitive opplysninger. Det er ikke mulig å hente ut informasjon fra sikker sone med klipp og lim eller ved filoverføring. Dette gjelder både til e-post og til eksterne lagringsmedier som f.eks. minnepenn. Det er åpnet for hjemmekontorløsning, denne løsningen er basert på terminalserver og to-faktor autentisering. Det er også åpnet for bruk av Exchange for e-post, kontakter og kalender på mobil. Alle departementets PCer har krypterte disker og det er kun program som er installert på PC sentralt som kan kjøres. Det er verken mulig eller anledning til å installere programmer selv på utstyr som tilhører departementet. Det er ikke innført «Follow me print». Brukerne kan velge å bruke kode og benytte samme prinsipp som «Folllow me», ved utskrift av sensitivt materiale. Det er innført en rutine for å fjerne harddisker ved utskifting av alle typer utstyr, også skrivere og kopimaskiner. 10 av 12
11 Mangelen på dokumentert risikovurdering gjør det vanskeligere å vurdere sikkerheten, men opplysninger gitt under kontrollen tilsier at løsningene har blitt vurdert underveis Opplæring I henhold til forskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i departementet, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Departementet har gode rutiner for opplæring av alle nytilsatte og for øvrige personale. I henhold til «Sluttrapport for endringsprogrammet» er det utferdiget en rekke brosjyrer, utviklet kurs, gjennomført obligatorisk opplæring og informert via intranett. Det er noen svakheter som vi har påpekt i de dokumentene som er fremlagt og som en konsekvens av det vil føre til mangler ved opplæring og implementering. Men totalt sett når det gjelder opplæring velger vi ikke å konstatere avvik. 6.3 Databehandlere En databehandler er i lovens 2 nr. 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av departementet må det inngås en skriftlig databehandleravtale med departementet, jf. 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. 13. Databehandler har i tillegg et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger slik det er avtalt med departementet. Departementet har egen databehandleravtale med Utlendingsdirektoratet. Utover dette benytter departementet de løsninger som tilbys gjennom departementssamarbeidet i DSS. De avtaler som finnes i regi av DSS ble ikke kontrollert i forbindelse med denne kontrollen. 11 av 12
12 12 av 12
Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerKontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler
Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerEndelig kontrollrapport
Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand
DetaljerKontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg
Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerKontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal
Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger
Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen
DetaljerEndelig kontrollrapport
Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig
DetaljerKontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik
Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand
DetaljerKontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten
Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger
Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerKontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby
Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet
DetaljerEndelig Kontrollrapport
Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning
DetaljerEndelig kontrollrapport
Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi
DetaljerKontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer
Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre
Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte
DetaljerKontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund
Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord
Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning
DetaljerEndelig kontrollrapport
Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerKontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø
Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen
DetaljerVedtak om pålegg - Endelig kontrollrapport for Bindal kommune
Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport
DetaljerForeløpig kontrollrapport
Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand
DetaljerVedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet
Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund
DetaljerEndelig kontrollrapport
Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig
DetaljerVedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet
Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy
DetaljerVedtak om pålegg - Endelig kontrollrapport for Vega kommune
Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune
DetaljerEndelig kontrollrapport
Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning
DetaljerVedtak om pålegg - Endelig kontrollrapport for Sømna kommune
Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises
DetaljerEndelig kontrollrapport
Saksnummer: 12/00319 Dato for kontroll: 02.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Sosialistisk Venstreparti Sted: Akersgata 35, Oslo Utarbeidet av: Knut-Bredee Kaspersen
DetaljerEndelig kontrollrapport
Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1
DetaljerKontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal
Saksnummer: 16/00326 Dato for kontroll: 10.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen
DetaljerDet vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.
Brønnøy kommune Rådmannen Rådhuset 8905 BRØNNØYSUND Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00452-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport - Brønnøy kommune
DetaljerEndelig kontrollrapport
Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut
DetaljerEndelig kontrollrapport
Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerEndelig kontrollrapport
Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerEndelig kontrollrapport
Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerVedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet
Fiskeridirektoratet Postboks 185 Sentrum 5804 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) 11/7937 13/00201-8/HHU 26. juni 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet
DetaljerEndelig kontrollrapport
Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike
DetaljerEndelig kontrollrapport
Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut
DetaljerEndelig kontrollrapport
Saksnummer: 12/00320 Dato for kontroll: 05.06.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Høyre Utarbeidet av: Knut-Bredee Kaspersen Sted: Oslo 1 Innledning Datatilsynet gjennomførte
DetaljerVedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet
Direktoratet for naturforvaltning Postboks 5672 Sluppen 7485 TRONDHEIM Deres referanse 2012/15619 org-itev Vår referanse (bes oppgitt ved svar) Dato 12/01045-8/KBK 18. februar 2013 Vedtak om pålegg - Endelig
DetaljerVedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet
Utdanningsdirektoratet Postboks 2924 Tøyen 0608 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2012/6050 12/00973-10/KBK 27. februar 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for
DetaljerDatatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.
Fjell kommune Postboks 184 5342 STRAUME Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01137-9/RTH 27. februar 2012 Avslutning av sak - kontroll hos Fjell kommune- Internkontroll og informasjonssikkerhet
DetaljerVedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet
Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/30431 12/01044-8/MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport
DetaljerVedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet
Statens Havarikommisjon for Transport Postboks 213 2001 LILLESTRØM Deres referanse Vår referanse (bes oppgitt ved svar) 12/611-6 12/01022-8/HHU 28. februar 2013 Dato Vedtak om pålegg Endelig kontrollrapport
DetaljerEndelig kontrollrapport
Saksnummer: 12/00176 Dato for kontroll: 27.03.2012 Rapportdato: 05.09.2012 Endelig kontrollrapport Kontrollobjekt: Kåfjord kommune Sted: Kåfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerKontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss
Saksnummer: 13/00933 Dato for kontroll: 15.10.2013 Foreløpig rapport: 19.12.2013 Endelig rapport: 07.07.2014 Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av:
DetaljerEndelig kontrollrapport
Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:
DetaljerEndelig kontrollrapport
Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet
DetaljerEndelig kontrollrapport
Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerEndelig kontrollrapport
Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset
DetaljerEndelig kontrollrapport
Saksnummer: 13/00934 Dato for kontroll: 25.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 Endelig kontrollrapport Kontrollobjekt: Oslo kommune Sted: Bygdøy skole Utarbeidet av: Martha
DetaljerForeløpig kontrollrapport
Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:
Detaljer14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet
Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerVedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet
Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen
DetaljerVedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet
Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse Dato 14/7350-AHA 14/00130-7/HHU 30.04.2015 Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet
DetaljerDatatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.
Avslutning av sak - kontroll hos kommune - Internkontroll og informasjonssikkerhet Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av
DetaljerForeløpig kontrollrapport
Saksnummer: 14/00139 Dato for kontroll: 18.03.2014 Foreløpig rapport: 22.04.2014 Endelig rapport: 14.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Kongsberg kommune, Skrim ungdomsskole Sted: Kongsberg
DetaljerEndelig kontrollrapport
Saksnummer: 14/00118 Dato for kontroll: 6.3.2014 Foreløpig rapport: 29.4.2014 Endelig rapport: 8.8.2014 Endelig kontrollrapport Kontrollobjekt: Bjerkås barnehage Sted: Vollen, Asker Utarbeidet av: Martha
DetaljerEndelig kontrollrapport
Saksnummer: 13/00933 Dato for kontroll: 30.10.2013 Foreløpig rapport: 20.12.2013 Endelig rapport: 07.08.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Oslo kommune, Foss videregående skole Sted:
DetaljerVedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet
Utlendingsnemnda Postboks 8175 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00685-8 12/00994-9/MEP 19. februar 2013 Dato Vedtak om pålegg - endelig kontrollrapport - Kontroll hos
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014
Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerForeløpig kontrollrapport
Saksnummer: 14/00138 Dato for kontroll: 14.03.2014 Foreløpig rapport: 11.04.14 Endelig rapport: 15.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Hamar kommune, Ajer ungdomsskole Sted: Hamar Utarbeidet
DetaljerPersonvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet
Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens
DetaljerForeløpig kontrollrapport
Saksnummer: 14/00119 Dato for kontroll: 24.02.2014 Foreløpig rapport: 11.04.2014 Endelig rapport: 07.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Norlandiabarnehagene, Myrertoppen barnehage Sted:
DetaljerVedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet
Vardø kommune Postboks 292 9951 VARDØ Deres referanse Vår referanse Dato 08/11 14/00490-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet Den 27.
DetaljerVIRKE. 12. mars 2015
VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter
DetaljerForeløpig kontrollrapport
Saksnummer: 13/00939 Dato for kontroll: 05.11.2013 Foreløpig rapport: 26.02.2014 Endelig rapport: 11.07.2014 Foreløpig kontrollrapport Kontrollobjekt: Elverum kommune, Elverum ungdomsskole Sted: Elverum
DetaljerHvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015
Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets
DetaljerSpesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum
Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerEndelig kontrollrapport
Saksnummer: 14/00259 Dato for kontroll: 08.04.2014 Rapportdato: 28.07.2014 Endelig kontrollrapport Kontrollobjekt: Sogn og Fjordane fylkeskommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede
DetaljerEndelig kontrollrapport
Saksnummer: 12/00754 Dato for kontroll: 08.10.2012 Rapportdato: 08.04.2013 Endelig kontrollrapport Kontrollobjekt: Toll- og avgiftsdirektoratet Sted: Oslo Utarbeidet av: Atle Årnes Cecilie Rønnevik 1 Innledning
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerEndelig kontrollrapport
Saksnummer: 14/00122 Dato for kontroll: 7.3.2014 Foreløpig rapport: 16.5.2014 Endelig rapport: 12.8.2014 Endelig kontrollrapport Kontrollobjekt: Espira Gruppen AS Sted: Blåveisbakken barnehage Utarbeidet
DetaljerKan du legge personopplysninger i skyen?
Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,
DetaljerDatatilsynet viser til gjennomført kontroll hos kommunen den 30. april 2009 og til varsel om vedtak gitt i vårt brev av 25. mai 2009.
Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/00172-7 /RTH 30. juni 2009 Vedtak om pålegg - endelig kontrollrapport for kommune Datatilsynet viser til gjennomført kontroll hos kommunen den
DetaljerAvslutning av sak og endelig kontrollrapport - Kontroll hos Blålys
Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerKonkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale
Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerDet vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009.
Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/42637 09/00173-7 /RTH 11. september 2009 Vedtak om pålegg - endelig kontrollrapport fra kommune Det vises til Datatilsynets kontroll hos kommunen
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
Detaljer«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg
«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg GDPR 20. juli 2018 ble «GDPR», også omtalt som EUs personvernforordning en del av den norske personopplysningsloven. GDPR viktige endringer: De registrerte
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerVedtak om pålegg - oversendelse av endelig kontrollrapport for kommune
Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/858/09/5428 09/00171-8 /ABE 30. juni 2009 Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune Det vises til Datatilsynets
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerVedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet
Flekkefjord kommune Kirkegaten 50 4400 FLEKKEFJORD Deres referanse Vår referanse Dato 15/3356 14/00404-9/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerSaksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 13/09/2017 SAK NR 23-2017 Behandling av personopplysninger - oppfølging av styresak 05-2017 Forslag til vedtak: 1. Styret tar redegjørelsen
DetaljerStyringssystem i et rettslig perspektiv
Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet
DetaljerSporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.
Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver
DetaljerVår referanse (bes oppgitt ved svar)
Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
Detaljer