Vår referanse (bes oppgitt ved svar)



Like dokumenter
Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Databehandleravtaler

Vedtak om pålegg - endelig kontrollrapport

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Vår referanse (bes oppgitt ved svar) 12/ /CBR

likestillings- og inkluderingsdepartementet

Ny postregulering - høringsuttalelse

Deres referanse Vår referanse Dato / /EOL

Personvern - sjekkliste for databehandleravtale

Vår referanse (bes oppgitt ved svar)

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Internkontroll og informasjonssikkerhet lover og standarder

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ / /CGN 9. april 2013

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale. Charlotte Lindberg Difi

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vår referanse (bes oppgitt ved svar)

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Vår referanse (bes oppgitt ved svar)

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Vår referanse (bes oppgitt ved svar)

Endelig kontrollrapport

Er din bedrift klar for ny personopplysningslov?

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Endelig kontrollrapport

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Postadresse Kontoradresse Telefon* Universitets- og

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Telenor Objects AS Sted: Fornebu

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Vedtak om overtredelsesgebyr - Publisering av personopplysninger i personalsak - Askvoll kommune

Endelig kontrollrapport

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Lydopptak og personopplysningsloven

FINANSDEPARTEMENTET 2. JULI 2009

Retningslinjer for databehandleravtaler

Databehandleravtale. Denne avtalen er inngått mellom

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Kontroll av reseptformidleren endelig kontrollrapport

Datatilsynets høringsuttalelse: Åpenhet om lønn - lønnsstatistikker og opplysningsplikt

Vår referanse (bes oppgitt ved svar)

Databehandleravtale etter personopplysningsloven

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

PERSONVERNERKLÆRING Behandling av personopplysninger i Øst-Revisjon DA

Bilag 14 Databehandleravtale

2. Kommentarer til de forslagene hvor dere særskilt ber om innspill

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Digitalt førstevalg. Digital postkasse som en del av digitalt førstevalg i forvaltningen. FINF 4001 høst 2016

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Personvern i arkivene Drammen, 7. september 2011

Kan du legge personopplysninger i skyen?

DET KONGELIGE KUNNSKAPSDEPARTEMENT JUSTISDFPARTENTfil. Vår ref /EMS. Vi viser til Justisdepartementets brev av 3. Juli d.å.

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Endelig kontrollrapport

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

Høringsuttalelse - Justis- og politidepartementet - Behandling av personopplysninger - Lov av

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Styringssystem i et rettslig perspektiv

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Transkript:

Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift om prøveordning med elektronisk kommunikasjon med domstolene og forslag om endringer i forskrift om postforkynning Datatilsynet viser til Justis- og politidepartementets høringsbrev av 10. juni 2011, med forslag til prøveordning med elektronisk kommunikasjon med domstolene. Datatilsynet har enkelte kommentarer til noen av punktene i høringen. Om personopplysningslovens virkeområde, jf 1-3 i personopplysningsforskriften Lovforslaget grunner på den forutsetning at personopplysningslovens bestemmelser ikke kommer til anvendelse for den aktuelle behandlingen, idet det vises til personopplysningsforskriftens 1-3. Datatilsynet savner en nærmere begrunnelse for departementets konklusjon, og kan ikke si seg fullt ut enig i denne. Unntaket i forskriftens 1-3 gjelder bare for saker som faktisk er under behandling i domstolene, og bare når behandlingen skjer i medhold av rettspleielovene. Det vises til bestemmelsens ordlyd: for saker som behandles eller avgjøres i medhold av rettspleielovene. Dette må for det første forstås slik at unntaket er tidsmessig avgrenset til å gjelde i saksbehandlingsperioden. Det vises i den forbindelse til den såkalte Grensepasseringssaken, som ble avgjort av Personvernnemnda i 2008 1. Nemnda uttaler følgende om forholdet mellom rettspleielovene og personopplysningsloven: Politiet og domstolenes behandling av personopplysninger under rettsbehandlingen frem til dom faller, er unntatt personopplysningsloven, men etter dom gjelder loven. Videre må ordlyden forstås slik at unntaket, selv i saksbehandlingsperioden, ikke gjelder for slik behandling av personopplysninger som ikke er knyttet til domstolenes saksbehandlingsvirksomhet. Det vises til at elektronisk forsendelse av dokumenter ikke naturlig faller inn under ordlyden: behandles eller avgjøres. Det vises videre til at unntaket er begrunnet i ønsket om en uavhengig rettspleie. At det oppstilles overordnede e systematiske krav om informasjonssikkerhet og internkontroll ved domstolenes kommunikasjonsvirksomhet 1 PVN,-2008-02 SSP Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside:

kan etter tilsynets vurdering ikke anses å svekke den uavhengighet som er nødvendig i forbindelse med deres saksbehandlingsvirksomhet. Da departementets konklusjon fremstår nærmest ubegrunnet, og har betydning utover i foreliggende sak, vil Datatilsynet be departementet om å foreta en ny vurdering av om domstolenes kommunikasjon faller utenfor personopplysningslovens virkeområde. Nærmere om forslag til ny forskrift Datatilsynets kompetanse Departementet foreslår å gjøre kapittel 2 i personopplysningsforskriften gjeldende for domstolenes elektroniske kommunikasjon. Dette gjelder allikevel ikke 2-2, som gir Datatilsynet adgang til å treffe enkelte pålegg overfor den behandlingsansvarlige. Datatilsynet antar at det er hensynet til domstolenes uavhengighet som ligger til grunn for avgrensningen. Tilsynet kan ikke se at informasjonssikkerheten ved domstolenes kommunikasjon har en slik sammenheng med domstolenes saksbehandling at pålegg knyttet konkret til informasjonssikkerhet kan være egnet til å svekke domstolenes uavhengighet, jf over. Datatilsynet er av den oppfatning at noen bør føre en kontroll med at den behandlingsansvarlige etterlever forskriftens krav til informasjonssikkerhet. Det er nærliggende å legge denne kompetansen til Datatilsynet, som en fagmyndighet på informasjonssikkerhet. Informasjonssikkerhet Dokumentene som skal håndteres elektronisk i løsningen vil kunne være av sensitiv karakter, jf personopplysningslovens 2 nr 8. Ved behandling av sensitive personopplysninger oppstilles et høyere krav til informasjonssikkerhet, særlig knyttet til tilgjengeliggjøring og kommunikasjon på og over Internett. Informasjonssikkerheten skal være tilfredsstillende med bakgrunn i en risikovurdering av de opplysninger som skal beskyttes. Den planlagte løsningen legger opp til at dokumenter (opplysninger) skal ligge i portalløsningen, slik at de er lett tilgjengelig for de involverte parter. Når sikkerheten skal fastsettes må det derved tas hensyn til at opplysningene vil kunne være sensitive, at de vil være underlagt lovbestemt taushetsplikt, og at det vil akkumuleres store menger opplysninger i løsningen. Tilsynet tenker særlig på at det må vurderes krav til autentisering, kryptering av innhold, hendelsesregistrering og revisjon. Lagring av en større mengde sensitive personopplysninger i en sentral portal uten tilstrekkelig sikring av integritet, konfidensialitet og tilgjengelighet kan ha et stort skadepotensiale, ikke bare for domstolene men også andre involverte pater. 2

Internkontroll Departementet foreslår ikke å oppstille krav om internkontroll for den aktuelle behandlingen. For Datatilsynet er det uklart hvorfor internkontrollplikten ikke gjøres gjeldende. For det første vises det til at internkontrollplikten er ansett å være en nødvendig forutsetning for at den behandlingsansvarlige skal kunne etterleve øvrige krav i regelverket for eksempel tilfredsstillende informasjonssikkerhet. Videre vises det til at interkontrollplikten ikke er særlig tyngende i seg selv. Kravet til interkontroll er relativt, hvilket innebærer at det internkontrollsystemet skal stå i rimelig forhold til behandlingens art og omfang, og til den behandlingsansvarliges virksomhet. Datatilsynet vil anbefale at det pålegges en plikt til å etablere interkontroll for domstolenes elektroniske kommunikasjonsvirksomhet. Sentral lagring og dobbeltlagring I en kontroll mot Altinn Sentralforvaltning og Skattedirektoratet tilbake i 2008 pekte tilsynet på enkelte problemer vedrørende sentral lagring og dobbeltlagring hos databehandleren Altinn: Personopplysninger kan behandles på vegne av andre med grunnlag i en databehandleravtale. Dette betyr i praksis at man, dersom man behandler personopplysninger på vegne av flere behandlingsansvarlige, må behandle informasjon for hver enkelt behandlingsansvarlig separat. Vedrørende dobbeltlagring viser tilsynet til vurderingen av Skattedirektoratet sitt servicearkiv under kontrollen i 2008. Dette er beskrevet i kontrollrapportens punkt 5.1.7, hvor det konkluderes med at dobbeltlagring ikke kan anses å være i samsvar med personopplysningslovens krav om gyldig behandlingsgrunnlag og sletting. Etter Datatilsynets vurdering bør opplysningene videreformidles til de enkelte partene kort tid etter innsamling, og ikke bli liggende i en portalløsning. Advokater personopplysningslovens virkeområde Datatilsynet gjennomførte i 2008 enkelte kontroller mot advokatfirmaers bruk av elektronisk kommunikasjon. I den sammenheng ble det påpekt at personopplysningsloven med forksrift gjelder fullt ut for advokater, herunder sikkerhetsbestemmelsene i forskriftens kapittel 2. Det var i kontrollene særlig fokus på bruk av e-post og telefaks som kommunikasjonsmidler også overfor domstolene. I etterkant av kontrollene hadde tilsynet en aktiv dialog med Advokatforeningen for å etablere felles retningslinjer for internkontroll og informasjonssikkerhet til medlemmer av foreningen. 3

Foreningen har publisert dette på sine hjemmesider 2 og har jobbet aktivt for å skape fokus på disse områdene. Sett i sammenheng med løsningen som skal etableres er tilsynet usikker på dette vil være i samsvar med de krav som påhviler advokater for elektronisk kommunikasjon med klienter og domstolene. Om bruk av elektronisk signatur Datatilsynet har mottatt mange henvendelser fra arbeidstakere som reagerer kraftig på at systemer som man er avhengig av for å kunne utføre arbeidsoppgavene sine, legger opp til bruk av personlige verktøy som MinID. Dette gjelder også trolig for nevnte løsning. Datatilsynet anser dette problematisk av flere årsaker: 1. Rolleblanding skille mellom deg som privatperson og arbeidstaker. Ser man på informasjon gitt i forbindelse med opprettelse av bruker hos MinID står det gjerne at MinID er din personlige elektroniske ID. Du bruker MinID for å levere selvangivelsen, bestille skattekort, få tilgang til selvbetjeningstjenester på nav.no, søke lån og stipend i Lånekassen, og til en rekke andre offentlige tjenester. Det er altså en klar forventning om at MinID utelukkende skal brukes til private formål, ikke til å utføre dine arbeidsoppgaver. 2. Informasjonssikkerhet - bruk av Altinn innebærer at arbeidstakerne som skal rapportere kan sitte hvor som helst og logge seg på elektroniske tjenester gjennom Altinn. Dette kan igjen gi manglende kontroll med tilgangen til opplysningene og hva de benyttes til. Vi viser til personopplysningsloven 13 og personopplysningsforskriften kapittel 2. 3. Styringsretten - kan en arbeidsgiver i kraft av styringsretten pålegge en arbeidstaker å bruke MinID? Vi viser til at man som borger har adgang til å reservere seg mot bruk av løsningen som privatperson. Datatilsynet er derfor skeptisk til at arbeidsgiver kan pålegge slik bruk. Se http://www.difi.no/elektronisk-id/personvern-ogtryggleik. 4. Fødselsnummer etter Datatilsynets vurdering av personopplysningsloven 12 er det problematisk om arbeidsgiver krever bruk av fødselsnummer som pålogging for å rapportere på vegne av en virksomhet. Vi viser til bestemmelsens krav til saklig het og nødvendighet for å benytte denne identifikatoren 2 http://www.advokatforeningen.no/drift-av-advokatvirksomhet/klientforholdet/behandling-avpersonopplysninger/datatilsynets-kontroll-av-advokatfirmaer/ 4

Spørsmål knyttet til rolleblanding er etter alt å dømme et økende problem. Tilsynet har hatt behandlet saker om dette, med blant annet overfor Norsk Tipping. Dokumentene fra denne saken er vedlagt, til orientering. Tilsynet anbefaler bruk av virksomhetsrelatert e-id i samsvar med DIFI sine retningslinjer. Med hilsen Bjørn Erik Thon Direktør Cecilie L B Rønnevik seniorrådgiver Kopi: Fornyings- administrasjons- og kirkedepartementet, Postboks 8004 Dep, 0030 OSLO 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding