KF Brukerkonferanse 2013

Like dokumenter
Endelig kontrollrapport

Internkontroll og informasjonssikkerhet lover og standarder

Kan du legge personopplysninger i skyen?

ekommune 2017 Prosessplan for god praksis om personvern

Personopplysninger og opplæring i kriminalomsorgen

Styringssystem i et rettslig perspektiv

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Endelig kontrollrapport

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

VIRKE. 12. mars 2015

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Styresak Orienteringssak - Informasjonssikkerhet

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Kommunens Internkontroll

Endelig kontrollrapport

Bruk av skytjenester og sosiale medier i skolen

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Endelig Kontrollrapport

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Endelig kontrollrapport

Databehandleravtaler

Endelig kontrollrapport

Personvern anno Er det fritt fram for bruk av personopplysninger til testing?

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Endelig kontrollrapport

Kvalitetssikring av arkivene

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Personvern og informasjonssikkerhet i UH sektoren

Revidert plan for forvaltningsrevisjon

Endelig kontrollrapport

Arkiv skal ikkje førast ut or landet

Betryggende kontroll Internkontrollen til rådmannen

Endelig kontrollrapport

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

REGIONRÅDET I VÆRNESREGIONEN MØTE 1. DESEMBER 2010 KL PÅ KIRKEBYFJELLET KONFERANSESENTER I MERÅKER.

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Endelig kontrollrapport

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Endelig kontrollrapport

Endelig kontrollrapport

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Personvernerklæring. Hovedtittel. : opplyser om innsamling og bruk av personopplysninger

Endelig kontrollrapport

Nytt personvernregelverk på 1-2-3

I N N S T I L L I N G

Endelig kontrollrapport

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Retningslinjer for databehandleravtaler

Endelig kontrollrapport

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Vår referanse (bes oppgitt ved svar)

IKT-sikkerhet og sårbarhet i Risør kommune

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Transkript:

KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet

Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. 18.03.2013 2

Lovkravene Personopplysningsloven 14 - Internkontroll Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. 18.03.2013 3

Og så? Lovverk Forskrift om internkontroll Datatilsynet Normen 18.03.2013 4

Hva er internkontroll? 1 Demings sirkel: Korrigere Planlegge Kontrollere Utføre 18.03.2013 5

Hva er internkontroll? 2 Tre overordnede elementer: Styrende Gjennomførende Kontrollerende (Datatilsynet,2011) 18.03.2013 6

Hvem har internkontroll? 52 % av kommunene oppgav å ha en internkontroll i tråd med lovverket. Men: 48 % hadde fastlagt rammer og ansvar 46 % hadde avklart det rettslige grunnlaget 42 % hadde oversikt over personopplysninger 41 % hadde et avvikssystem 22 % hadde rutine for retting og sletting 20 % hadde gjennomført en risikovurdering siste 18 måneder Kontrollert for disse tallene kunne det sies at kun 7 % av kommunene hadde et tilfredsstillende interkontrollsystem. 18.03.2013 7

Mennesker og teknologi Informasjonssikkerhet er 20 % teknologi og 80 % organisasjon! 18.03.2013 8

Hva kan kommuneforlaget tilby? Maler og prosedyrer som kan hjelpe kommunene i å ha tilfredsstillende informasjonssikkerhet. Kan brukes helhetlig eller kun deler. Fleksibelt og må tilpasses kommunen 18.03.2013 9

1 Prosedyrer for informasjonssikkerhet Et overordnet dokument som sier hva som bør være på plass Henvisninger til videre dokumenter Kan brukes som en sjekkliste for informasjonssikkerhet Viser til de overordnede kravene i lov- og regelverk 18.03.2013 10

2 - Styringsdokument Inneholder: Sikkerhetsmål Krav om risikovurderinger Beskrivelse av organisering av sikkerhet Rutiner for hvordan ansatte og sikkerhet Krav for fysisk sikkerhet Hvem skal ha tilgang Oversikt over systemer Krav om avvikshåndtering Ved hvert av disse punktene er det konkrete krav om hva kommunen skal ha på plass 18.03.2013 11

Internkontroll Et lederansvar Kommuneloven 23-2: Administrasjonssjefens oppgaver og myndighet 2. Administrasjonssjefen skal påse at de saker som legges fram for folkevalgte organer, er forsvarlig utredet, 1 og at vedtak blir iverksatt. Administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. 18.03.2013 12

Internkontroll Et lederansvar 2 Rådmann er behandlingsansvarlig Rådmann kan være IKT-sikkerhetsansvarlig, men er dette fornuftig bruk av han tid? Rådmann kan delegere myndighet, men ikke ansvar! 18.03.2013 13

3 Ledelsens gjennomgang «Rådmannens dokument» Her beskrives det hva rådmannen som behandlingsansvarlig må gjøre for i ivareta informasjonssikkerheten Inneholder drøfting av sikkerhetsmål Gjennomgang av avvik Forbedringstiltak Revisjon Beskriver møtestruktur og hva som skal drøftes 18.03.2013 14

4 - Risikovurderinger Lovverk: personopplysningsforskriften 2-4 Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger Resultatet av risikovurderingen skal dokumenteres. 18.03.2013 15

Risiko = Sannsynlighet og konsekvens Sannsynli ghet Konsekve ns 1 2 3 4 Ufarlig Uheldig Alvorlig Kritisk 1 Lite sannsynlig 2 Moderat sannsynlig 3 Sannsynlig 4 Svært sannsynlig 18.03.2013 16

Risikovurderinger kan være vanskelige! Det er vanskelig å forutsi hva som kan skje Vanskelig å bedømme risiko godt nok Derfor viktig at de gjøres flere ganger man blir bedre etter hvert Begynn i det små og ta det i flere omganger og på flere nivåer i kommunen Tenk også på papirer som flyter, kontorer som er åpne og så videre. 18.03.2013 17

Vi har også en bok! 18.03.2013 18

5 Oversikt over databehandlinger Informasjon /formål Behandlings -grunnlag Melding/ konsesjon Sensitive personopplysninge r Sikkerhets - tiltak Lagring og kommunikasjo n Opplysningene s Omfang Avdeling Eier Barnevern: -Vurdering og tiltak Barnevern- Loven 3-1 Meldt: 01.01.12 Ja Ca. x barn og foresatte Skole og oppvekst Helseopplysninger: - Pasientjournal HPL 39 flg. Meldt 01.01.12 Ja Ca. x pasienter Pleie og omsorg 18.03.2013 19

6 - Sikkerhetsinstruks for de ansatte Instrukser som kommunen kan ta i bruk med en gang, men bør ses i forhold til egen organisasjon. For eksempel, hva med sosiale tjenester eller skylagring? Skal skrives under av den ansatte og lagres i personalmappen. Internkontroll skal gjennomsyre kommunen. Rådmannen har det øverste ansvaret, men de ansatte har også en plikt. 18.03.2013 20

7 - Taushetserklæring Skal skrives under av den ansatte og lagres i personalmappen. 18.03.2013 21

8 gjennomførende informasjonssikkerhet Imøtekommer kravene i Normen Retter seg også mot den/de som leverer datatjenester Stiller krav til tekniske løsninger og kunnskap 18.03.2013 22

Avvikshåndtering KF har ikke et eget avvikssystem for informasjonssikkerhet Her kan kommunen bruke det som det allerede bruker Avvik er en viktig del av informasjonssikkerhet 18.03.2013 23

Til slutt: Dokumentasjon! Dokumentasjon! Dokumentasjon! 18.03.2013 24

Takk for oppmerksomheten! Anders Ragner [Redaktør og produktutvikler] E-post: anders.ragner@kommuneforlaget.no Chat: Tlf: 45 03 28 89 18.03.2013 25

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding