Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014



Like dokumenter
Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Deres referanse Vår referanse Dato / /EOL

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Vår referanse (bes oppgitt ved svar)

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Vår referanse (bes oppgitt ved svar)

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Bedre personvern i skole og barnehage

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vår referanse (bes oppgitt ved svar)

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Endelig kontrollrapport

Pålegg om stans av behandling av personopplysninger - Gator AS

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Foreløpig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontroll av reseptformidleren endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Endelig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Endelig kontrollrapport

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Endelig kontrollrapport

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Foreløpig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Foreløpig kontrollrapport

Varsel om pålegg - Personvern og informasjonssikkerhet i smartklokker for barn - PepCall AS

Endelig kontrollrapport

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Deres referanse Vår referanse Dato 15/ /JSK

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

2016/1 l434/hesk 16/ /TJU Pålegg om overtredelsesgebyr - Misbruk av kamerasystem - NTNU - Olympiatoppen Midt-Norge

Foreløpig kontrollrapport

Deres ref Vår ref (bes oppgitt ved svar) Dato

Endelig kontrollrapport

Kommunens Internkontroll

Vedtak om overtredelsesgebyr - Harstad kommune - Publisering av sensitive personopplysninger på Internett

Endelig kontrollrapport

Kan du legge personopplysninger i skyen?

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

Vedtak om pålegg kameraovervåking hos Move treningssenter

Foreløpig kontrollrapport

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Internkontroll og informasjonssikkerhet lover og standarder

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Endelig Kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Endelig kontrollrapport

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Bilag 14 Databehandleravtale

Endelig kontrollrapport

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Databehandleravtaler

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Endelig kontrollrapport

Endelig kontrollrapport

Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

Foreløpig kontrollrapport

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Databehandleravtale etter personopplysningsloven

Vår referanse (bes oppgitt ved svar)

Transkript:

Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll hos Vestfold fylkeskommune ved Sandefjord videregående skole den 12. mars 2014 og vårt varsel om vedtak 2. juni 2014. Vurdering av tilsvar Datatilsynet mottok deres kommentarer til vårt varslede vedtak i brev av 11. september 2014. Vi ba om mer informasjon om Lanschool i e-post sendt 15. oktober 2014 og mottok svar 28. oktober 2014. Vi legger til grunn at dere ikke har merknader til innholdet i foreløpig kontrollrapport ellers og de øvrige vedtakspunktene. Rapporten gjøres dermed om til endelig rapport og de vedtak som gjelder avvik, og som ikke er lukket, fattes i tråd med varselet. Vestfold fylkeskommune foreslår selv ulike frister for å lukke avvik. Datatilsynet har ikke merknader til deres foreløpige plan for å lukke avvik og legger de angitte tidsfristene til grunn som frister i vedtak om pålegg. Vi har følgende kommentarer til det som fremkommer av deres gjennomgang av pålegg: Pålegg 1 Oversikt over behandlinger Vestfold fylkeskommune erklærer at arbeidet med å få oversikt over behandlinger vil bli Pålegg 2 - Innsyn, informasjon og sletting Vestfold fylkeskommune erklærer at rutiner for innsyn, informasjon, og sletting vil bli Pålegg 3 - Bruk av Lanschool Etter vår vurdering har Vestfold fylkeskommune iverksatt tilfredsstillende tiltak for å endre sin bruk av Lanschool slik at elever som ikke er til stede i klasserommet ikke blir overvåket. Avvikspunkt anses som lukket. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datatilsynet.no 0034 OSLO

Pålegg 4 - Bruk av Websence TRITON Webfilter Avvikspunktet gjelder Vestfold fylkeskommunes bruk av Websence TRITON Webfilter. I etterkant av kontrollen fikk vi tilsendt et eksempel på bruk som ikke er i tråd med et formål om administrasjon av systemet, og vi fattet vedtak om dette. Vestfold fylkeskommune mener at avviket i hovedsak må skyldes misforståelse av deres bruk. Fylkeskommunen erklærer at de kun benytter Websence TRITON Webfilter til å sperre uønsket innhold på nettet og logge hvilke nettsider som blir besøkt. URL-filteret beskytter dem mot virus og hindrer misbruk av båndbredde. For å beskytte mot urettmessig innsyn i loggene, har Vestfold fylkeskommune utarbeidet en ny prosedyre for innsyn i logger i Websence TRITON Webfilter. Dette for å sikre at virksomhetsleder alene ikke kan godkjenne innsyn, men at IKT-sjef også må godkjenne. Etter vår vurdering har Vestfold fylkeskommune iverksatt tilfredsstillende tiltak ved å innføre ny prosedyre for å hindre urettmessig innsyn i loggene. Fylkeskommunen har erklært at bruken av Websence TRITON Webfilter brukes kun å administrere systemet eller til å avdekke/oppklare brudd på sikkerheten i informasjonssystemet som samsvarer med personopplysningsloven. Avvikspunktet anses som lukket. Pålegg 5 - Dekryptering av HTTPS-trafikk Avvikspunktet gjelder Vestfold fylkeskommunes praksis med å dekryptere HTTPS-trafikk via proxyløsning. I etterkant av kontrollen ba vi om en beskrivelse av Websence TRITON Webfilter, og vi fikk da vite at verktøyet dekrypterer HTTPS-trafikk via en proxyløsning. Vi fattet vedtak om at dekryptering ikke skal gjøres på antatt sikre nettsteder med høyt behov for konfidensialitet. Vestfold fylkeskommune mener at avviket må skyldes en misforståelse. Fylkeskommunen opplyser om at Websence TRITON Webfilter kan brukes til dekryptering av HTTPS-trafikk, men at dette ikke blir gjort i Vestfold fylkeskommune. Datatilsynet tar Vestfold fylkeskommunes erklæring om at dekryptering ikke blir gjort, til etterretning. Avvikspunktet anses som lukket. Pålegg 6 - Informasjon om Lanschool og Websence TRITON Webfilter Etter vår vurdering har Vestfold fylkeskommune iverksatt tilfredsstillende tiltak til å gi informasjon om bruk av Websence TRITON Webfilter. Datatilsynet mener at fylkeskommunen ikke gir ut tilstrekkelig informasjon om bruk av Lanschool. Informasjonen som gis ut til elever og foresatte må minimum beskrive hva verktøyet faktisk gjør og når det vil bli brukt. Dokumentet «LanSchool - Slik bruker vi det hos oss», som ble sendt til Datatilsynet 28. oktober 2014, gir god informasjon og bør kunne gis ut til elever og foresatte, sammen med en lenke til veiledningsvideoen på YouTube.com. Informasjonen bør kunne ferdigstilles i løpet av 2014. Vi har satt en tidsfrist på ferdigstillelse i vedtakspunktet. 2

Pålegg 7 - Sikkerhetsmål og -strategi Vestfold fylkeskommune erklærer at arbeidet med sikkerhetsmål og sikkerhetsstrategi vil bli Pålegg 8 - Risikovurdering Vestfold fylkeskommune erklærer at risikovurderinger vil bli gjennomført i løpet av høsten 2015. Tiltak og tidsplan ser rimelig ut. Pålegg 9 - Sikkerhetsrevisjon Vestfold fylkeskommune erklærer at sikkerhetsrevisjon vil bli gjennomført i løpet av 2015. Tiltak og tidsplan ser rimelig ut. Pålegg 10 - Sikkerhetstiltak Vestfold fylkeskommune erklærer at arbeidet med sikkerhetstiltak vil bli gjennomført i løpet av høsten 2015. Tiltak og tidsplan ser rimelig ut. Pålegg 11 - Databehandleravtaler Vestfold fylkeskommune erklærer at arbeidet med databehandleravtaler vil bli gjennomført i løpet av våren 2015. Tiltak og tidsplan ser rimelig ut. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Vestfold fylkeskommune må utarbeide en oversikt over behandlinger av personopplysninger som foretas innenfor fylkeskommunens virksomhet i samsvar med personopplysningsloven 14 og 13, jf. personopplysningsforskriften 2-4. Vi viser til kontrollrapportens pkt. 5.1.3. 2. Vestfold fylkeskommune må dokumentere rutiner for innsyn, informasjon til den registrerte og sletting i samsvar med personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d og c. Vi viser til kontrollrapportens pkt. 5.1.4. 3. Vestfold fylkeskommune må gi informasjon til elevene i forbindelse med aktivering av Lanschool og bruk av Websense TRITON Webfilter, i samsvar med personopplysningsloven 19. Vi viser til kontrollrapportens pkt. 5.2.4. Frist settes til 1. januar 2015. 4. Vestfold fylkeskommune må gjennomgå sikkerhetsmål og -strategi, for å kartlegge om disse er hensiktsmessige og gir tilfredsstillende informasjonssikkerhet, i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-3. Vi viser til kontrollrapportens pkt. 5.3.2. 3

5. Vestfold fylkeskommune må dokumentere tilfredsstillende informasjonssikkerhet for informasjonssystemet og digitale læringsressurser. Risikovurderinger må gjennomføres, dokumenteres, og gjentas ved endringer som har betydning for informasjonssikkerheten, i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-4 og 2-16. Vi viser til kontrollrapportens pkt. 5.3.3. Frist settes til 31. oktober 2015. 6. Vestfold fylkeskommune må sørge for gjennomføring og dokumentasjon av sikkerhetsrevisjoner i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-5. Vi viser til kontrollrapportens pkt. 5.3.4. Frist settes til 31. desember 2015. 7. Vestfold fylkeskommune må dokumentere sikkerhetstiltak i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-14. Vi viser til kontrollrapportens pkt. 5.3.5. Frist settes til 31. oktober 2015. 8. Vestfold fylkeskommune må utarbeide databehandleravtaler med alle leverandører av systemer hvor personopplysninger blir behandlet i samsvar med personopplysningsloven 14, 15 og 13, jf. personopplysningsforskriften 2-15. Vi viser til kontrollrapportens pkt. 5.4. Frist settes til 1. mars 2015. Frist for gjennomføring av samtlige pålegg er 5. januar 2016. Vestfold fylkeskommune må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Med mindre annet er særskilt angitt krever vi ikke ytterligere dokumentasjon på at pålegget er gjennomført. Vi gjør imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. 4

Klageadgang Dere kan klage på dette vedtaket i henhold til forvaltningslovens bestemmelser. Dere må fremsette en eventuell klage overfor Datatilsynet senest 26. november 2014. Datatilsynet gjør i den forbindelse oppmerksom på at dere har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Eirin Oda Lauvset seniorrådgiver Martha Eike senioringeniør Kopi: Sandefjord videregående skole, Postboks 2006, 3202 SANDEFJORD Vedlegg: Endelig kontrollrapport 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding