Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Like dokumenter
ekommune 2017 Prosessplan for god praksis om personvern

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Internkontroll og informasjonssikkerhet lover og standarder

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Bakgrunn. EU har vedtatt ny personvernforordning

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

Prosedyre for personvern

Status personvern Hedmark og Oppland fylkeskommuner

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

GDPR-status fra en kommune

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Rapport informasjonssikkerhet Helgelandssykehuset 2015

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Personvern - sjekkliste for databehandleravtale

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Endelig kontrollrapport

Kommunens Internkontroll

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Endelig kontrollrapport

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

KF Brukerkonferanse 2013

Databehandleravtale for NLF-medlemmer

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Personvern i skolen. Skolelederkonferansen 24. oktober Leder forretningsjuridisk/ advokat Hege Stensland Sveen

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Big data i offentlig sektor og personvern

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Endelig kontrollrapport

Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Endelig Kontrollrapport

Sikkerhet og personvern i skole og klasserom

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Bedre personvern i skole og barnehage

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Informasjon interesseorganisasjoner

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Endelig kontrollrapport

Endelig kontrollrapport

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Noen utvalgte faktaark og veiledere. Åpent kurs 15. mars 2018

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Noen utvalgte faktaark og veiledere. Åpent kurs

Databehandleravtale. Digitale løsninger og GDPR (General Data Protection Regulation)

GDPR - Personvern

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Personvernerklæring for Vesterålsprodukter AS

Personvern i praksis, GDPR personvernforordningen erfaringer

Personvern-rett H2016

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Underbygger lovverket kravene til en digital offentlighet

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Kan du legge personopplysninger i skyen?

Personvernforordningen en praktisk tilnærming

BEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Endelig kontrollrapport

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

PERSONVERN OG DELING FRA KVALITETSREGISTRE

Diabetesforbundet. Personvernerklæring

Personvern anno Er det fritt fram for bruk av personopplysninger til testing?

EUs nye forordning for personvern

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

GDPR- hva betyr dette for NTNU

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Styresak Orienteringssak - Informasjonssikkerhet

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Ny personvernforordning trer i kraft i mai 2018

Transkript:

Personalledernettverket Trøndelag Ørland 22.-23.8. 2018 Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

En enkel prosessplan (nov 2017)

Enkelhet, helhetlig og synergier: Avgrense til det som er nødvendig enkelhet Integrert i ordinært styringssystem (felles verktøy og rutiner internkontroll - avvikssystem og ROS) - helhetlig Bidrar til digitalisering og kvalitetsutvikling - synergier

System / systematikk

Digitaliseringsstrategi for Overhalla Kommune 2018-2021 - Vi utvikler framtidas attraktive lokalsamfunn med digital nyskaping

En av 6 hovedstrategier i utkastet til digitaliseringsstrategi: 5. Vi har høy bevissthet om informasjonssikkerhet og personvern i arbeidet med digital nyskaping..kommunens internkontroll innen informasjonssikkerhet blir ikke bedre enn medarbeidernes bevissthet, forståelse og kompetanse om risiko/sårbarhet og praktiseringen av våre rutiner på området.

2018 2019 2020 2021 Handlingsprogram for digital nyskaping 2018-2021 Område: Tiltak: Når: Oppfølging: 5. Vi har høy bevissthet om informasjonssikkerhet og personvern i arbeidet med digital nyskaping. 1. Kontinuerlig utvikling av vår internkontroll innen informasjonssikkerhet og personvern. 2. Kontinuerlig bevisstgjøring og opplæring av ledere og medarbeidere i informasjonssikkerhet og personvern. X X X X X X X X

5 Utforme internkontrollsystem / informasjonssikkerhetstiltak / rutiner Januar mai 18

Sikkerhetsmål, Sikkerhetsstrategi og Sikkerhetsorganisasjon Oversikter over behandling av personopplysninger(protokoller art. 30) Personvernerklæring

tine for Innhenting og kontroll av samtykke tine for Innsyn i ansattes epost, filområder tine for Innsyn, retting, supplering mv tine for Oppfyllelse av plikt til informasjon tine for Publisering el. deling av bilder/film/ video tine for Sletting av personopplysninger tine for Dataportabilitet tine for Sikring av kvalitet av personopplysninger tine for Utlevering av personopplysninger til andre tine for Iverksettelse eller opphør av behandling personopplysninger -Sikkerhetsinstruks for ansatte -Sikkerhetsinstruks for ledere -Konfigurasjon og sikkerhetsarkitektur -Autorisasjon og tilgangsstyring -Rutine for Logging -Rutine for Sikkerhetskopiering -Rutine for Skytjenester -Rutine for Trådløs teknologi -Rutine for Hjemmekontor -Rutine for Lagringsmedier inkl. mobilt/bærbar -Rutine for Databehandleravtaler -Rutine for Innebygd personvern -Rutine for Personvernombud -Rutine Beredskapsplan / nødprosedyrer -Sikring mot Ondsinnet programvare

- Rutine for Avvikshåndtering - Prosedyre for Risikovurdering - Prosedyre for Intern revisjon og Ledelsens gjennomgang

Avvikssystem

Verktøy ROS vurdering

Intern revisjon og Ledelsens gjennomgang Jf. Prosedyre for Intern revisjon og Ledelsens gjennomgang bl.a.: 1. Revisjon gjennomføres hvert år innen utgangen av september. 2. Rådmannen sørger for revisjonsprogram, revisjonsteam og igangsetting 3. Enkel revisjonsrapport til rådmannen innen 1.10. Revisjonsprogram 2018-2020 År Revisjonsteam Utvalgte områder for revisjon 2018 Personvernombudet, IT-sjefen, Personalsjefen 2019 Team fastsettes i 2019 2020 Team fastsettes i 2019 1. Avvik og avvikshåndtering (har kommunen et levende avvikssystem?) 2. Krav til behandlingsoversikt / protokoller (jf. artikkel 30) 3. Krav til databehandleravtaler (jf. artikkel 28). Er nødvendige databehandleravtaler på plass? 4. Lagring og forsendelse av sensitive personopplysninger 1. Risikovurderinger og verktøy for dette (blir det gjort risikovurderinger, hvordan blir de fulgt opp, hvordan fungerer verktøyet?) 2. Foreligger tilstrekkelig IT-beredskapsplan og nødprosedyrer og blir det gjennomført øvelser/ tester 1. Blir relevante prosedyrer / rutiner / planer etterlevet i praksis?

Utvalgte områder for revisjon 1. Avvik og avvikshåndtering (har kommunen et levende avvikssystem?) 2. Krav til behandlingsoversikt / protokoller (jf. artikkel 30) 3. Krav til databehandleravtaler (jf. artikkel 28). Er nødvendige databehandleravtaler på plass? Rapport fra Intern revisjon Observasjoner/ konklusjoner Nesten alle enheter (2 unntak) har tatt avviksmodulen i bruk og melder avvik (se vedlagt statistikk). Avvik: Nåværende behandlingsoversikter fyller ikke nye krav (artikkel 30). Anbefaling: Datatilsynets mal /regneark brukes som verktøy Avvik: Det mangler samlet oversikt over databehandleravtaler. Anbefaling: Alle databehandleravtaler samles i egen mappe i Ephorte. (Endelig kontroll foretas når oversikt over behandlinger er oppdatert) Avvik: Det har forekommet tilfeller av at sensitive opplysninger er 4. Lagring og forsendelse av sendt pr. e-post sensitive Anbefaling: Det utredes og iverksettes gode alternativer for å personopplysninger formidle/ sende dokumenter med sensitive opplysninger.

Implementering av rutiner mv opplæring og bevisstgjøring

tine for Innhenting og kontroll av samtykke tine for Innsyn i ansattes epost, filområder tine for Innsyn, retting, supplering mv tine for Oppfyllelse av plikt til informasjon tine for Publisering el. deling av bilder/film/ video tine for Sletting av personopplysninger tine for Dataportabilitet tine for Sikring av kvalitet av personopplysninger tine for Utlevering av personopplysninger til andre tine for Iverksettelse eller opphør av behandling personopplysninger -Sikkerhetsinstruks for ansatte -Sikkerhetsinstruks for ledere -Konfigurasjon og sikkerhetsarkitektur -Autorisasjon og tilgangsstyring -Rutine for Logging -Rutine for Sikkerhetskopiering -Rutine for Skytjenester -Rutine for Trådløs teknologi -Rutine for Hjemmekontor -Rutine for Lagringsmedier inkl. mobilt/bærbar -Rutine for Databehandleravtaler -Rutine for Innebygd personvern -Rutine for Personvernombud -Rutine Beredskapsplan / nødprosedyrer -Sikring mot Ondsinnet programvare

tine for Innhenting og kontroll av samtykke tine for Innsyn i ansattes epost, filområder tine for Innsyn, retting, supplering mv tine for Oppfyllelse av plikt til informasjon tine for Publisering el. deling av bilder/film/ video tine for Sletting av personopplysninger tine for Dataportabilitet tine for Sikring av kvalitet av personopplysninger tine for Utlevering av personopplysninger til andre tine for Iverksettelse eller opphør av behandling personopplysninger -Sikkerhetsinstruks for ansatte -Sikkerhetsinstruks for ledere -Konfigurasjon og sikkerhetsarkitektur -Autorisasjon og tilgangsstyring -Rutine for Logging -Rutine for Sikkerhetskopiering -Rutine for Skytjenester -Rutine for Trådløs teknologi -Rutine for Hjemmekontor -Rutine for Lagringsmedier inkl. mobilt/bærbar -Rutine for Databehandleravtaler -Rutine for Innebygd personvern -Rutine for Personvernombud -Rutine Beredskapsplan / nødprosedyrer -Sikring mot Ondsinnet programvare

Rutine for sletting av personopplysninger Formålet med denne rutinen er å sikre at personopplysninger slettes når det ikke lenger er grunnlag for å oppbevare dem. 1. Hovedregelen er at personopplysninger skal slettes når formålet med registreringen er oppnådd. Jf. tabell Milepæler el. Hvem / ansvarlig Når Hva/ merknad Periodisk gjennomgang / vurdering Rektorer og styrere Ved oppstart nytt barnehage- /skoleår Gjelder opplysninger som ikke skal bevares etter riksarkivarens forskrift 7-28 eller ikke omfattes av merbevaring etter 7-23. F.eks. skal bilder av barn/elever som det ikke lenger er grunnlag for å oppbevare, slettes.

Introduksjonsvideo Personvern - Internkontrollsystem

Personvern er et LEDERANSVAR

Asle Lydersen Personalsjef i Overhalla kommune Asle.lydersen@overhalla.kommune.no Tlf. 97758259

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding