VIRKE. 12. mars 2015

Like dokumenter
Personopplysninger og opplæring i kriminalomsorgen

Kan du legge personopplysninger i skyen?

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Endelig kontrollrapport

Endelig kontrollrapport

Internkontroll og informasjonssikkerhet lover og standarder

Endelig kontrollrapport

Endelig kontrollrapport

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Databehandleravtaler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Bruk av skytjenester og sosiale medier i skolen

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Endelig Kontrollrapport

Kommunens Internkontroll

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Databehandleravtale etter personopplysningsloven

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Policy for personvern

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Endelig kontrollrapport

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Bilag 14 Databehandleravtale

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Personvern og informasjonssikkerhet

Personvern og informasjonssikkerhet i UH sektoren

Internkontroll i mindre virksomheter - introduksjon

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

GDPR Ny personvernforordning

Endelig kontrollrapport

Endelig kontrollrapport

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Personopplysningsloven og annet «snacks»

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Endelig kontrollrapport

Foreløpig kontrollrapport

Endelig kontrollrapport

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

KF Brukerkonferanse 2013

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Endelig kontrollrapport

Underbygger lovverket kravene til en digital offentlighet

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Prosedyre for personvern

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

BEHANDLING AV PERSONOPPLYSNINGER

Nye personvernregler

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

ekommune 2017 Prosessplan for god praksis om personvern

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Personopplysningsvern med ProFundo som databehandler

Databehandleravtale. Denne avtalen er inngått mellom

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Endelig kontrollrapport

Retningslinjer for databehandleravtaler

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Nytt personvernregelverk på 1-2-3

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Endelig kontrollrapport

Transkript:

VIRKE 12. mars 2015

Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter og rutiner Konsesjonsplikt Meldeplikt Rutiner Informasjonssikkerhet Organisering Risikovurderinger Avviksbehandlinger Databehandlere og databehandleravtaler Personvernombudsordningen 13.03.2015 Side 2

Hva er internkontroll og informasjonssikkerhet? rutiner for oppfyllelse av virksomhetens plikter og de registrertes rettigheter rutiner og tekniske tiltak for informasjonssikkerhet 13.03.2015 Side 3

Typiske funn Hvor trykker skoen? Manglende oversikt over egne behandlinger Hull i kunnskapen om innsyn og informasjon Manglende eller for dårlige risikovurdering Databehandleravtaler Hva er gjennomgående bra? Organisering og delegasjonsfullmakter Avviksbehandling internt Man har kunnskap, men ikke nedfelte rutiner 13.03.2015 Side 4

Andre observasjoner Er det forskjell på store og små? Ja, her er det store forskjeller Alle lever under samme regelverk uansett størrelse, men kunnskapen om regelverket er så som så 13.03.2015 Side 5

Internkontroll (etter personopplysningsloven) Denne består av tre hovedelementer: Styrende elementer, som i hovedsak retter seg mot ledelsen, herunder hvilke beslutninger og føringer de legger for internkontroll. Gjennomførende elementer, som i hovedsak retter seg mot ansatte. Her finner man beskrivelse av rutiner som er tilpasset den enkeltes arbeidssituasjon. Kontrollerende elementer, som bidrar til å fange opp avvik fra systemet og til at det gjennomføres periodiske gjennomganger. 13.03.2015 Side 6

Informasjonssikkerhet et ledelsesansvar Opplysninger som kan knyttes til individet, skal behandles i samsvar med personopplysningsloven. Grunnlag for behandling er basert på lovhjemmel eller samtykke fra den registrerte Uavhengig av grunnlaget har virksomheten plikt til å informere den registrerte om hvordan den har tenkt å behandle opplysningene Det må informeres om formål, rettigheter og lagringstid for opplysningene Ingen kan ta seg til rette og gjøre hva man vil med opplysningene man forvalter 13.03.2015 Side 7

Informasjonssikkerhet et ledelsesansvar Det forventes ikke alltid at øverste leder har inngående kunnskap om informasjonssikkerhet Derimot forventes det at personopplysninger er sikret på en forsvarlig måte, og at øverste leder kan garantere at dette blir gjort I praksis betyr det å sørge for at virksomheten har oversikt over; hvilke plikter som gjelder hvordan opplysninger behandles og sikres at alle rutiner knyttet til dette er godkjent og blir fulgt opp av alle ansatte 13.03.2015 Side 8

Prosessen for å etablere internkontroll og informasjonssikkerhet Utarbeide håndteringsrutiner Innledende oppgaver Behandlingsansvarlig Kartlegge formål med behandlinger og behandlingsgrunnlag. For håndtering av personopplysninger generelt i virksomheten. For ivaretakelse av de registrertes rettigheter. Iverksette styringssystem for informasjonssikkerhet Utarbeide sikkerhetsmål, strategi og akseptkriterier. Etablere sikkerhetsorganisasjon. Gjennomføre risikovurdering. Gjennomføre sikkerhetsrevisjon Oppfølging Utarbeide rutiner for avvikshåndtering og egenkontroll. Utarbeide rutiner for rapportering og forslag til tiltak. 13.03.2015 Side 9

Hva er personopplysninger? Personopplysninger Opplysninger og vurderinger som kan knyttes til en enkeltperson (personopplysningsloven 2 1) Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson, navn adresse lønn referanseuttalelser oppgavebesvarelser klientopplysninger skyldneropplysninger kundeopplysninger 13.03.2015 Side 10

Hva er sensitive personopplysninger? Sensitive personopplysninger Personopplysninger om (personopplysningsloven 2 8): Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling Helseforhold Seksuelle forhold Medlemskap i fagforeninger Sensitive personopplysninger er for eksempel informasjon om hvilke sykdommer en person har hatt, medisiner vedkommende bruker, straffedommer, tidligere og pågående rusmisbruk og seksuell legning. Det knytter seg et særlig behov for vern rundt sensitive personopplysninger, regelverket stiller derfor strengere krav til behandling av denne typen opplysninger. 13.03.2015 Side 11

Dokumentasjon av internkontrollsystemet Det er et lovpålagt krav at internkontrollsystemet skal være dokumentert. Dokumentasjonen er delt i tre emner: 1. Styrende dokumentasjon som ledelsen er ansvarlig for å utarbeide. 2. Gjennomførende dokumentasjon med rutiner og tiltak for daglig drift. 3. Kontrollerende dokumentasjon med rutiner for oppfølging, korrigering og forbedring av internkontroll og informasjonssikkerhet. 13.03.2015 Side 12

Virksomhetens leder er behandlingsansvarlig Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemidler som skal brukes (personopplysningsloven 2 nr 4). Behandlingsansvarlig er ansvarlig for etablering og vedlikehold av planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven, herunder sikre personopplysningenes kvalitet. (personopplysningsloven 14) 13.03.2015 Side 13

Kartlegge virksomhetens behandlinger Virksomheten skal ha en oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for at virksomheten skal kunne ivareta pliktene sine. Oversikten danner også grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved risikovurderinger. Informasjon Formål Lønn og personal: lønns- opplysninger Databehandler Person-opplysnings-loven, 8f Melding/ Konsesjon Unntatt i forskriftens 7-16 Behand-lingsgrunnlag Klassifikasjon Personopplysninger Sikkerhetsti ltak Lagring og kommunikasjon Opplysningenes omfang Ca. 130 ansatte Avdeling personalopplysninger Barnevern: vurdering og tiltak Helse- opplysninger: pasientjournal Elevadministrasjon elever / foresatte Barnevernloven, 3-1 Sensitive personopplysninger Helsepersonel-loven 39 Sensitive personopplyninger Opp-læringsloven 13-5 Meldt 14.01.2009 Meldt 14.01.2009 Personopplyninger Ca. 68 barn og foresatte Ca. 413 pasienter Ca. 219 søkere lærere Hendelsesregister: Person-opplysnings-loven, Unntatt i Person- Arkivlogg,n forskriftens opplyninger ettverks- 13.03.2015 logg over brudd 13 7-11 logg og serverlogg, Side 14 PC-logger

Plikter for den behandlingsansvarlige Meldeplikt Konsesjonsplikt Rutiner man plikter å ha Rutiner for kvalitetssikring av personopplysninger Rutiner for sletting av personopplysninger Rutiner for utlevering av personopplysninger til andre 13.03.2015 Side 15

Meldeplikt All behandling av personopplysninger er i utgangspunktet meldepliktig, jf. personopplysningsloven 31. En del behandlinger er imidlertid unntatt i personopplysningsforskriften. Dette gjelder blant annet utdanningssektorens personregistre og personalregistre. Krav til rutiner og sikkerhetstiltak gjelder selv om behandlingen er unntatt meldeplikt. (Personopplysningsforskriften kapittel 7) 13.03.2015 Side 16

Den registrertes rettigheter Den behandlingsansvarlige er pålagt å informere den registrerte om behandlingen som igangsettes. Der personopplysningene innhentes fra den registrerte selv skal informasjonen gis før behandlingen tar til. Informasjon skal gis uoppfordret, uten at den registrerte krever det, og uten kostnader for den registrerte. Plikt til å informere når det samles inn opplysninger fra den registrerte er beskrevet i personopplysningsloven 19. Plikt til å informere når det samles inn opplysninger fra andre enn den registrerte, er beskrevet i personopplysningsloven 20. 13.03.2015 Side 17

Rutiner for innsyn, retting og supplering Innsyn i virksomhetens generelle behandlinger Virksomheten skal ha rutine for behandling av forespørsel om innsyn i virksomhetens generelle behandlinger Innsyn i egne opplysninger Virksomheten skal ha rutine for behandling av forespørsel om innsyn fra mulig registrerte Retting og supplering Virksomheten skal ha rutine for behandling av forespørsel om retting og supplering for en registrert Ivaretakelse av eventuell reservasjonsrett mot automatiserte avgjørelser Den behandlingsansvarlige skal ha rutiner for manuell behandling, til bruk når noen reserverer seg mot automatiserte avgjørelser Innsyn i privat e-post og private filområder Datatilsynet anbefaler at virksomheten utarbeider utfyllende rutiner for når innsyn i e-post kan bli aktuelt og hvordan innsyn skal gjennomføres 13.03.2015 Side 18

Hva er informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger Informasjonssikkerhet omfatter beskyttelse av: konfidensialitet - uvedkommende får ikke tilgang på opplysningene integritet - opplysningene endres ikke uautorisert eller utilsiktet tilgjengelighet - opplysningene er tilgjengelige når tilgang er nødvendig 13.03.2015 Side 19

Sikkerhetsmål og sikkerhetsstrategi Sikkerhetsmålene omfatter ledelsens beslutninger om hva informasjonsteknologien skal brukes til i virksomheten og hvordan den skal benyttes for å nå virksomhetens øvrige mål. Sikkerhetsmål vil således utgjøre en del av virksomhetens beskrivelse av sin totale målsetting. Sikkerhetsstrategien skal omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Dette går på fordeling av arbeidsoppgaver mellom ledelse og driftspersonell, og beslutning om eventuelt å ta i bruk eksterne leverandører i sikkerhetsarbeidet. Forholdet mellom ledelse, driftspersonell, sikkerhetspersonell og den enkelte bruker må avklares her. 13.03.2015 Side 20

Sikkerhetsorganisasjon Det må nedsettes en sikkerhetsorganisasjon, og at denne skal dokumenteres. Det skal etableres klare ansvars- og myndighetsforhold med utgangspunkt i beslutninger tatt av virksomhetens ledelse (sikkerhetsstrategien). Ansvar og myndighet relatert til drift av informasjonssystemet (driftsledelse) og for oppfølging av sikkerhetsarbeidet (sikkerhetsledelse) må klarlegges. I mindre organisasjoner kan det være samme person som ivaretar disse oppgavene. For større organisasjoner må det fremlegges organisasjonskart som viser de nevnte funksjonene og deres plassering i forhold til ledelsen og virksomheten for øvrig. 13.03.2015 Side 21

Gjennomføre risikovurdering Formålet med risikovurdering er å sikre at den risiko som avdekkes ved behandling av personopplysninger er innenfor de akseptkriterier virksomheten har fastlagt Risiko betegner forholdet mellom sannsynligheten for at en uønsket hendelse vil inntreffe og konsekvenser av en slik hendelse. Virksomheten skal gjennomføre risikovurdering ved endringer i forhold som kan påvirke informasjonssikkerheten, for eksempel endringer i informasjonssystemet eller endringer i trusselbildet. Virksomheten skal minst en gang årlig gjennomføre risikovurdering bl.a. i forbindelse med vurdering av endringer i trusselbildet og/eller planlagte endringer i informasjonssystemet. 13.03.2015 Side 22

Eksempel på tabell over akseptabel risiko Konsekvens: Liten Moderat Stor Katastrofal Sannsynlighet: Lav Sensitive opplysninger om en ansatt på avveier. Uautorisert endring av opplysninger om en ansatt Sensitive opplysninger om alle ansatte på avveier. Moderat Utilgjengelighet av personalsystem i 24 timer Budsjettinformasjon på avveier. Styreinformasjon på avveier. Konkurransesensitiv informasjon på avveier. Høy Informasjon med lavt beskyttelsesbehov på avveier. En dags bortfall av sikkerhetskopiering. Ukjente mennesker i kontorlokalene Svært høy 13.03.2015 Side 23

Valg av og gjennomføring av sikkerhetstiltak Lage en beskrivelse av hvilke sikkerhetstiltak som er nødvendige for å motstå identifiserte trusler og avverge identifiserte uønskede hendelser Lage en aktivitetsplan for å ivareta informasjonssikkerhet for behandling av personopplysninger, som er i overensstemmelse med resultater av risikovurdering Lage en dokumentert budsjettplan som inkluderer en tidsog aktivitetsplan 13.03.2015 Side 24

Behandling av avvik Dersom personopplysninger håndteres i strid med fastlagte rutiner, eller det er mistanke om eller dokumentert brudd på informasjonssikkerhet, skal virksomheten iverksette avviksbehandling Formålet med avviksbehandling er å lukke avviket så raskt som mulig, gjenopprette normal tilstand og hindre gjentagelse Avviksbehandling består av: Å oppdage avviket Avviket rapporteres i henhold til intern organisering (på eget skjema) Iverksettelse av strakstiltak, blant annet med det formål å avgrense eventuelle følgeskader Iverksettelse av korrigerende tiltak for permanent å gjenopprette normal tilstand Vurdering av hvorvidt korrigerende tiltak fungerer etter sin hensikt 13.03.2015 Side 25

Oppsummering internkontroll og informasjonssikkerhet Et ledelsesansvar Dokumentasjonskrav Lag oversikt over behandlinger Gjennomfør jevnlige risikovurderinger Ha en tydelig ansvarsmatrise Ha en ryddig, tydelig og godt kjent avviksbehandling Informer alle ansatte om hvordan internkontroll og informasjonssikkerhet er implementert og jobbes med i organisasjonen. 13.03.2015 Side 26

Databehandleravtaler Det skal inngås databehandleravtale med alle som behandler data på vegne av virksomheten Det skal utarbeides oversikt over tilganger til informasjonssystemet og adgang til fysiske områder Det skal undertegnes taushetserklæringer for alle leverandørers personell med tilganger eller fysisk adgang? Alle leverandører skal ha en dokumentert og tilfredsstillende sikkerhetsløsning Alle eventuelle underleverandører skal være kjent og godkjent av virksomheten 13.03.2015 Side 27

Minimumskrav til databehandleravtaler 1. Angi formålet med behandlingen Det skal klart framgå av avtalen hva som er formålet med behandlingen av personopplysningene. 2. Beskriv hvordan personopplysningene skal behandles Det skal tydelig fremgå av avtalen hva databehandler skal gjøre med personopplysningene. Databehandler har ikke råderett over personopplysningene, og kan dermed heller ikke behandle disse til egne formål. Databehandler skal kun forholde seg til avtalen. Hvis han skal utlevere personopplysninger til andre eksterne parter må dette framgå klart av databehandleravtalen. Avtalen må inneholde bestemmelser om hvem som skal kunne få personopplysninger utlevert, og vilkår i tilknytning til dette. 3. Bruk av underleverandør skal reguleres i avtalen Hvis databehandler gjør bruk av underleverandører av tjenester, skal dette klart framgå av avtalen mellom databehandler og behandlingsansvarlig. 13.03.2015 Side 28

Minimumskrav til databehandleravtaler 4. Ivareta den registreres rettigheter Avtalen kan inneholde en arbeidsfordeling mellom behandlingsansvarlige og databehandler, for eksempel hvem som skal håndtere og behandle henvendelser fra de registrerte. 5. Avtalen må pålegge databehandleren å ha tilfredsstillende informasjonssikkerhet Avtalen må klargjøre hva databehandler skal ha på plass av sikringstiltak for å ivareta konfidensialitet, integritet og tilgjengelighet 6. Avtalens varighet må avtales Avtalen må inneholde opplysninger om avtalens varighet hva som skal skje med opplysningene etter at avtalen er opphørt 13.03.2015 Side 29

Personvernombud Den viktigste oppgaven til et personvernombud er å være en ressursperson, både for den behandlingsansvarlige og for de som er registrert. Personvernombudet bør være en som kjenner virksomheten, hvilke formål som ligger til grunn for behandlingen, hvilke fremgangsmetoder som benyttes og hvilke behandlingssystem som er innført. Personvernombudet skal føre oversikt over hvilke behandlinger av personopplysninger som gjøres i virksomheten. Personvernombudet skal bistå i opplæring internt i virksomheten og i behandling av klager fra både virksomhetens egne ansatte og eksterne aktører relatert til bruk av personopplysninger. Et personvernombud må godkjennes av Datatilsynet og deltar på opplæring og seminarer i regi av tilsynet. Virksomheter med personvernombud er fritatt fra den lovpålagte meldeplikten til Datatilsynet. Virksomhetens leder kan ikke være personvernombud. 13.03.2015 Side 30

Hvorfor en egen norm? 1. En felles forståelse av personvernet 2. Felles holdninger 3. Nedfelt i et felles omforent regelsett 13.03.2015 Side 31

Normen Alle krav som må oppfylles iht lovverket Bindende for alle virksomheter i sektoren Forvaltes av sektoren Lovverkets krav - ferdig tolket og tygd Ingen begrensninger utover lovverkets krav, dvs det er lovverket som setter begrensningene I tillegg: Forslag til praktiske løsninger 13.03.2015 Side 32

Hvordan ivareta kravene i Normen? Etablere eller revidere styringssystem for informasjonssikkerhet Gjennomføre risikovurdering av all behandling av helseopplysninger Lære opp medarbeidere i informasjonssikkerhet Gjennomføre nødvendige tiltak iht Normen og resultat fra risikovurdering Sørge for løpende oppfølging og bruk av styringssystemet 13.03.2015 Side 33

Bruk av private hjelpere Bruk av informasjonssikkerhetsløsnings leverandører To store som stort sett deler kommune markedet Digital kvalitet Kvalitetslosen Datatilsynet har gjennomført møter med begge og påpekt Hva vi opplever som bra med løsningene Hvor vi ser at de har forbedringspotensiale 13.03.2015 Side 34

Maler og hjelpemidler www.datatilsynet.no Her finnes det mye til bruk i etablering av tilfredsstillende internkontroll og informasjonssikkerhet. http://www.helsedirektoratet.no/lover-regler/norm-forinformasjonssikkerhet/sider/default.aspx 13.03.2015 Side 35

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding