Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON



Like dokumenter
om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Vår referanse (bes oppgitt ved svar)

Veileder for bruk av tynne klienter

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Endelig kontrollrapport

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Brukerinstruks Informasjonssikkerhet

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Deres ref Vår ref (bes oppgitt ved svar) Dato

Endelig kontrollrapport

Deres referanse Vår referanse Dato / /EOL

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

HVEM ER JEG OG HVOR «BOR» JEG?

Databehandleravtale. Denne avtalen er inngått mellom

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Endelig kontrollrapport

Internkontroll i mindre virksomheter - introduksjon

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Bilag 14 Databehandleravtale

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Databrukara vtale. for. Rauma kommune

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Deres referanse Vår referanse Dato 15/ /JSK

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger.

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

SIKKERHETSINSTRUKS - Informasjonssikkerhet

Tjenester i skyen hva må vi tenke på?

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret.

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Databehandleravtale digitale arkiv og uttrekk for deponering

Endelig kontrollrapport

Endelig kontrollrapport

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Vår referanse (bes oppgitt ved svar)

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Krav til informasjonssikkerhet

BEHANDLING AV PERSONOPPLYSNINGER

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Databehandleravtale etter personopplysningsloven

Internkontroll og informasjonssikkerhet lover og standarder

AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON. [Virksomhetens navn] [Virksomhetens navn]

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

- IVER 1. OM TJENESTEN

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Personopplysninger og opplæring i kriminalomsorgen

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

RETNINGSLINJER FOR BEHANDLING AV SØKNADER OM FORSKNING I KRIMINALOMSORGEN

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Datasikkerhet internt på sykehuset

Kort innføring i personopplysningsloven

Vedlegg til søknad om konsesjon for behandling av

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Nye personvernregler

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

GDPR - Personvern

Databehandleravtaler

Sikkerhetsinstruks bruker

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

likestillings- og inkluderingsdepartementet

Transkript:

Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger. Datatilsynet har vurdert søknaden og gir Dem med hjemmel i personopplysningsloven 33, jf. 34, konsesjon til å behandle personopplysninger til følgende formål: Behandling og oppfølging av beboere ved institusjonen. Behandlingsansvarlig er øverste leder ved... Gjennomføringen av det daglige ansvaret kan delegeres. Konsesjonen er gitt under forutsetning av at behandlingen foretas i henhold til søknaden, de bestemmelser som følger av personopplysningsloven med forskrifter samt vedlagte retningslinjer. Dersom det skjer endringer i behandlingen i forhold til de opplysninger som er gitt i søknaden, må dette fremmes i ny konsesjonssøknad. I medhold av personopplysningsloven 35, fastsettes i tillegg følgende vilkår for behandlingen: 1. Opplysninger om beboer kan behandles uten vedkommendes samtykke jf personopplysningsloven 9,3.ledd. Behandlingen av personopplysninger bør i størst mulig utstrekning skje i samarbeid med beboer. 2. Den behandlingsansvarlige skal hvert tredje år sende Datatilsynet bekreftelse på at behandlingen skjer i overensstemmelse med søknaden og personopplysningslovens regler. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datatilsynet.no 0034 OSLO

3. Datatilsynet tar forbehold om at konsesjonen kan bli trukket tilbake eller at nye og endrede vilkår kan bli gitt dersom dette er nødvendig ut fra personvernhensyn. Med hilsen Knut-Brede Kaspersen (sign) avdelingsdirektør Guro Slettemark seniorrådgiver Vedlegg; Retningslinjer for behandling av personopplysninger i privat barneverninstitusjon 2

RETNINGSLINJER FOR Å BEHANDLE PERSONOPPLYSNINGER I PRIVAT BARNEVERNINSTITUSJON 1. Behandlingsgrunnlag I konsesjonen er det fastslått at opplysninger om beboer kan behandles uten vedkommendes samtykke, jf personopplysningsloven 9, 3. ledd. I den grad beboerens alder og modenhet samt omstendighetene for øvrig tilsier det, bør imidlertid behandlingen av personopplysninger skje i samarbeid med beboer. Merknad: Hovedregelen er at behandling av sensitive personopplysninger krever den registrertes samtykke jf personopplysningsloven 9. For den gruppe beboere det her dreier seg om(barn og unge), vil det imidlertid ikke alltid være hensiktsmessig å kreve samtykke. Fravikelse av samtykkekravet bør imidlertid, i den grad beboerens alder og modenhet samt omstendighetene for øvrig tilsier det, kompenseres ved at behandling av personopplysninger skjer med beboerens kunnskap. 2. Saklighet/relevans Det skal kun behandles opplysninger som er saklige og relevante for formålet med institusjonsoppholdet og den videre oppfølgingen av beboeren. Det skal utvises varsomhet med å samle inn opplysninger om tredjeperson. Merknad: Fordi innsamling av personopplysninger vanligvis ikke vil være basert på samtykke fra beboer, bør opplysningenes art og omfang begrenses. Opplysninger som er saklige og relevante for formålet med institusjonsoppholdet og den videre oppfølgingen av beboeren skal imidlertid behandles. Det vises i denne sammenheng til krav om protokollføring og begrunnelse i forskrift om rettigheter og bruk av tvang under opphold i barneverninstitusjon av 12.12 2002. Det gjøres oppmerksom på at tredjeperson vil kunne kreve innsyn i opplysninger som behandles om ham/henne jf personopplysningsloven 18 og 23. 3. Sletting/tilbakeføring av personopplysninger Ved avsluttet opphold, skal alle personopplysninger gjennomgås. Opplysningene bør, så langt det er mulig og i den grad beboerens alder og modenhet samt omstendighetene for øvrig tilsier det, gjennomgås sammen med beboer. Rapporter, journaler o.l. oversendes barneverntjenesten i kommunen. Opplysninger som ikke lenger er relevante skal slettes/makuleres forsvarlig. Dersom det er sannsynlig at beboer vil vende tilbake til institusjonen, kan oversendelse av rapporter, journaler o.l. utstå i inntil ett år. Ved avvikling av driften (konkurs, nedleggelse o.l.) skal alle personopplysninger om beboere overføres til barneverntjenesten eller til Barne,- ungdoms, og familieetaten. Side 1 av 3

4. Lagring av basisopplysninger Etter beboers/verges samtykke, kan basisopplysninger som navn, fødselsdato adresse og oppholdets varighet oppbevares uavhengig av retningslinjenes pkt. 3. 5. Sikring av personopplysninger Datatilsynet gjør spesielt oppmerksom på at alle virksomheter som behandler sensitive personopplysninger må gjennomføre en risikovurdering. Resultatet av risikovurderingen vil gi svar på hvilket risikonivå som er akseptabelt. For hjelp til dette, se Datatilsynets hjemmeside www.datatilsynet.no under menyen Informasjonssikkerhet, eller ta kontakt med Datatilsynets tilsyn- og sikkerhetsavdeling. Dersom institusjonen ikke har egen IT kompetanse og leier dette inn fra dataforhandlere, må disse gjøres oppmerksom på pliktene databehandler har, jf personopplysningsloven 15. Personopplysningene skal som hovedregel behandles i et fysisk isolert datasystem (dvs datasystem uten oppkobling til eksterne nett som f.eks Internett). 5.1 Fysisk sikring Det skal treffes tiltak mot uautorisert adgang til utstyr (arbeidsstasjoner, servere og skrivere, samt kopimaskiner og telefaksmaskiner), som brukes for å behandle personopplysninger. Sikkerhetstiltakene skal hindre uautorisert adgang til annet utstyr av betydning for informasjonssikkerheten. Virksomheten skal sørge for at egne lokaler og utstyr er forsvarlig sikret, med spesiell vekt på de rom hvor det er plassert utstyr som benyttes for behandling av sensitive personopplysninger. Den fysiske sikringen av sensitive personopplysninger er en vesentlig del av det totale sikkerhetskonseptet. Trusler som kan utløses ved for dårlig fysisk sikring kan bl.a. være: At uvedkommende får tilgang til utstyr hvor sensitive personopplysninger behandles Tyveri av PC-er eller sikkerhetskopier på dagtid eller ved innbrudd utenom arbeidstiden Sabotasje eller hærverk mot vitale deler av IT-systemet 5.2 Sikring av konfidensialitet Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for informasjonssikkerheten. Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium utenfor den behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte. For lagringsmedium som inneholder personopplysninger skal behovet for sikring av konfidensialitet fremgå ved hjelp av merking eller på annen måte. Dersom lagringsmediet ikke lenger benyttes for behandling av slike opplysninger, skal opplysningene slettes fra lagringsmediet. Tilgang til tjenester og informasjon i nettverk skal kun gis etter tjenstlig behov. Som utgangspunkt skal alle tjenester Side 2 av 3

være sperret. For å kunne begrense tilgang til sensitive personopplysninger legges følgende begrensninger og kontroll med tilgang til informasjon og applikasjonene: Tilgang til alle tjenester og informasjon er i utgangspunktet sperret Tilgangskontrollen skal benytte individuelle passord og skal sørge for at brukere kun autoriseres for tilgang til informasjon og tjenester etter tjenstlige behov Virksomheten skal angi krav til minimum lengde, sammensetning og varighet av passord Virksomheten skal angi krav til maksimalt tillatt tidsrom uten aktivitet fra en bruker før det kreves ny autentisering Sperring av brukerkonti som ikke har vært benyttet de siste to mnd, alternativt når passord skulle ha vært skiftet Det må benyttes et operativsystem eller tredje part sikkerhetsløsning som tilfredsstillende skiller mellom brukeres rettigheter. Dette må skille mellom brukere/brukergruppers (identitet/passord) rettigheter til filsystem/nettverksressurser Teknisk sikkerhetsløsning hos bruker skal bidra til å hindre uautorisert utlevering av sensitive personopplysninger ved utilsiktet overføring av data mellom program, eksempelvis ved bruk av "klipp og lim"-funksjon Dersom det skal lagres sensitive personopplysninger på bærbar arbeidsstasjon, skal harddisken på disse maskinene krypteres 5.3 Tilleggskrav ved tilkobling til eksternt nett I de tilfeller der institusjonens nett skal være tilkoblet et eksternt nett (som Internett) må det settes opp sikkerhetsbarrierer (for eksempel to brannmurer). Det vil i den enkelte virksomhet være svært varierende behov for funksjonalitet og derfor ulike sikkerhetsløsninger, uten at det er valgt å dokumentere disse her. For eksempel kan brannmurer være unødvendige ved fysisk isolerte nettverk, mens andre løsninger kan bestå av en brannmur og en forsterket ruter. Funksjonelle krav til sikkerhetsbarriere: Ingen trafikk tillates initiert fra eksterne nettverk og direkte inn på virksomhetens interne nettverk Tjenester som ikke eksplisitt er tillatt er forbudt Autentisering av brukere i sikkerhetsbarrieren Brukerprofil i sikkerhetsbarriere Det er anbefalt å benytte "Network Address Translation" (NAT) så sikkerhetsbarrieren på denne måten skjuler ressursene på innsiden overfor det eksterne datanettet Oppdatering av sikkerhetspatcher (hotfix) Kun bruk av Java med opphav anerkjent av virksomheten (Active X er i utgangspunktet ikke tillatt) Ekstern overføring av sensitive personopplysninger krever kryptering fra sikret sone i en virksomhet til tilsvarende sikret sone hos annen virksomhet 6. Melding ved opphør av virksomhet Den behandlingsansvarlige skal ved opphør av virksomheten sende en melding til Datatilsynet med bekreftelse på at personopplysningene er slettet/tilbakeført i samsvar med retningslinjenes pkt 3 og 5.2. Side 3 av 3

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding