RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

Like dokumenter
Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale etter personopplysningsloven

Bilag 14 Databehandleravtale

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Databehandleravtale etter personopplysningsloven

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtaler

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Databehandleravtale digitale arkiv og uttrekk for deponering

Databehandleravtale etter personopplysningsloven

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

BILAG 1 DATABEHANDLERAVTALE

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Forvaltningssystem for skatteinnkreving (Sofie) Kontrollstøttesystem(Koss) Løsning for dokumenthåndtering (F-Dok) Avtale mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Registrerte og personopplysninger som behandles

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale etter personopplysningsloven

Databehandleravtale for NLF-medlemmer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Helseforskningsrett med fokus på personvern

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

GDPR - Personvern

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Personopplysninger og opplæring i kriminalomsorgen

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale. Denne avtalen er inngått mellom

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Personvernerklæring. Nettbasert behandling av personopplysninger

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Felles studentsystem leverer elektronisk studentopplysninger til følgende interne systemer: Lånekort til Universitetsbiblioteket

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Personvern og informasjonssikkerhet

Plan for informasjonssikkerhet Bjugn kommune

Personvernerklæring. Nettbasert behandling av personopplysninger

Databehafiileravtale ' ---

Databehandleravtale etter personopplysningsloven m.m

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Denne personvernerklæringen gjelder for alle produkter og tjenester levert av Sima AS.

Databehandleravtale etter personopplysningsloven

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)

Prosedyre for personvern

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Databehandleravtale. Etter den nye personvernloven og EUs personvernforordning (GDPR) av 25. mai mellom. Arrangøren Behandlingsansvarlig

Personvernerklæring. Nordix Data AS Gjeldende fra

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Personvernerklæring. Nettbasert behandling av personopplysninger

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

Transkript:

Rutine for informasjonssikkerhet for personopplysninger i BRIS RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS Innhold 1. Innledning 2 2. Formålet med BRIS 2 3. Personopplysninger i BRIS 3 4. Roller 4 5. Rutiner for informasjonssikkerhet for personopplysninger 4 5.1 Krav til konfidensialitet 5 5.2 Krav til integritet 5 5.3 Krav til tilgjengelighet 6 6. Avviksmelding 6 7. Generelt om utlevering av opplysninger fra BRIS til andre 7 1

1. Innledning Denne rutinen skal sikre at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, i henhold til krav i personopplysningsloven med forskrift. Rutinen omhandler også utlevering av alle opplysninger i BRIS, ikke bare personopplysninger. Personopplysninger er opplysninger og vurderinger som kan knyttes til en enkeltperson. Det vil si at kun et fåtall av opplysningene i BRIS omfattes av denne rutinen. Hvilke opplysninger som er personopplysninger i BRIS er listet nedenfor. Gjennom behandlingen av personopplysninger får DSB, brann- og redningsvesenene og 110-sentralene plikter som "behandlingsansvarlige" for personopplysninger i BRIS, jf. personopplysningsloven (pol.) 2 nr. 4. "Behandling" av personopplysninger inkluderer innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse. 2. Formålet med BRIS Personopplysninger kan blant annet behandles dersom det foreligger hjemmel i lov. Brann- og eksplosjonsvernloven 10 tredje ledd hjemler adgangen til å behandle personopplysninger innenfor formålet med BRIS. Personopplysninger i BRIS skal kun behandles i henhold til formålet med BRIS, og heller ikke brukes til senere formål som er uforenelig med dette formålet, uten at den registrerte samtykker 1 : BRIS skal gi brann- og redningsvesenene i Norge et bedre grunnlag for å drive effektivt brannforebyggende arbeid, og for å utvikle egen virksomhet. BRIS skal gi lokale og nasjonale beslutningstakere nødvendig informasjon for videre utvikling av kommunenes brann- og redningstjenester i fremtiden. Personopplysninger i BRIS om restverdiredning (RVR), videresendes Finans Norge. Formålet med å behandle disse opplysninger er at dette er brann- og redningsvesenets fakturagrunnlag for å få betalt for restverdiredning av Finans Norge. Personopplysninger i BRIS om akutt forurensing, videresendes til Kystverket. Kystverket er statlig forurensningsmyndighet hva gjelder akutt forurensning, og har ansvaret for å koordinere statlig, kommunal og privat beredskap i et nasjonalt beredskapssystem. Kystverket har etablert en beredskapsvaktordning for å ivareta beredskap mot akutt forurensning. Det finnes i tillegg en varslingsforskrift knyttet til akutt forurensning eller fare for akutt forurensning som beskriver varslingsrutinene. Denne sammen med varslingsinstruksen til brannvesenet / 110-sentralene danner grunnlaget for varslingssystemet ved akutt forurensning. For å ivareta og kunne håndtere Kystverkets myndighetsområde på en god måte, er det nødvendig for Kystverket å kunne komme i rask kontakt med både varslingsperson og ansvarlig forurenser. Dette gjelder for eksempel dersom det er nødvendig med ytterligere informasjon om hendelse, utstedelse av pålegg for iverksettelse av tiltak, krav om 1 Jf. pol. 11. 2

refusjon dersom staten iverksetter tiltak med andre ord er det for Kystverket nødvendig å komme i kontakt med de som har kunnskap om hendelsen, og de som har forårsaket hendelsen. 3. Personopplysninger i BRIS Alle personopplysninger som til enhver tid behandles i BRIS, omfattes av personopplysningsloven med forskrift og denne rutinen. Per 1. september 2016 gjelder dette følgende personopplysninger: Brukerne av BRIS Fødselsnummer Navn E-postadresse Mobilnummer Opplysninger fra 110-sentralene Operatør-id (kun i rapporter) Oppdragsrapportering Hendelsesstedets adresse fra oppdragshåndteringsverktøyet på 110-sentralene Innmelders navn og telefonnummer (fra Vision), er kun unntaksvis fylt ut (vises kun i 110-fullrapport) Ansvarlig forurenser (organisasjon, kontaktperson, e-post-adresse, telefonnummer) Varslingsperson for akutt forurensing (organisasjon, kontaktperson, e-post-adresse, telefonnummer) Navn på transportør ved uhell som involverer farlig gods (foretak, men kan være enkeltmannsforetak) Fra matrikkelen o Bygningens bygningsnummer o Bruksenhetsnummer o Navn på eier av bygget Fra Brønnøysundregisteret o Navn på virksomheten det startet å brenne i (kan knyttes til enkeltperson hvis navn på selskapet er knyttet til navn på person) o Bedriftsnummer på virksomheten det startet å brenne i Restverdiredning (opplysninger sendes fra brannvesenet til Finans Norge) Navn på utrykningsleder Skadestedets adresse Navn, adresse og telefonnummer til forsikringstaker Kontaktperson i forsikringsselskap Navn fagleder RVR Formålet med behandlingen av personopplysningene: om brukerne i BRIS og opplysninger fra 110-sentralene er å ivareta hensynet til konfidensialitet og datakvalitet. om hendelsesstedets adresse, matrikkel- og Brønnøysundregisteropplysninger er å til bidra til utførelsen av brannforebyggende arbeid og beredskapsarbeid på lokalt nivå. om forurensning er at Kystverket skal kunne ivareta og håndtere Kystverkets myndighetsområde på en god måte, og det er da nødvendig for dem å kunne komme i rask kontakt med både varslingsperson og ansvarlig forurenser. om navn på transportør ved farlig gods uhell er at DSB skal kunne ivareta og håndtere dette myndighetsområde. knyttet til restverdiredning er å sikre at fakturering til Finans Norge blir korrekt i forbindelse med avtalt berging av verdier. 3

4. Roller DSB og brann- og redningsvesenet er begge behandlingsansvarlige 2 for personopplysninger i BRIS. De behandlingsansvarlige er ansvarlige for at personopplysningsloven og personopplysningsforskriften følges. DSB, brann- og redningsvesenet og 110-sentralen behandler flere av de samme opplysningene på ulike måter og nivåer. Noen plikter som behandlingsansvarlig er felles, mens noen plikter er forskjellige som følge av ulike roller i BRIS. Rollefordelingen under skal bidra til en tydeliggjøring av ansvar. Brann- og redningsvesenene Registrerer informasjon om oppdraget Godkjenner oppdraget Sammenstiller og analyserer informasjon om egne oppdrag innenfor formålet til BRIS Registrerer og gir tilgang til brukere i eget brann- og redningsvesen og andre brann- og redningsvesen dersom dette er avtalt. 110-sentralene Registrerer informasjon om oppdraget i 110-sentralens oppdragshåndteringsverktøy Sammenstiller og analyserer informasjon om egne oppdrag (informasjon fra 110-sentralen om alle oppdrag i eget distrikt) innenfor formålet med BRIS Kan ha roller som lokal administrator eller "brukerstøtte" for brannvesen i eget distrikt, hvis dette er avtalt lokalt. DSB Melding til Datatilsynet om registeret Registrerer og gir tilgang til lokale administratorer av løsningen Vedlikeholder spørreskjema og den tekniske løsningen Lagrer data Ansvarlig for "teknisk sikkerhet" Brukerstøtte Sammenstiller og analyserer informasjon om alle oppdrag innenfor formålet med BRIS. 5. Rutiner for informasjonssikkerhet for personopplysninger Det fremkommer av personopplysningslovens 13 at det stilles krav om tilfredsstillende informasjonssikkerhet: Den behandlingsansvarlige og databehandleren 3 skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. 2 Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som brukes, jf. POL 2 nr. 4. 3 Databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige, jf. POL 2 nr. 5. 4

5.1 Krav til konfidensialitet Konfidensialitet innebærer å sikre at personopplysninger bare er tilgjengelig for de som skal ha tilgang, dvs uvedkommende ikke skal få tilgang til dem. Konfidensialiteten i BRIS sikres på ulike måter: Rollene i BRIS styrer hvilke data den enkelte har tilgang til. Brann- og redningsvesenet har tilgang til info om oppdrag fra 110-sentralen i eget ansvarsområde og oppdrag eget brannvesen har vært utalarmert til. 110 har tilgang til informasjon fra 110-sentralen om alle oppdrag i eget 110-distrikt. DSB har tilgang til all registrert informasjon om alle oppdrag. DSB oppretter og administrerer de lokale administratorene, som styrer roller og tilganger i eget brannvesen. Det enkelte brann- og redningsvesen og 110-sentral er ansvarlig for at kun brukere ansatt i brann- og redningsvesenet/ 110-sentralen har tilgang til BRIS. Det er personlig brukernavn og valgt passord i BRIS. Det er egne krav til passord. Oppdrag i BRIS kan kun komme fra 110-sentralen, ikke opprettes manuelt i BRIS.. Krav til konfidensialitet DSB Brann- og redningsvesenet/110 Den enkelte bruker (alle nivåer) Det skal årlig gjennomføres en gjennomgang for å sikre at kun ansatte i DSB har aktive roller i BRIS Det skal årlig gjennomføres en gjennomgang for å sikre at kun ansatte i brann- og redningsvesenet har aktive roller i BRIS Brukere som ikke lengre arbeider i brann- og redningsvesenet skal settes til inaktive Godkjenne databehandlere og ha kontroll med og system for overføring av informasjon fra BRIS til disse Passord og brukernavn er personlig og skal ikke overdras andre Skal ikke lagre eller overføre rapporter med personopplysninger slik at de kan bli tilgjengelige for uvedkommende Ikke bringe informasjon fra BRIS ut av virksomheten uten etter avtale med behandlingsansvarlig Er pålagt taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. Taushetsplikten omfatter også annen informasjon med betydning for informasjonssikkerheten 4 5.2 Krav til integritet Integritet innebærer å sikre at personopplysninger ikke endres uautorisert eller utilsiktet. BRIS inneholder ulike mekanismer for å sikre at personopplysninger ikke endres uautorisert eller utilsiktet: Personlig pålogging Rolle som godkjenner internt i brann- og redningsvesenet, som skal stå for kvalitetssikring av data som registreres Logg som viser hvem som har endret opplysninger i BRIS Krav til integritet: DSB Brann- og redningsvesenet Den enkelte bruker Skal ha tilfredsstillende rutiner/systemer for kontroll med at integriteten er ivaretatt Skal ha på plass godkjennere som kvalitetssikrer innlagte opplysninger. Sørge for at riktige opplysninger registreres etter beste evne 4 Jf. Personopplysningsforskriften 2-9. 5

Ikke oppgi brukernavn eller passord til andre 5.3 Krav til tilgjengelighet Prinsippet om tilgjengelighet innebærer at personopplysninger skal være tilgjengelig for det formålet de er tiltenkt. Hensynet til tilgjengelige personopplysninger er i BRIS ivaretatt på ulike måter: Driftsovervåking Serverredundans Brann- og redningsvesenet har tilgang til all informasjon om egne hendelser Support eller brukerstøtte ivaretas innenfor normal arbeidstid, det er ikke krav til 24/7 oppetid av systemet. Krav til tilgjengelighet DSB Legge til rette for at systemet til enhver tid oppfyller krav til oppetid 5 Brann- og redningsvesenet/ 110 Melde brudd på tilgjengelighet, altså at BRIS er nede. Den enkelte bruker Melde brudd på tilgjengelighet 6. Avviksmelding Brudd på kravene til informasjonssikkerhet skal sendes som skriftlig avviksmelding til DSB, via BRIS support. Eksempler på hendelser som skal meldes: Felles hendelser for brudd på konfidensialitet, integritet og tilgjengelighet. o innbrudd i virksomhetens lokaler eller nettverk. o uvedkommendes bruk av brukerkonti. o angrep av virus eller andre ondsinnede program. Brudd på konfidensialitet (personopplysninger kommer på avveie). o tap av bærbart utstyr. o tap av lagringsmedium. o utilsiktet utlevering av ansattopplysninger via e-post. Resultatet fra avviksbehandlingen skal dokumenteres, jf personopplysningsforskriften 2-6. 5 BRIS skal være tilgjengelig 24 timer i døgnet, 7 dager i uken (24/7). Den gjennomsnittlige oppetiden skal være 95% eller mer. Oppetiden regnes pr. Måned (95% er max nedetid 36 timer pr. mnd). Web servicen for mottak av hendelser (BRT) skal være tilgjengelig 24 timer i døgnet, 7 dager i uken (24/7). Den gjennomsnittlige oppetiden skal være 93% eller mer. Oppetiden regnes pr. Måned (93% er maks nedetid 50 timer pr. mnd). BRIS skal ikke være nede mer enn 4 timer sammenhengende. 6

7. Generelt om utlevering av opplysninger fra BRIS til andre Både DSB, det enkelte brann- og redningsvesen og 110-sentral mottar henvendelser om utlevering av opplysninger fra BRIS, uavhengig av om det er personopplysninger eller ikke. Dette kan for eksempel være henvendelser om statistikk eller opplysninger om enkeltoppdrag. Her følger en overordnet oversikt over hvilke generelle krav som gjelder til både DSB, brann- og redningsvesenet og 110-sentralene når det gjelder utlevering av opplysninger til andre. DSB, brann- og redningsvesenet, 110-sentral Skal vurdere innsyn og utlevering av opplysninger i BRIS etter offentlighetsloven, forvaltningsloven og annen relevant lovgivning. 6 Hovedregelen etter offentlighetsloven (offl.) er at det skal gis innsyn, jf. offl. 3. Unntak fra innsyn krever at det er hjemmel for unntaket og at det er behov for å unnta innsyn i opplysningene. Henvendelser fra den registrerte (det vil si den som en personopplysning kan knyttes til) har rett til informasjon om hvilke opplysninger om den registrerte som behandles og sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten, jf. pol 18. Øvrige rettigheter står i bestemmelsen. Merk at også adresse er en personopplysning som kan knyttes til en person (den registrerte). Utlevering av data til databehandlere: En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i pol. 13 og i denne instruksen/rutinen. Det skal da inngås en egen databehandleravtale. Dette kan for eksempel være dersom brann- og redningsvesenet ønsker at eksterne skal bistå med analyse av data. De eksterne vil da innta rollen som databehandler. 6 Lov 19. mai 2006 nr. 16 om rett til innsyn i dokument i offentleg verksemd (offentleglova), lov 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven). 7

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding