1. A.     LØSNING, PROSESS OG SYSTEM

Behandlingsansvarlig:

Røros kommune ved rådmann

postmottak@roros.kommune.no

Tlf: 72 41 94 00

Navn på løsning, prosess eller system:

EDB Sak og Arkiv (ESA)

Dato for etablering av løsning, prosess eller system:

1999

Kort og generell beskrivelse av løsning, prosess eller system:

ESA er Røros kommunes hovedløsning for saksbehandling og arkivering.

Dersom systemet er integrert mot andre systemer, beskriv hvilke personopplysninger som utleveres til andre systemer, samt hvilke systemer som mottar opplysningene:

Deponering av alle opplysninger til IKA Trøndelag ved avlevering til historisk arkiv.

Integrasjon mot kommunens nettside for visning av saksprotokoller og inn- og utgående post.

Integrasjon mot SvarUt for utgående post.

Formålet med behandlingen av personopplysningene:

Formålet med behandling av personopplysninger i ESA er å kunne dokumentere og arkivere Røros kommunes saksbehandling og annen virksomhet på en måte som er i overensstemmelse med arkivloven og Offentlighetsloven.

HJEMMELSGRUNNLAG OG SAMTYKKE

Hjemmelsgrunnlag for behandling av personopplysninger: (se nettside Personvernforordningen, artikkel 6 for veiledning)

☐ Forskrift, skriv inn hjemmel:

☒ Lov, skriv inn hjemmel:

-          Personvernforordningen, artikkel 6, punkt 1 e.

-          Arkivloven

-          Forvaltningsloven

-          Offentlighetsloven

☐ Samtykke, dato for inngått samtykke:

☐ Avtale, nevn avtale:

☐ Annet:

Er det krav om innhenting av samtykke for den aktuelle behandlingen av personopplysningen?

☐ Ja

☒ Nei

Kort beskrivelse av hvordan samtykke er innhentet og dokumentert:

Ikke relevant

Kort beskrivelse av hvordan samtykke kan trekkes tilbake:

Ikke relevant

Er personvernombud orientert om behandlingen: ☒ Ja        ☐ Nei

OPPLYSNINGER

Nevn alle typer av personopplysninger som behandles i beskrevet løsning, prosess eller system:

☒ Navn

☒ Sensitive opplysninger:

☒ Adresse

☒ Fødselsdato

☒ Personnummer

☒ Telefonnummer

☒ E-postadresse

☐ IP-adresse

☒ Annen type; gårds- og bruksnummer

☒ Etnisk bakgrunn

☒ Politisk tilhørighet

☒ Livssyn

☒ Helseforhold

☒ Seksuelle forhold

☒ Fagforeningstilknytning

☒ Straffeforhold

BEHANDLINGER

Nevn alle typer behandling av personopplysninger som foregår i løsning, prosess eller system:

☒ Innsamling

☒ Utlevering mv

☒ Lagring

☒ Tilgangsstyring

☐ Sammenstilling

☐ Uttrekk av statistikk, styringsdata

☒ Endring av opplysninger

☒ Retting

☒ Sletting

☐ Annen behandling:

Hvem registreres det data om: 

☒ Ansatt

☒ Oppdragstaker

☒ Elev/barn

☒ Tjenestemottaker

☒ Pasient

☒ Forelder/foresatt

☐ Annet, beskriv:

Kort beskrivelse av hvordan behandling av opplysningene foregår i løsning, prosess eller system (for eksempel til hvem opplysninger er levert, hvem har direkte tilgang til systemene, hvem de samler opplysninger fra?):

Kun saksbehandlere og systemansvarlige har direkte tilgang til å gjøre endringer i systemet. Offentlig informasjon fra systemet publiseres på kommunens nettsider, og er tilgjengelig for allmennheten. Taushetsbelagt og gradert informasjon er tilgjengelig kun for ansatte med formålstjenlig rettighet til opplysningene.

1. B.     ROLLER, ANSVAR OG DATABEHANDLERAVTALER (databehandler er den virksomheten som behandler opplysningene på vegne av Røros kommune)

Navn på virksomhet som er databehandler: EVRY, Infonett

Sak/arkivnr. på databehandleravtale(r):  

Dersom det ikke finnes databehandleravtale må dette skaffes, og arkiveres i ESA. Denne protokollen er ikke gyldig før databehandleravtale foreligger.

1. C.     DEN REGISTRERTES RETTIGHETER

Informasjon. Kort beskrivelse av hvordan man informerer den registrerte om hvilken informasjon vi behandler.

Registreringer i ESA er ikke samtykkebasert og hjemlet i offentlighetsloven, forvaltningsloven og arkivloven.

Generell informasjon i personvernerklæring på Røros kommunes nettside.

Innsyn. Kort beskrivelse av hvordan den registrerte kan få innsyn i egne opplysninger:

Postliste eller ved henvendelse til servicetorget.

Retting og sletting. Kort beskrivelse av hvordan den registrerte kan få rettet og slettet opplysninger:

Ved henvendelse til servicetorget.

1. D.    INFORMASJONSSIKKERHET

Sikkerhetstiltak som er etablert for at behandling skal foregå på en forsvarlig måte?

☒ Pålogging med unike brukernavn og passord

☐ To-nivå pålogging

☒ Rettighetsstyrt tilgang til opplysninger

☒ Loggføring av behandling

☒ Gjennomført opplæring av ansatte i behandlingen av informasjonen

☒ Behandling/register kun tilgjengelig i lukket sone

☐ Annet:  

Finnes det fysiske sperrer i systemet: 

Server er innlåst på låst datarom

1. E.     ROS-VURDERING

Forenklet risikovurdering;

Fare for at uvedkommende kan få tilgang til personopplysninger (konfidensialitet)

☐Høy risiko ☐ Middels risiko ☒ Lav risiko

Fare for uautorisert endring/manipulering av personopplysninger, ubevisst eller bevisst, eks. at ansatte har mere tilgang enn man trenger (integritet)

☐Høy risiko ☒ Middels risiko ☐ Lav risiko

Fare for at ansatte ikke får tilgang til nødvendige personopplysninger i sitt arbeid:

☐Høy risiko ☒ Middels risiko ☐ Lav risiko

Ved avkryssing av høy risiko på en eller flere punkter så skal det gjennomføres en fullstendig risikovurdering. Se egen prosedyre i kvalitetssystemet.

1. F.     RUTINER

Finnes det skriftlige rutiner for behandlingen av personopplysningen? (eksempelvis rutiner for sletting, opprettelse av brukere, gi innsyn, samtykke, trekk av samtykke…)

☒ Ja, hvilke og hvor finnes de: Elektronisk brukerhåndbok integrert i systemet, samt brukerveiledninger i Compilo kvalitetssystem.

☐ Nei

Kort beskrivelse av rutiner for internkontroll:

-          Avvikssystem

-          Interne revisjoner om informasjonssikkerhet

-          Stikkprøvebaserte kontroller

Kort beskrivelse av eventuelle andre rutiner som kan ha betydning for sikkerheten: