Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Like dokumenter
Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Personopplysninger og opplæring i kriminalomsorgen

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Nye personvernregler

Databehandleravtale etter personopplysningsloven

Personvern og informasjonssikkerhet

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Personopplysningsloven: Formål og grunnleggende begreper. DR1010 Personvern i offentlig forvaltning Vår 2011 Seniorrådgiver Mona Naomi Lintvedt, Difi

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

GDPR Ny personvernforordning

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Endelig kontrollrapport

Policy for personvern

Internkontroll og informasjonssikkerhet lover og standarder

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

BEHANDLING AV PERSONOPPLYSNINGER

Plan for informasjonssikkerhet Bjugn kommune

Bilag 14 Databehandleravtale

VIRKE. 12. mars 2015

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Prosedyre for personvern

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Styringssystem i et rettslig perspektiv

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Særavtale om lønns- og personalregistre

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Retningslinjer for databehandleravtaler

GDPR for HR. En praktisk tilnærming til hva Sopra Steria har gjort for å møte de nye kravene

Informasjonssikkerhet og personvern Definisjoner

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Brukerinstruks Informasjonssikkerhet

Internkontroll i mindre virksomheter - introduksjon

Endelig kontrollrapport

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

DEL I TILRÅDING ELLER KONSESJON?

Etikk- og personvernshensyn i brukerundersøkelser

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: Saksnummer:

Databehandleravtale etter personopplysningsloven

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Personvern. Behandling av personopplysninger om attføringsdeltakere: Advokat Terje Hovet Oktober/november 2008

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Endelig kontrollrapport

102 Definisjoner og forklaringer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Personvern i offentlig forvaltning, DRI 1010

Databehandleravtale etter personopplysningsloven

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Er din bedrift klar for ny personopplysningslov?

4. Hvilke personopplysninger vi behandler, hvordan vi bruker personopplysningene, samt formålet med opplysningene

Kommunens Internkontroll

Saksframlegg til styret

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Databehandleravtalen skal sikre at personopplysninger om de Registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Endelig kontrollrapport

OM PERSONVERN TRONDHEIM. Mai 2018

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Endelig kontrollrapport

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Personvern - sjekkliste for databehandleravtale

Søknad om tildeling av FoU- tid for studieåret

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Personvern eller vern av personopplysninger. Hvem vet hva om oss

Endelig kontrollrapport

Forsikringssvindel og personvern. Møte i Den norske Forsikringsforening 27. november 2013 Øystein Flagstad

Risikoanalysemetodikk

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

Transkript:

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1

1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine oppgaver. Det er av avgjørende betydning at disse personopplysningene brukes og behandles i samsvar med personopplysningsloven, slik at alle har tillit til kommunens virksomhet. Personopplysningsloven setter krav til at alle virksomheter som behandler personopplysninger skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandlingen av personopplysninger. Personopplysningsloven setter krav til at alle virksomheter som behandler personopplysninger skal ha en internkontroll som skal ivareta personopplysningene på en sikker og hensiktsmessig måte. Dette Styringssystem for informasjonssikkerhet i Mandal kommune inneholder de nødvendige rutiner og prosedyrer for å hindre feil og avvik samt beskytte personopplysningene, som personopplysningsloven stiller krav om. Styringssystemet er delt inn i tre hoveddeler: Styrende rutiner Utøvende rutiner Kontrollerende rutiner Rådmannen er behandlingsansvarlig og ansvarlig for å oppfylle lovens krav. Ved dette dokument delegerer rådmannen til hver enkelt ansatt arbeidet med å oppfylle lovens krav innen eget arbeidsområde. 2

Ordliste Emne Avvik Behandling av personopplysninger Behandlingsansvarlig Databehandler Fødselsnummer Informasjonssystemet Integritet Internkontroll IKT Definisjon Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal anses som avvik. Enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Den som behandler personopplysninger på vegne av den behandlingsansvarlige Et ellevesifret registreringsnummer som tildeles av den norske stat til alle landets innbyggere. Nummeret skiller enkeltpersoner fra hverandre, men kan ikke brukes som legitimasjon. Ikke en sensitiv opplysning. Elektronisk kommunikasjon med fødselsnummer skal være kryptert allikevel. Samlebetegnelse på alt Pc-utstyr, systemer og nettverkskomponenter som inngår i virksomhetens elektroniske databehandling. Å sikre at informasjonen og behandlingsmetodene er nøyaktige og fullstendige. Informasjonen er sikret for og ikke kunne ødelegges, endres eller gå tapt. Den behandlingsansvarlige skal etablere og vedlikeholde planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i Personopplysningslovens 14, herunder sikre personopplysningenes kvalitet. Informasjons- og 3

kommunikasjonsteknologi Kompromittering Konfidensialitet Konfidensialitetsbeskyttelse Brudd på konfidensialitet, tilgjengelighet eller integritet. Å sikre at informasjonen er tilgjengelig bare for dem som har autorisert tilgang. Sikkerhetstiltak for å sikre informasjon mot innsyn, f. eks kryptering Personopplysninger Personopplysningsforskriften (POF) Opplysninger og vurderinger som kan knyttes til en enkeltperson. Forskrift til personopplysningsloven, 15. desember 2000 nr. 1265. Personopplysningsloven (POL) Personregister Registrert Risikovurdering Samtykke Lov om behandling av personopplysninger, 14. april 2000 nr. 31. Registre der personopplysninger er lagret systematisk slik at personopplysninger om den enkelte kan finnes igjen. Den som en personopplysning kan knyttes til Risikovurdering har til hensikt å undersøke hvor stor personvernrisiko det er ved å bruke informasjonssystemet. Resultatet av vurderingen skal sammenliknes med det risikonivå virksomheten kan akseptere. Risikovurdering er en kombinasjon av en hendelses konsekvens og sannsynligheten for at hendelsen inntreffer. En frivillig, utrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysinger om en selv. 4

Sensitive personopplysninger Sikkerhetshendelse Opplysninger om: Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning. At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling. Helseforhold. Seksuelle forhold. Medlemskap i fagforeninger. En hendelse som får konsekvenser for informasjonssikkerheten i virksomheten. Sikkerhetsmål Sikkerhetspolicy Sikkerhetstiltak Tilgjengelighet Sikkerhetsmålene omfatter ledelsens beslutninger om til hva og hvordan informasjonsteknologien skal benyttes i virksomheten for å kunne oppnå sine øvrige mål. Denne er en del av virksomhetens øvrige totale målsetning. Sikkerhetsmål og sikkerhetsstrategi. Et administrativt, organisatorisk eller teknisk tiltak som etableres for å hindre at en sikkerhetshendelse inntreffer. Å sikre autoriserte brukeres tilgang til informasjon og tilhørende ressurser ved behov. 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding