Plan for informasjonssikkerhet Bjugn kommune

Like dokumenter
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Personopplysninger og opplæring i kriminalomsorgen

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Databehandleravtale etter personopplysningsloven

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Bilag 14 Databehandleravtale

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Policy for personvern

Personvern og informasjonssikkerhet

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Internkontroll og informasjonssikkerhet lover og standarder

VIRKE. 12. mars 2015

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Helseforskningsrett med fokus på personvern

Databehandleravtaler

Endelig kontrollrapport

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Databehandleravtale. Denne avtalen er inngått mellom

Kommunens Internkontroll

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

GDPR Ny personvernforordning

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Endelig kontrollrapport

Databehandleravtale for NLF-medlemmer

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Endelig kontrollrapport

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Nye personvernregler

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Policy for informasjonssikkerhet og personvern i Sbanken ASA

BEHANDLING AV PERSONOPPLYSNINGER

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Endelig Kontrollrapport

Brukerinstruks Informasjonssikkerhet

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Retningslinjer for databehandleravtaler

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

OVERSIKT SIKKERHETSARBEIDET I UDI

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Personvern - sjekkliste for databehandleravtale

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Internkontroll i mindre virksomheter - introduksjon

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Databehandleravtale etter personopplysningsloven

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Endelig kontrollrapport

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Helseforskningsrett. Sverre Engelschiøn

Informasjonssikkerhet og personvern Definisjoner

Sikkerhetsmål og -strategi

3.1 Prosedyremal. Omfang

HVEM ER JEG OG HVOR «BOR» JEG?

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Endelig kontrollrapport

Personopplysningsloven: Formål og grunnleggende begreper. DR1010 Personvern i offentlig forvaltning Vår 2011 Seniorrådgiver Mona Naomi Lintvedt, Difi

Endelig kontrollrapport

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Retningslinjer for behandling av personopplysninger og informasjonssikkerhet i Det frivillige Skyttervesen

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Transkript:

Plan for informasjonssikkerhet Bjugn kommune Våren 2015 1

Innledning...3 Overordnet mål...4 Delmål...4 Grunnkrav...4 System for oversikt behandlinger...4 Akseptkriterier...4 System for behandling av avvik...5 System for risikovurdering...5 Sikkerhetstiltak (rutiner/prosedyrer)...5 Rådmannens gjennomgang /sikkerhetsrevisjon...6 Egenkontroll...6 Beredskap...6 Databehandler...6 Eksempler på ivaretakelse av kommunens-sikkerhetsmål...6 Eksempler på hendelser vi ønsker å beskytte oss mot...7 Sikringstiltak...8 Generelt...8 Bevisstgjøring / opplæring av ansatte...8 Rutiner...8 Definisjoner...9 2

Innledning Bjugn kommune forvalter og behandler en mengde informasjon om kommunens innbyggere og andre personer, kommunens næringsliv og annen virksomhet. Skriftlig og elektronisk informasjon er en viktig ressurs for Bjugn kommune. Kommunen må beskytte de verdier informasjonen representerer på en hensiktsmessig og kostnadseffektiv måte. Et effektivt arbeid med informasjonssikkerhet vil også redusere risikoen for at kommunen, eller andre, blir skadelidende som følge av at den informasjonen kommunen besitter blir påvirket gjennom uønskede hendelser. Bjugn kommunes visjon er Realiser drømmen i Bjugn, med en overordnet målsetting som er Livskvalitet. Ett av kommunens satsningsområder er Kompetanse og arbeid. Innenfor Informasjonssikkerhet og personvern er kompetanse i lover, reglementer, retningslinjer og veiledninger av stor betydning. Likeså kompetanse innen generell internkontroll, og spesielt risikovurdering og avviksbehandling. Gjennom en helhetlig Plan for informasjonssikkerhet, et godt innarbeidet internkontrollsystem og målrettet bruk av Kvalitetssystemet RiskManager ønskes å oppnå: Et tydelig og velfungerende system som sammen med gode holdninger og praksis hos medarbeiderne skaper tillit overfor medarbeidere, politikere og brukere av kommunenes tjenester i forhold til hvordan informasjon blir behandlet. Et godt omdømme innenfor temaene personvern og informasjonssikkerhet så vel internt i kommunen som regionalt og nasjonalt. Med overfor nevnte grunnsetninger er den videre begrunnelsen for å etablere og vedlikeholde temaet informasjonssikkerhet og et system rundt dette følgende: Sikre at sensitive eller fortrolig informasjon ikke kommer uvedkommende i hende og blir behandlet i henhold til kravene om konfidensialitet, integritet og tilgjengelighet. Sikre at kommunene har tilgang til nødvendig informasjon om innbyggere, ansatte, brukere. God forvaltning av opplysningene som kommunene registrerer og arkiverer. Sikre at all informasjon blir behandlet innenfor relevante lover og forskrifter. Sikre rutiner for internkontroll herunder; o kontroll med endringer i IKT-systemer, herunder, funksjonalitet, oppgradering og vedlikehold. o kontroll med endringer i tjenesteleveranser (konsulenter, driftsleverandører, leverandører av fagsystemer, revisorer, renhold, osv.) og rammebetingelser. Krav fra offentlige myndigheter. Dokumentet er styrende for kommunenes sikkerhetsstrategi, internkontroll og rutiner knyttet til behandling av personopplysninger. Dokumentet er også styrende for den enkelte medarbeider sitt ansvar for at informasjonssikkerhet og personvern blir ivaretatt. Hensikten med denne planen er å etablere et rammeverk for løpende oppfølging av det ansvar for informasjonssikkerhet ulike grupper av ansatte har. Med grupper av ansatte tenker vi på: Den enkelte medarbeider Ledere på alle nivå Arkivansvarlig Fagansvarlige IKT-ansvarlig Informasjonssikkerhetsansvarlig 3

Overordnet mål Bjugn kommune presenterer; rett informasjon til rett person til rett tid. Bjugn kommune har et godt omdømme innenfor temaet Informasjonssikkerhet/Personvern. Delmål Plan for Informasjonssikkerhet er forankret i kommuneledelsen og inngår som en del av kommunens planverk. Arbeidet med informasjonssikkerhet inngår som en integrert del av kommunenes tjenesteproduksjon og skaper gode holdninger blant ansatte både i tenkning og praktisk håndtering av temaet. Innbyggerne har til en hver tid tilgang til korrekt og nødvendig informasjon i henhold til tjenesteyting fra kommunene. Sensitive eller fortrolige opplysninger er tilgjengelig kun for autorisert personell. Aktiviteten i Bjugn kommune skal kunne gjenopptas raskest mulig etter sikkerhetshendelser og brudd. Medarbeidere har tillit til at personlig informasjon blir ivaretatt på en tilfredsstillende måte fra ansettelse til fratredelse, også der vedkommende ikke kan forsvare sine interesser. Medarbeidere har tillit til at informasjonssikkerhet er forankret hos rådmann og i kommunenes ledelse. Medarbeiderne har faglige forutsetninger, myndighet og motivasjon til å kunne ivareta sitt ansvar i behandlingen av informasjon. All informasjon behandles i henhold til krav om opplysningsplikt, konfidensialitet, tilgjengelighet, integritet. Systemet tilfredsstiller Datatilsynets kriterier for et fullverdig internkontrollsystem. Grunnkrav System for oversikt behandlinger Det skal til en hver tid finnes oppdatert oversikt over kommunens behandlinger i Kvalitetssystemet RiskManager. Informasjonens skal tilfredsstille de krav som er nedfelt i lovgivningen. Akseptkriterier Det skal til en hver tid være fastsatt akseptkriterier innen: Personopplysninger Sensitive personopplysninger Kriteriene settes i Kvalitetssystemet RiskManager og skal avspeiles innen konfidensialitet, integritet og tilgjengelighet. Akseptkriteriene fastsettes i rådmannens årlige gjennomgang. Sikkerhetstiltak skal iverksettes slik at uvedkommende ikke skal kunne forårsake uønskede hendelser som medfører konsekvenser for enkeltmenneskers personvern. Kommunens ansatte skal ha tilstrekkelig kjennskap til hvilke sikkerhetsbestemmelser som gjelder i virksomheten slik at hendelser reduseres til et minimum. Kommunen registrerer en mengde personopplysninger/sensitive personopplysninger og 4

rene helseopplysninger. Utlevering av opplysningene kan medføre alvorlig tap av anseelse og integritet for dem det angjelder. Det er derfor nødvendig å sikre opplysningenes konfidensialitet. Dette hensynet går foran hensynet til tilgjengelighet og integritet. Det vil ikke være akseptabelt at medarbeidere kan forårsake konfidensialitetsbrudd uaktsomt eller ved forsett, eller at personer utenfor kommunen med overlegg kan få tilgang til disse. System for behandling av avvik Behandling av avvik gjøres i henhold til Bjugn kommunes forbedringsprosess og Personopplysningsforskriften 2-6 Avvik Dersom det forekommer brudd på informasjonssikkerheten skal dette meldes gjennom den elektroniske avviksmodulen i Kvalitetssystemet Risk Manager. Eksempler på hva som kan være et avvik på informasjonssikkerheten: utskrift kommer på feil skriver bærbart utstyr blir stjålet papirjournal ligger åpent tilgjengelig, bruker går fra arbeidsstasjonen usikkert bruker låner ut brukernavn og passord til andre brukere skriver ned passord på lapp brukers tilgang blir ikke meldt fjernet ved fratredelse, helse og personopplysninger blir sendt i usikret e-post autorisert bruker får ikke tilgang, urettmessig tilegnelse av taushetsbelagte opplysninger (snoking) System for risikovurdering Se Sikkerhetsbestemmelser i Personopplysningsforskriften 2-4 Risikovurdering I Bjugn kommune har rådmannen (behandlingsansvarlige) oversikt over de personopplysninger som behandles med elektroniske hjelpemidler, sammen med angivelse av hvilke opplysninger det er nødvendig å sikre konfidensialitet, tilgjengelighet eller integritet for. Oversikten benyttes som del av grunnlaget for risikovurderingen. Rådmann (behandlingsansvarlige) skal fastlegge kriterium for den risiko som kan aksepteres, eller eventuelt må reduseres ved hjelp av sikkerhetstiltak. Bjugn kommune skal gjøre trusselvurdering dersom det blir gjort endringer som vil påvirke informasjonssikringen. Dette kan være endringer i selve infrastrukturen eller endringer som gir et endret trusselbilde. Det skal gjennomføres risikovurdering i forhold til behandling av helse og personopplysninger. Informasjonssikkerhetsansvarlig har ansvar for å overvåke endringer i trusselbildet og starte prosessen med ny risikovurdering ved behov. Dette fratar ikke den enkelte daglig behandlingsansvarlig ansvaret for selvstendig å gjennomføre risikovurderinger ved behov. Risikovurdering skal gjøres i risikomodulen i Kvalitetssystemet RiskManager. Sikkerhetstiltak (rutiner/prosedyrer) Det skal være etablert nødvendige rutiner for ivaretakelse av sikkerheten. Disse skal være publisert i Kvalitetssystemet RiskManager og være bekjentgjort for alle ansatte. Sikkerhetstiltak skal iverksettes slik at uvedkommende ikke skal kunne forårsake uønskede hendelser som medfører konsekvenser for enkeltmenneskers personvern. Kommunens ansatte skal ha tilstrekkelig kjennskap til hvilke sikkerhetsbestemmelser som gjelder i 5

virksomheten slik at hendelser reduseres til et minimum. Rådmannens gjennomgang /sikkerhetsrevisjon. Sikkerhetsrevisjon i bruk av informasjonssystemet skal gjennomføres en gang pr. år. Sikkerhetsrevisjon skal omfatte: Vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Vurdere akseptkriterier. Vurdere endringer i behandlingsoversikt. Gjennomgang av rutiner. Vurdering av behov for nye risikovurderinger. Gjennomgang av avvik. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jfr. Personopplysningsforskriften 2-6. Egenkontroll Gjennomføres etter fastlagt mal for egenkontroll. Malen skal finnes i kvalitetssystemet RiskManager. Beredskap Detskal etableres en beredskapsplan som dekker: Ansvar for vaktordning av hendelser. Varslingsrutiner som dekker relevante personer og partnere Plan for gjenoppretting av normal drift. Databehandler Det skal forefinnes egen databehandleravtale mellom kommunen v/rådmannen (behandlingsansvarlig) og den som behandler persondata på vegene av kommunen. (Jf. Personopplysningsloven 2 nr. 5 og Helseregisterloven 2 nr. 9. ) Leverandører som gjennomfører sikkerhetstiltak, eller gjør annen bruk av informasjonssystemet på den behandlingsansvarliges vegne, skal tilfredsstille kravene i Personopplysningslovens kapittel 2. Det betyr at avtalen bør inneholde bestemmelser om avvikshåndtering og tilgangskontroll kontrollmekanismer for loggføring taushetsplikt sikkerhetsrevisjoner fysiske sikringstiltak oversikt over personell hos partene som skal ha tilgang til personopplysninger Dette er i overensstemmelse med Datatilsynets veileder om databehandleravtaler. Eksempler på ivaretakelse av kommunens-sikkerhetsmål. A. Fysiske sikringstiltak skal hindre at uautoriserte kan få tilgang til lokaler og utstyr der personopplysninger/sensitiv personopplysninger og annen beskyttelsesverdig informasjon behandles. B. Alle medarbeidere skal gis tilstrekkelig opplæring for å kunne utføre behandlinger på en forsvarlig måte. Videre skal arbeidet følges opp med planlagte og systematiske tiltak slik at de 6

ansatte får gode holdninger til behandling av personopplysninger og annen beskyttelsesverdig informasjon. C. Tilgang til systemer og intern informasjon skal kun gis medarbeidere etter lovhjemlet rett og tjenstlig behov i samsvar med regler om taushetsplikt. D. All informasjon som behandles av kommunen skal til enhver tid være fullstendig, oppdatert og korrekt, samt være tilgjengelig for virksomheten og offentlige registre der det er bestemt. E. All behandling av informasjon på vegne av kommunene skal være regulert gjennom formelle databehandleravtaler og kontrakter som ivaretar behandlingsansvarliges sikkerhetskrav. F. Registrering og bruk av sensitiv informasjon skal skje etter et definert formål. Helse og personopplysninger kan kun behandles etter et informert samtykke fra den registrerte, evt. annen lovfestet hjemmel for registreringen. Eksempler på hendelser vi ønsker å beskytte oss mot Felles hendelser for brudd på konfidensialitet, integritet, tilgjengelighet og kvalitet o Innbrudd i virksomhetens lokaler eller nettverk o Uautorisert bruk av brukerkonti o Angrep av virus eller ondsinnede programmer Brudd på konfidensialitet (helse- og personopplysninger og annen sensitiv informasjon på avveie) o Brukerfeil o Tap av bærbart utstyr o Tap av lagringsmedium o Utskrift liggende uavhentet på skriver, kopimaskin eller skanner o Utilsiktet utlevering av helse- og personopplysninger o Feilaktig eller mangelfull makulering o Kopiering av beskyttelsesverdig informasjon til flyttbare lagringsmedier Brudd på integritet (helse- og personopplysninger og annen sensitiv informasjon blir endret) o Brukerfeil o Uautorisert endring av informasjon o Ulike versjoner av dokumenter o Feilregistrering o Systemtekniske feil Brudd på tilgjengelighet (helse- og personopplysninger og virksomhetskritisk informasjon er utilgjengelig) o Brukerfeil o Nettverk eller system ute av drift o Brann, vannskade eller strømsvikt o Hærverk eller innbrudd o Tjenestenektangrep (virus) o Feilaktig makulering o Mangelfull arkivering Brudd på kvalitet (helse- og personopplysninger og virksomhetskritisk informasjon er ukorrekt, utdatert, irrelevant eller utilstrekkelig) o Manglende eller feil kompetanse o Brukerfeil ved registrering o Datatekniske feil o Ufullstendig registrering o Tidspress 7

Sikringstiltak Generelt Arbeidet med informasjonssikkerhet inngår som en integrert del av de oppgaver som påhviler kommunens enkelte enheter/avdelinger. Daglig behandlingsansvarlige/delegert daglig behandlingsansvarlige og andre ledere skal påse at tilfredsstillende informasjonssikkerhet oppnås ved behandling av personopplysninger innen den enkeltes myndighetsområde. Driftstekniske oppgaver i tilknytting til informasjonssystemet påhviler i første rekke Fosen IKT. All bruk av informasjonssystemet utføres i samsvar med på forhånd fastlagte rutiner /retningslinjer. Det påhviler den enkelte medarbeider å rapportere uønskede hendelser, eksempelvis i form av sikkerhetsbrudd, til nærmeste overordnede. Dette skal gjøres gjennom Avviksmodulen i kommunens kvalitetssystem RiskManager. Kommunens informasjonssystemer skal være konfigurert i samsvar med konfigurasjonskart og beskrivelser. Kun utstyr eller program eiet/disponert av kommunen skal inngå i informasjons-systemet. Bevisstgjøring / opplæring av ansatte Bevisstgjøring av de ansatte er en kontinuerlig prosess som krever at organisasjonen har fokus på dette gjennom opplæring, informasjon og i daglig væremåte. Bevisstgjøring omkring sikring og bruk av personopplysninger vil bli en del av den årlige opplæringen som skal gis den enkelte ansatt. Det skal også være rutiner for hvordan lære opp / gi innføring til nytilsatte. Rutiner I kvalitetssystemet RiskManager ligger til en hver tid oppdaterte rutiner som den en enkelte ansatt plikter å være kjent med. 8

Definisjoner Definisjoner i Personopplysningslov og forskrift 1. Personopplysning: Opplysninger og vurderinger som kna knyttes til en enkeltperson 2. Sensitive personopplysninger: Opplysninger om a. Rasemessige eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning b. At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling c. Helseforhold d. Seksuelle forhold e. Medlemskap i fagforening 3. Behandling av personopplysninger: Enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter 4. Personregister: Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen 5. Behandlingsanavarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. 6. Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige. 7. Registrert: Den som en personopplysning kan knyttes til. 8. Samtykke: En frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. 9. Konfidensialitet: Sikkerhet for at kun autoriserte personer får tilgang til følsom eller gradert informasjon, og at det på forhånd er foretatt en gyldig identifisering og autentisering av personen. En av tre egenskaper for informasjonssikkerhet sammen med integritet og tilgjengelighet. 10. Integritet: Sikkerhet for at informasjonen og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter. 11. Tilgjengelighet: Sikkerhet for at informasjonen er tilgjengelig for rett personell når det er nødvendig.. 9

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding