Sikkerhet og risikohåndtering i skyen. - juridisk vinkling

Like dokumenter
Ny personvernforordning Konsekvenser. Tommy Tranvik

Sekretariatet har utviklet et opplæringsprogram alle tillitsvalgte plikter å gjennomføre (link til tillitsvervet).

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Veiledning Risikoanalyse for Digital postkasse til innbyggere. Versjon 1.0

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

PERSONVERN. DIN INFORMASJON. DIN TRYGGHET

1 Om forvaltningsrevisjon

HALDEN BRANNVESEN. Krav til brannsikkerhet ved arrangementer i Halden kommune

STYRING OPPFØLGING AV LOVKRAV OG ØVRIGE MYNDIGHETSKRAV

PLAN FOR FORVALTNINGSREVISJON Malvik kommune. Utkast til kontrollutvalget

PLAN FOR FORVALTNINGSREVISJON Skaun kommmune. Vedtatt i sak 23/15

Prosedyre for fullmakter mellom HAMU og AMU. Ansvarlig: Svein Sivertsen Verifisert: Godkjent: Side: 1 av 7

Revisjoner av skytjenester under GDPR

HALDEN BRANNVESEN. Krav til brannsikkerhet ved arrangementer i Halden kommune.

PLAN FOR FORVALTNINGSREVISJON Hemne kommune. Vedtatt i kommunestyret i sak 89/16

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

LÆRINGS- og GJENNOMFØRINGSPLAN

Høringsuttalelse til høring NOU 2017: 14- gjennomføring av markedsmisbruksforordningen sanksjoner og straff

Offentlige anskaffelser - følges regelverket

PLAN FOR FORVALTNINGSREVISJON Selbu kommune. Vedtatt i sak 10/17 i kommunestyrets møte

KRAV TIL BRANNSIKKERHET VED

Pensum for Kvalitetsrevisorer og Revisjonsledere Kvalitet

1 Bakgrunn og formål med forvaltningsrevisjon Om planlegging av forvaltningsrevisjon... 2

Jubileumskonferanse for vernepleiere desember Fylkesmannens rolle og ansvar knyttet til faglig forsvarlighet

Norsk Bridgeforbund personvernpolicy

KONKURRANSEGRUNNLAG INSTRUKS TIL TILBYDER FRA STATENS BYGNINGSTEKNISKE ETAT OM LEVERING AV

PLAN FOR FORVALTNINGSREVISJON Tydal kommune. Vedtatt i kommunestyret , sak 109/16.

Retningslinjer for administrasjon og avleggelse av Prøven for faglig ansvarlig for offentlig tilsyn med elektriske anlegg

PROSJEKTBESKRIVELSE ROS-ANALYSE FOR BRANN- OG REDNINGSTJENESTEN HAMMERFEST KOMMUNE

Seminar i regi av Den norske dataforening Advokatene Eva Jarbekk og Øyvind E. Ransedokken. 21. juni 2016

1 Bakgrunn og formål med forvaltningsrevisjon Om planlegging av forvaltningsrevisjon... 2

Bilag til SSA-T/SSA-V/SSA-D. Bilag 4. Prosjekt- og fremdriftsplan. Anskaffelse av analyse- og informasjonsplattform /345746

Det integrerte universitetssykehuset. O-SAK Orientering om Felles støttefunksjoner for forskning, innovasjon og utdanning - FIU

Oppfølging KU-saker Grue-2008 Møte Saknr. Sak Vedtak Sendes/ Behandlet Oppfølging Ferdig. Sist redigert

RAPPORT. Tilsynskampanje i kommunene i Midt-Rogaland. Matservering i barnehager

Tema. Arbeidsmarkedskriminalitet Hva kan du gjøre før det er for sent? May Martinsen

Høyt & lavt Bø i Telemark AS. TILSYNSRAPPORT NR. 17/925-3 med pålegg

PLAN FOR FORVALTNINGSREVISJON Tydal kommune. Utkast til kontrollutvalgets møte , sak XX/16.

Konkurransegrunnlag Bistand til kartlegging og analyse av arbeidsprosesser samt utvikling av funksjonell prototyp

Nye personvernregler og forskning: reaksjoner og mulige konsekvenser. Tommy Tranvik

Unntatt offentlighet jfr forvaltningsloven 13

Sikkerhets- og samhandlingsarkitektur ved intern samhandling

IKT-Strategi og handlingsplan For felles IKT-satsning i Gjøvikregionen

Plan for forvaltningsrevisjon Hemne kommune

HMS-plan Vikaune Fabrikker as...

Bilag 1 Kundens beskrivelse av Oppdraget

Tolkning og anvendelse personvernforordningen mellom uavhengighet og harmonisering. Dana Jaedicke juridisk seniorrådgiver

Delavtale mellom Sørlandets sykehus HF og Lund kommune

SAMISK HØGSKOLES KVALITETSSIKRINGSSYSTEM

Aktivitet Hensikt Oppgaver Resultat Ansvarlig

Til alle ansatte og studenter ved Kunsthøgskolen I Oslo.

Unntatt offentlighet jfr forvaltningsloven 13

Arbeidsgivers kontroll med ansatte i lys av personvernreglene (GDPR) Tommy Tranvik

Yrkeskvalifikasjonsdirektivet 2005/36/EF med endringer 2013/55/EU. Linda Jamtvedt Børresen, seniorrådgiver NOKUT

Venstres innspill til politiske samtaler om asylfeltet

PLAN FOR FORVALTNINGSREVISJON Hemne kommune. Vedtatt av kommunestyret i sak 115/12

D2-K Krav til kvalitetssystem

PLAN FOR FORVALTNINGSREVISJON (UTKAST) Hemne kommune. Vedtatt av kommunestyret XX.XX.2012 i sak XX/12

Sak 23/17. Representantskapsmøte Reviderte retningslinjer for ekstern revisor og revidert styreinstruks

Forebygging og håndtering av vold og trusler mot ansatte

Jakten på tidstyvene i Asker

1 Bakgrunn og formål med forvaltningsrevisjon Om planlegging av forvaltningsrevisjon...2

Anskaffelsesstrategi. for perioden

Norsk forening for farlig avfall

PLAN FOR FORVALTNINGSREVISJON Agdenes kommune. Vedtatt i kommunestyre, sak xx/xx

Uønskede hendelser og risikoforhold registrering og analyse av avvik

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

HM S -PERM oljevern HMS OLJEVERN, DEL 1 ORGANISERING, REGLER OG KRAV 0 Rev

Plan for utarbeidelse av gevinstrealiseringsplan for Nordre Follo

k o n f i d e n s i e l t (sett kryss) Sted: Dato: Praksislærers underskrift: Rektors underskrift:

ENDELIG TILSYNSRAPPORT

Forpaktningskontrakt for FeFo sin rett til å forvalte fiske i XXXXXXX

Forslag til rutiner PLANLEGGING, TILRETTELEGGING OG OPPFØLGING VED IKKE BESTÅTTE PRØVER I AFR

UTKAST Instruks for valgkomiteen i Sparebanken Telemark

Kommunens utfordringer knyttet til informasjonsforvaltning

1 Bakgrunn og formål med forvaltningsrevisjon Om planlegging av forvaltningsrevisjon... 2

Rutiner for ansvar og kontroll ifb. bidrags og oppdragsfinansiert aktivitet (BOA), IME fakultetet, 20. september 2011

KOFA - Klagenemnda for offentlige anskaffelser

1 Bakgrunn og formål med forvaltningsrevisjon Om planlegging av forvaltningsrevisjon... 2

Obligatorisk oppgave INF3221/4221

Vedtekter for Norsk Post- og Kommunikasjonsforbund, Nord - Norge krets

Notat om foranalysene. Fellestrekk og refleksjonsspørsmål

Det er fire faser i saksbehandling i Kontaktpunkt i tråd med OECDs retningslinjer og Kontaktpunktets saksbehandlingsregler ( Retningslinjene ).

Retningslinjer for søknad om og tildeling av klinisk korttidsstipend 2014

Regional planlegging og nytten av et godt planprogram. Linda Duffy, Østfold fylkeskommune Nasjonal vannmiljøkonferanse, 27.

Flytoget AS TILSYNSRAPPORT NR

Lokaler - melding (frisør, hudpleie) /søknad om godkjenning (tatovering, hulltaking)

Modul for forsikringsrisiko

INTERNASJONAL AVTALE FOR HELSE OG SIKKERHET FOR KONSERNET GDF SUEZ INNLEDNING

Innhold. 1. Innledning Strategi og overordnede retningslinjer Strategi Risikorammer Sentrale retningslinjer...

Tilsynsrapport - revisjon

Veileder for leverandører, Konsulenttjenester HR, OU og rekruttering

Personvernsreglene. Bruk og beskyttelse av personopplysninger. Vår Policy om Personvern

<PROSJEKTNAVN> FP13/DR15 Arbeidsbeskrivelse for funksjonskontroll

Retningslinjen er veiledende for alle kliniske legemiddelutprøvinger som gjennomføres ved Oslo universitetssykehus HF.

Utkast til Anleggskonsesjon

Til bruker som har fylt 16 år: Spørsmål om deltakelse i Barnefedmeregisteret i Vestfold

Deres ref. Vår ref. Arkivkode Dato 05/1743 SL EGJ/Tiz

Rapport fra rådgivningsgruppe for økonomistyring ved St. Olavs Hospital HF

Transkript:

Sikkerhet g risikhåndtering i skyen - juridisk vinkling Heldagsseminar m sikkerhet g integrasjn i skyen Den nrske datafrening, 16. september 2015 Advkat Øyvind Eidissen Ransedkken 1

Hva er datasikkerhet? Knfidensialitet Integritet Tilgjengelighet Jf. persnpplysningslvens krav til infrmasjnssikkerhet ved behandling av persnpplysninger (pl. 13) Cpyright 2015 Føyen Trkildsen All Rights Reserved. 2

Hva er en persnpplysning? Persnpplysningslven 2 (Definisjner): «Opplysninger g vurderinger sm kan knyttes til en enkeltpersn» Persnpplysningslvens frarbeider: Med «enkeltpersn» menes en persn sm direkte eller indirekte kan identifiseres F.eks. ved hjelp av navn, identifikasjnsnummer eller andre kjennetegn sm bilde, persnens stemme, fingeravtrykk eller genetiske kjennetegn Cpyright 2015 Føyen Trkildsen All Rights Reserved. 3

Persnpplysninger - betydningen av kryptering Krypterte persnpplysninger er frtsatt persnpplysninger, så lenge nen sitter med nøkkelen selv m dette ikke er databehandleren selv Persnpplysningslvens krav gjelder på vanlig måte fr behandling av slike data Ny EU-frrdning m persnvern i løpet av 2015: Frslag m at regler m varslingsplikt til datasubjektet ved datainnbrudd ikke skal gjelde når dataene er kryptert Cpyright 2015 Føyen Trkildsen All Rights Reserved 4

Hva er risikhåndtering? Lvmessige krav Tekniske krav Hvilke avtalemekanismer er på plass? Helhetlig teknisk g juridisk vurdering av m skyløsningen tilfredsstiller etablerte akseptkriterier fr risik Iverksettelse av nødvendige tiltak? Cpyright 2015 Føyen Trkildsen All Rights Reserved. 5

Oversikt Fragmentarisk regelverk setter rammer fr surcing av IKTtjenester i nettskyen i lys av datasikkerhetsaspekter Persnvern g behandling av persnpplysninger Krav til datasikkerhet g risikvurderinger Internkntrll g revisjnsadgang Begrensninger mht. verføring av data ver landegrenser Særkrav til lkal lagring (bkføringspplysninger) Bank g finans HMS i virksmheter Cpyright 2015 Føyen Trkildsen All Rights Reserved 6

Manglende cmpliance - str risik Ekspnerer virksmheten fr øknmisk risik Frsinket gjennmføring g ekstra kstnader ved å skulle gjøre løsningen cmpliant i etterkant Kan føre til tap av eller skade på mdømme Tilsynsmyndigheter vil fte bekjentgjøre brudd på rammebetingelser i media Kan føre til pålegg fra tilsynsmyndighet Prsjekt kan bli stanset, eller det blir stillet krav til endringer i leveransmdell Kan utsette virksmheten fr vertredelsesgebyr eller straff Gebyr eller bøter - tilsynsmyndighet Straffesak - pliti/påtalemyndigheter Cpyright 2015 Føyen Trkildsen All Rights Reserved 7

Persnvern i skyen hva er rllene? Virksmhet sm surcer sin databehandling i skyen er gjerne databehandlingsansvarlige Leverandører vil ftest være databehandlere Behandlingsansvarlig (kunden) har ansvar fr ppfyllelse av persnvernlvgivningen Hvr er data? Hvem har tilgang til data? Hvem har rettigheter til data? Hvr gdt sikret er data? Retting, sletting g supplering? Innsyn fra datasubjekter? Cpyright 2015 Føyen Trkildsen All Rights Reserved. 8

Persnpplysningslven Behandlingsansvarlig g databehandler i skyen Krav m databehandleravtale Bare behandle på den måte sm er skriftlig avtalt med den behandlingsansvarlige Bruk av underleverandør må avtales Avtalen må angi plikt til å gjennmføre slike sikringstiltak sm følger av pl. 13 Hvr befinner data seg? Overføring av data til utlandet Cpyright 2015 Føyen Trkildsen All Rights Reserved. 9

Pl. 13: Infrmasjnssikkerhet Gjennm planlagte g systematiske tiltak sørge fr tilfredsstillende infrmasjnssikkerhet fr knfidensialitet, integritet g tilgjengelighet ved behandling av persnpplysninger En behandlingsansvarlig sm lar andre få tilgang til persnpplysninger, skal påse at disse ppfyller kravene til infrmasjnssikkerhet Infrmasjnssystemet g sikkerhetstiltakene skal dkumenteres Dkumentasjnen skal være tilgjengelig fr medarbeiderne hs den behandlingsansvarlige g hs databehandleren Dkumentasjnen skal gså være tilgjengelig fr Datatilsynet g Persnvernnemnda Cpyright 2015 Føyen Trkildsen All Rights Reserved. 10

Infrmasjnssikkerhet iht. persnpplysningsfrskriften 2-4 Risikvurdering Over hva slags persnpplysninger sm behandles Virksmheten skal selv fastlegge kriterier fr akseptabel risik frbundet med behandlingen av persnpplysninger Gjennmføring av risikvurdering fr å klarlegge sannsynligheten fr g knsekvenser av sikkerhetsbrudd Resultatet av risikvurderingen skal dkumenteres Cpyright 2015 Føyen Trkildsen All Rights Reserved. 11

Infrmasjnssikkerhet iht. persnpplysningsfrskriften 2-5 Sikkerhetsrevisjn Sikkerhetsrevisjn av bruk av infrmasjnssystemet skal gjennmføres jevnlig Skal mfatte vurdering av rganisering, sikkerhetstiltak g bruk av kmmunikasjnspartner g leverandører 2-6 Avvik Uautrisert bruk av infrmasjnssystemet behandles sm avvik Resultatet fra sikkerhetsrevisjn skal dkumenteres Uautrisert utlevering varsling til Datatilsynet Avviksbehandling skal dkumenteres Cpyright 2015 Føyen Trkildsen All Rights Reserved. 12

Datatilsynet m risikvurdering g infrmasjnssikkerhet Den behandlingsansvarlige skal gjennmføre en risikvurdering fr sin behandling av persnpplysninger. i lys av «etablerte akseptkriterier fr risik» iverksette «nødvendige tiltak fr å ppnå en tilfredsstillende infrmasjnssikkerhet» må kunne frvisse seg m at clud-tjenesten sm blir tatt i bruk møter de kravene sm er fastlagt under arbeidet med akseptkriteriene g risikvurderingen Skjerpede krav til risikvurderingen når man går fra egen drift til cludbaserte løsninger, siden persnpplysningene vil ligge utenfr den behandlingsansvarliges direkte kntrll. Hvrdan skal den behandlingsansvarlige frvisse seg m at infrmasjnssikkerheten faktisk er tilfredsstillende? Cpyright 2015 Føyen Trkildsen All Rights Reserved. 13

Datatilsynet krever jf. Micrsft 365 i Mss Kmmune: Databehandleren må kunne legge frem dkumentasjn fr infrmasjnssystemets utfrming g sikkerhetsløsninger, slik at den behandlingssansvarlige kan frvisse seg m at løsningen har tilfredsstillende infrmasjnssikkerhet sett pp mt risikvurdering g akseptkriterier Databehandleren ikke kan endre infrmasjnssikkerhetstiltak uten at den behandlingsansvarlige er blitt infrmert skriftlig g har gdkjent endringen Cpyright 2015 Føyen Trkildsen All Rights Reserved. 14

Særlige prblemstillinger vedr. persnvern i skyen Leverandører av clud-tjenester har i utgangspunktet nen frdeler i frhld til tradisjnelle leverandører av servertjenester, f. eks i frm av mer fleksible g integrerte løsninger. Slike frdeler fører gså med seg nen særlige prblemstillinger Sikkerhetskpiering/speiling redundans/verføring? Segmentering «sammenblanding» av data? Tilgangsstyring autrisert g uautrisert bruk Dkumentasjn av løsningen ifm. kntrllfrmål Cpyright 2015 Føyen Trkildsen All Rights Reserved. 15

Kntrll g ppfølging revisjnsadgang Behandlingsansvarlig må kunne etterprøve at data ppbevares g behandles i henhld til gjeldende krav Må ha adgang til kntrll, revisjn g innsyn fr å frsikre seg m at lvgivningens krav verhldes Sikre tilsvarende rett fr Datatilsynet Særlige utfrdringer verfr clud-leverandør Tredjepartsrevisjn? Cpyright 2015 Føyen Trkildsen All Rights Reserved. 16

Regler m internkntrll Persnpplysningslven 14 (behandlingsansvarlig) Etablere g vedlikehlde planlagte g systematiske tiltak sm er nødvendige fr å ppfylle kravene i eller i medhld av pl. Den behandlingsansvarlige skal dkumentere tiltakene Dkumentasjn tilgjengelig fr medarbeiderne hs den behandlingsansvarlige g databehandleren, Datatilsynet g Persnvernnemnda Datatilsynets veileder Cpyright 2015 Føyen Trkildsen All Rights Reserved. 17

Ny EU-frrdning m persnvern i løpet av 2015 EU-kmmisjnen la frem frslag m ny persnvernfrrdning i 2012 Behandles først i EU-kmmisjnen, deretter i EU-parlamentet g til slutt i Ministerrådet EUs justisministre er nylig blitt enige m en felles psisjn m frslaget til ny persnvernfrrdning Frhandlinger mellm Ministerrådet g Eurpaparlamentet med sikte på et kmprmiss står fr tur Ministerrådet g Eurpaparlamentet behandler gså et frslag til nytt direktiv m beskyttelse av persnpplysninger, sm i hvedsak mhandler frebygging, avsløring, undersøkelser eller rettsfrfølgning av vertredelser Etter en gitt tidsfrist vil den nye EU-frrdningen m persnvern gis direkte virkning i alle EU-land Nrge, Island g Liechtenstein blir frpliktet til å vedta tilsvarende lvendringer i nasjnale lver gjennm EØS-avtalen Cpyright 2015 Føyen Trkildsen All Rights Reserved. 18

Hvedtrekk i ny EU-frrdning m persnvern Ett felles regelverk fr behandling av persnpplysninger innenfr EU g EØS Mer mfattende regelverk Økt ansvar fr virksmheter sm behandler persnpplysninger Bøtenivå fr regelbrudd på pptil 5 % av selskapets glbale msetning, ppad begrenset til 100 milliner eur (ca. 930 milliner krner) Rammer små selskaper hardest btrabatt fr de største selskapene Tungt ansvar på virksmhetsinterne persnvernmbud Unødvendige administrative ppgaver fr selskaper sm behandler persnpplysninger frenkles eller fjernes mindre grad av varslinger g knsesjner Nasjnale datatilsyn skal styrkes slik at de i større grad kan påse at regelverket blir verhldt økt fkus på kntrll av virksmheters «cmpliance» Cpyright 2015 Føyen Trkildsen All Rights Reserved. 19

Hvedtrekk i ny EU-frrdning m persnvern Alle selskaper sm lagrer persnpplysninger m mer enn 5000 persner må følge frrdningen Selskaper trenger bare gdkjenning i ett EU-land fr å perere på tvers i Eurpa Nye regler av betydning fr enkeltindivider Enkeltindiviter har rett til å frhlde seg til Datatilsynet i sitt hjemland selv m den enkeltes persnpplysninger er lagret i et annet EU-land Varslingsplikt ved datainnbrudd umiddelbart g senest innen 24 timer Krav til eksplisitt samtykke fr innsamling av data Plikter mht. enklere tilgang g flytting av egne data «Right t be frgtten» Cpyright 2015 Føyen Trkildsen All Rights Reserved. 20

Lvgivning knyttet til bank g finans IKT-frskriften frvaltes av Finanstilsynet FOR 2003-05-21 nr. 630: Frskrift m bruk av infrmasjns- g kmmunikasjnsteknlgi (IKT) Innehlder viktige krav vedr bruk av IKT-teknlgi i virksmheter sm Finanstilsynet er tilsynsmyndighet fr (bank- g finansfretak) Eksempler på sentrale bestemmelser 2 Planlegging g rganisering av IKT-virksmheten 3 Risikanalyse 12 Utkntraktering (Outsurcing) Cpyright 2015 Føyen Trkildsen All Rights Reserved. 21

IKT-Frskriften 2 - Planlegging g rganisering Fretaket skal fastsette verrdnede mål, strategier g sikkerhetskrav fr IKT-virksmheten. Det skal freligge beskrivelse av den enkelte prsess g hvrdan ansvaret fr administrasjn, anskaffelse, utvikling, drift, systemvedlikehld, sikring av infrmasjn g avvikling utføres på en betryggende måte. Ved utkntraktering av deler eller hele IKT-virksmheten skal fretaket ha egne retningslinjer sm skal sikre leveransen. Det skal ppnevnes en ansvarlig i fretaket fr de ulike deler av IKTvirksmheten. Med ansvarlig menes en funksjn eller stilling. Cpyright 2015 Føyen Trkildsen All Rights Reserved. 22

IKT-Frskriften 3 - Risikanalyse Fretaket skal fastsette kriterier fr akseptabel risik frbundet med bruk av IKT-systemene. Fretaket skal ha en dkumentert prsess fr gjennmføring av risikanalyser av IKT-virksmheten. Prsessen skal blant annet definere klare ansvarsfrhld g mfatte ppfølging av tiltak sm iverksettes sm et resultat av den gjennmførte risikanalysen. Fretaket skal minst en gang årlig, eller ved endringer sm har betydning fr IKT-sikkerheten, gjennmføre risikanalyser fr å påse at risik styres innenfr akseptable grenser i frhld til fretakets virksmhet. Resultatet av risikanalysen skal dkumenteres. Cpyright 2015 Føyen Trkildsen All Rights Reserved. 23

IKT-frskriften 12 - Utkntraktering - Ansvar Fretaket har ansvar fr at IKT-virksmheten ppfyller alle krav sm stilles etter denne frskrift. Dette gjelder gså der hele eller deler av IKT-virksmheten er utkntraktert. Det skal freligge en skriftlig avtale sm sikrer dette. Avtalen må sikre at fretak under tilsyn gså gis rett til å inspisere g kntrllere de av leverandørens aktiviteter sm er knyttet til avtalen. Avtalen skal gså sikre håndtering av taushetsbelagt infrmasjn. Avtalen skal videre sikre at Finanstilsynet gis tilgang til pplysninger fra g tilsyn hs IKT-leverandøren der Finanstilsynet finner det nødvendig sm et ledd i tilsynet med fretaket. Fretaket skal sikre, i egen regi eller gjennm et frmalisert samarbeid med andre fretak enn IKT-leverandøren, at rganisasjnen besitter tilstrekkelig kmpetanse til å frvalte utkntrakteringsavtalen. Cpyright 2015 Føyen Trkildsen All Rights Reserved. 24

Lvgivning knyttet til bank g finans På bank- g finansmrådet har lvgivningen en rekke særkrav til risikvurderinger g sikkerhet Betalingssystemlven (LOV 1999-12-17 nr 95: Lv m betalingssystemer m.v.) innehlder i 3-2 et krav m meldeplikt til Finanstilsynet m etablering g drift av system fr betalingstjenester Denne meldeplikten innebærer gså en plikt til å melde fra ved utsurcing av ppgaver knyttet til slik etablering g drift Verdipapirregisterlven 5-1 medfører et krav m gdkjennelse fra Finanstilsynet ved utsurcing av tjenester knyttet til drift av verdipapirregister Cpyright 2015 Føyen Trkildsen All Rights Reserved. 25

Arbeidsmiljø - Internkntrllfrskriften 5 Frskrift m systematisk helse-, miljø- g sikkerhetsarbeid i virksmheter Utkntraktering Fretaket har ansvar fr risikstyring g internkntrll gså der deler av virksmheten er utkntraktert Det skal freligge en skriftlig avtale sm sikrer dette Avtalen må sikre at fretaket gis rett til innsyn i g kntrll med utkntraktert virksmhet Avtalen skal sikre at Finanstilsynet gis tilgang til pplysninger fra g tilsyn med virksmheten der Finanstilsynet finner det nødvendig Fretaket skal sørge fr at rganisasjnen besitter tilstrekkelig kmpetanse til å håndtere utkntrakteringsavtalen Cpyright 2015 Føyen Trkildsen All Rights Reserved. 26

Lvgivning knyttet til hhv. hvitvasking g bkføring Hvitvaskingslven 12 innehlder detaljerte krav m utsurcing av kundekntrll Bkføringslven 13 pålegger krav m hvr data kan lagres Regnskapsmateriale sm nevnt i første ledd nr. 1 til 4 skal ppbevares i Nrge i fem år etter regnskapsårets slutt Unntak er gjrt fr lagring i land Nrge har bilateral avtale m kntrll med skattepplysninger med Sverige, Danmark, Island g Finland Cpyright 2015 Føyen Trkildsen All Rights Reserved. 27

Øyvind Eidissen Ransedkken Mbil: +47 95 97 74 15 E-pst: er@fyentrkildsen.n Cpyright 2015 Føyen Trkildsen All Rights Reserved. 28

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding