Vår referanse (bes oppgitt ved svar)



Like dokumenter
Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Deres referanse Vår referanse Dato / /EOL

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Vår referanse (bes oppgitt ved svar)

Endelig kontrollrapport

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Vår referanse (bes oppgitt ved svar) 12/ /CBR

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Kontroll av reseptformidleren endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Vedtak om pålegg - endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Vedtak om pålegg kameraovervåking hos Move treningssenter

Vår referanse (bes oppgitt ved svar)

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Endelig TILSYNSRAPPORT

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Vår referanse (bes oppgitt ved svar)

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Endelig kontrollrapport

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Vår referanse (bes oppgitt ved svar)

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Pålegg om stans av behandling av personopplysninger - Gator AS

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Tide Buss AS og Boreal Transport Sør AS - Krav om dekning av sakskostnader

Vår referanse (bes oppgitt ved svar)

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Varsel om pålegg - Personvern og informasjonssikkerhet i smartklokker for barn - PepCall AS

Endelig TILSYNSRAPPORT

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Endelig TILSYNSRAPPORT

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Vedtak i klagesak over delvis avslag på partsinnsyn fvl. 19 første ledd bokstav b

Deres ref Vår ref (bes oppgitt ved svar) Dato

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

2016/1 l434/hesk 16/ /TJU Pålegg om overtredelsesgebyr - Misbruk av kamerasystem - NTNU - Olympiatoppen Midt-Norge

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

Endelig kontrollrapport

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

Svar på spørsmål om kapittel 9 A i opplæringsloven

Endelig kontrollrapport

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Personvern - sjekkliste for databehandleravtale

Klage på vedtak om pålegg - informasjonsplikt i medhold av helseforskningsloven

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Høringsuttalelse Forslag om endring i forskrift om opptak til høyere utdanning

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Endelig kontrollrapport

Sikkerhetskrav for systemer

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Endelig kontrollrapport for Protector Forsikring ASA - Vedtak om overtredelsesgebyr

/

Endelig kontrollrapport

ENDELIG TILSYNSRAPPORT - VEDTAK

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Høringssvar fra Utlendingsdirektoratet politiets tilgang til utlendingsmyndighetenes registre

OVERSENDELSE OLJE- OG ENERGIDEPARTEMENTETS SAKSBEHANDLING OG OPPTREDEN VED VALG AV MODELL FOR INNSAMLING AV SEISMISKE DATA I BARENTSHAVET SØRØST

Studiedager med ren egenaktivitet ikke kan gis som en del av programtiden. Studiedager kan

Post- og teletilsynet Norwegian Post and Telecommurkations Authority

Vedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger Oslo universitetssykehus HF ved Janusbanken

ØKOKRIM Den sentrale enhet for etterforskning og påtale av økonomisk kriminalitet og

15/ /BSO Konsesjon til å behandle personopplysninger - Whistleblowingsystem - Varslingstjeneste - Lyngdal kommune

ENDELIG TILSYNSRAPPORT

Tilsyn - BERGEN KOMMUNE BYRÅDSAVDELING FOR HELSE OG OMSORG

Endelig TILSYNSRAPPORT

Transkript:

Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for Kripos - SIS Det vises til gjennomført kontroll med den nasjonale delen av Schengen informasjonssystem (SIS), Datatilsynets varsel om vedtak og foreløpig kontrollrapport av 27. juni 2011, og Deres tilsvar av 15. september 2011. Datatilsynet gjennomførte kontroll med den nasjonale delen av Schengen informasjonssystem. Kontrollen ble gjennomført som et stedlig tilsyn ved Østfold politidistrikt på Rygge lufthavn den 17. juni 2010, og ved Sirenekontoret i KRIPOS den 25. juni 2010. Kontrollen skjedde med hjemmel i lov om Schengen informasjonssystem (SISevaluering av Norge. Det forefinnes en rapport av evalueringen, og Politidirektoratet koordinerer den nasjonale oppfølgingen. Foreløpig rapport i denne sak og Kripos tilsvar ble fremlagt under evalueringen. For øvrig behandles denne sak uavhengig av evalueringen. loven) 22 jf 21. Den 4. til 5. oktober 2011 ble det gjennomført en Schengen-evaluering Vurdering av tilsvar Merknader til foreløpig kontrollrapport Tilbakemelding på foreløpig kontrollrapport er i det vesentlige tatt inn i endelig kontrollrapport. Åpenbare korrigeringer gjort uten nærmere merknad, øvrige merknader er tatt inn som fotnoter eller kombinasjon av korreksjon og fotnote. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no

Vurdering av tidligere varslede pålegg Datatilsynet varslet i brev av 27. juni at tilsynet ville fatte vedtak om følgende pålegg: 1. Kripos må avklare sitt ansvar som følger av SIS-loven i samsvar med krav om internkontroll etter SIS-loven 4. Se rapportens 5.2 2. Kripos må etablere planlagt og systematisk oppfølging av om regelverket og fastsatte rutiner følges for SIS. Dette følger av krav om internkontroll etter SISloven 4. Se rapportens 5.2 3. Kripos må gjennom planlagte og systematiske tiltak for å sørge for tilfredsstillende informasjonssikkerhet i samsvar med SIS-loven 3, jf. SIS-forskriften 7-3 og 7-4. Se rapportens 5.3 4. Kripos må etablere logging av oppslag i SIS i samsvar med SIS-loven 3, jf. SISforskriften 7-8. Pålegget omfatter at logging etableres også for andre fagapplikasjoner enn ELYS II, og at også gjennomføring av søk hvor personopplysninger fremkommer logges. Se rapportens 5.4 5. Kripos må etablere løsning for tilgang til logger slik at disse funksjonelt kan benyttes i sikkerhetsarbeidet i samsvar med SIS-loven 3, jf SIS-forskriften 7-14. Se rapportens 5.4 6. Kripos må etablere konfigurasjonskontroll over SIS i samsvar med SIS-loven 3, jf SIS-forskriften 7-7. Pålegget omfatter at det må etableres kontroll med hvilke applikasjoner som kan benyttes for tilgang til SIS. Se rapportens 5.6 7. Kripos må etablere konfigurasjonskontroll over SIS i samsvar med SIS-loven 3, jf SIS-forskriften 7-7. Pålegget omfatter at det må etableres kontroll med hvordan registertilgang for UDIs fagapplikasjon er løst, og hvordan sikkerhetsmekanismer er implementert. Se rapportens 5.6 Vurdering av svar - varslet pålegg 1 Det gjøres i tilbakemeldingen rede for at ansvarsforhold innen Politiet er avklart, og at forholdet mellom Kripos og UDI per 15. september er under avklaring. Plan for signering av avtale mellom Kripos og UDI, som blant annet klargjør ansvarsforhold, var stipulert til 15. november 2011. Datatilsynet tar redegjørelsen til etterretning, og legger til grunn at avviket er lukket. Det fattes ikke vedtak i samsvar med varsel. 2

Vurdering av svar - varslet pålegg 2 Kripos gir en utfyllede redegjørelse for status i arbeidet med internkontroll i Kripos. Datatilsynet slutter seg til Kripos sin konklusjon om at det langt på vei er etablert internkontroll knyttet til SIS, samt at videreutvikling bør følge prosessene ved innføringen av politiregisterloven. Tilsynet legger til grunn at Kripos har tilfredsstillende fremdrift på resterende punkter, og det fremstår ikke som hensiktsmessig å fatte vedtak i samsvar med varsel. Datatilsynet peker imidlertid på Kripos sin selvstendige plikt til å etablere internkontroll i samsvar med SIS-loven 4. Vurdering av svar - varslet pålegg 3 Tilsvarende som for varslet pålegg 2. Det fattes ikke vedtak i samsvar med varsel. Datatilsynet peker imidlertid på Kripos sin selvstendige plikt til å etablere planlagte og systematiske tiltak for å sørge for tilfredsstillende informasjonssikkerhet i samsvar med SIS-loven 3, jf. SIS-forskriften 7-3 og 7-4. Vurdering av svar - varslet pålegg 4 Kripos gjør rede for at loggingen i SIS anses for å være innenfor regelverkets krav. Datatilsynet slutter seg ikke til dette. Logger hvor det ikke kan knyttes informasjon til hvilket personell som har gjennomført søk eller oppslag tilfredsstiller etter Datatilsynets vurdering ikke regelverkets krav til logger. Det fattes vedtak i samsvar med varslet. Se pålegg 1 nedenfor. Vurdering av svar - varslet pålegg 5 Kripos gjør rede for en praksis hvor logger kun benyttes ved konkret mistanke om ureglementert bruk. Dette innebærer at loggene kun benyttes for å bekrefte eller avkrefte en mistanke om ureglementert bruk av informasjonssystemet, og ikke til å avdekke slik ureglementert bruk. Praksisen må ses i sammenheng med at svært mange er gitt tilgang til SIS, og at tilgangsstyringen følgelig ikke er et reelt hinder for uautoriserte oppslag. Datatilsynet ba om innsyn i logg over siste 100 oppslag fra Kripos, noe som ikke kunne presenteres da et slikt uttrekk måtte klargjøres i en særskilt prosess. Loggene fremstod under kontrollen som utilgjengelige. Dette kan også knyttes mot Kripos sitt valgte utgangspunkt om at logger kun benyttes ved konkret mistanke om uautorisert bruk. Datatilsynet fastholder at Kripos ikke har sørget for logger som kan benyttes i det daglige sikkerhetsarbeidet slik at det er blir mulig å avdekke uautorisert og forsøk på uautorisert bruk, jf. SIS-forskriftens 7-14. 3

Det fattes vedtak i samsvar med varslet. Se pålegg 2 nedenfor. Vurdering av svar - varslet pålegg 6 Kripos har gjort rede for at konfigurasjonskontroll er etablert. Datatilsynet legger redegjørelsen til grunn, og det fattes ikke vedtak i samsvar med varsel. Vurdering av svar - varslet pålegg 7 Kripos har gjort rede for tiltak for å etablere konfigurasjonskontroll for registertilgang for UDIs fagapplikasjon. Datatilsynet legger til grunn at forholdet mellom UDI og Kripos er regulert i avtale som skissert. Det fattes ikke vedtak i samsvar med varsel. Datatilsynet peker imidlertid på Kripos sin selvstendige plikt til å etablere konfigurasjonskontroll over SIS i samsvar med SIS-loven 3, jf SIS-forskriften 7-7. Spesielt om tilgangsstyring Påpekning av plikt Det vises til kontrollrapportens 5.5 om tilgang til opplysninger i SIS, og Kripos sitt tilsvar side 12. Kontrollrapporten er endret på bakgrunn av tilbakemeldingen ved at 5.3.3 er mindre konkluderende om manglende samsvar mellom praksis for tildeling av tilgang og regelverkets krav om at tilgang begrenses til den som er særskilt bemyndiget. Datatilsynet har i rapporten anført at praksis er at enhver som driver politirelatert arbeid gis tilgang til SIS. Dette er beholdt når rapporten er gjort endelig. I tilbakemeldingen gjøres det rede for at politirelatert arbeid ikke er et kriterium for å tildele tilgang, og at tilgang tildeles basert på tjenestelig behov. Datatilsynet bemerker at politirelatert arbeid var en faktumbeskrivelse av hvem som faktisk ble tildelt tilgang i SIS. Følgelig basert på kriterier for tildelig av tilgang. Datatilsynet finner grunnlag for å spørre om denne praksisen samsvarer med regelverkets krav om at tilgang begrenses til den som er særskilt bemyndiget. Det konstateres imidlertid ikke avvik. Det er imidlertid klart at det ligger en støtte for vide tilganger i forarbeidene (Ot.prp.nr.56 (98-99), pkt. 6.7.1)). Dette fremgår av endelig kontrollrapport. Datatilsynet peker på Kripos sin selvstendige plikt til å sørge for at tildeling av tilganger til SIS er i samsvar med SIS-forskriften 1-6. 4

Vedtak om pålegg Med hjemmel i SIS-loven 23 gir Datatilsynet følgende pålegg: 1. Kripos må etablere logging av oppslag i SIS i samsvar med SIS-loven 3, jf. SISforskriften 7-8. Pålegget omfatter at logging etableres også for andre fagapplikasjoner enn ELYS II, og at også gjennomføring av søk hvor personopplysninger fremkommer logges. Se rapportens 5.4 2. Kripos må etablere løsning for tilgang til logger slik at disse funksjonelt kan benyttes i sikkerhetsarbeidet i samsvar med SIS-loven 3, jf SIS-forskriften 7-14. Se rapportens 5.4 Datatilsynet gir frist for gjennomføring av påleggene til 1. november 2012. Dere må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Dersom vedtaket ikke kan gjennomføres innen fristen, bes det om at Datatilsynet kontaktes for dialog om fremdriften. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at dere har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Cecilie L. B. Rønnevik seniorrådgiver Vedlegg: Endelig kontrollrapport 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding