Brev om vedtak

Ving Norge AS
Postboks 421 Sentrum
0103 OSLO
Deres referanse
Vår referanse
Dato
14/01434-10/MEI
27.03.2015
Vedtak om pålegg og endelig kontrollrapport
Vi viser til vår kontroll hos dere 13. februar 2015, og vårt varsel om vedtak sendt 19. februar
2015.
Alle henvisninger til lovhjemler i kontrollrapporten er knyttet til personopplysningsloven og
dens forskrifter. Andre henvisninger til lovhjemler er nevnt særskilt.
Våre kommentarer
Datatilsynet mottok deres merknader til vårt varslede vedtak i e-post av 13. mars 2015.
Vi legger til grunn at dere ikke har merknader til innholdet i foreløpig kontrollrapport ellers
og de øvrige vedtakspunktene. Rapporten gjøres dermed om til endelig rapport og de vedtak
som gjelder avvik, og som ikke er lukket, fattes i tråd med varselet.
Ving Norge AS foreslår selv en frist for å lukke samtlige avvik. Datatilsynet har ingen
merknader til deres foreløpige plan for å lukke avvik, og legger den angitte tidsfristen til
grunn som frister i vedtak om pålegg.
Vedtak om pålegg
1. Ving Norge AS pålegges i medhold av § 46, fjerde ledd, jf. § 14, jf. forskriften
§ 3-1 å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle
kravene i personopplysningsloven (internkontroll), blant annet:
a. rutiner for ivaretakelse av enhvers krav om innsyn i virksomhetens behandlinger
av personopplysninger etter § 18, første ledd, jf. forskriften § 3-1, tredje ledd
bokstav d). Vi viser til kontrollrapportens pkt. 5.1.4.1. Vedtaket skal gjennomføres
innen 11. september 2015.
b. rutiner for oppfyllelse av personopplysningslovens regler om melde- og
konsesjonsplikt etter §§ 31 og 33, jf. § 14, jf. forskriften § 3-1, tredje ledd bokstav
f). Vi viser til kontrollrapportens pkt. 5.1.4.4. Vedtaket skal gjennomføres innen
11. september 2015.
Tiltakene skal dokumenteres. Vi viser til kontrollrapportens pkt. 5.1.flg.
Postadresse:
Kontoradresse:
Postboks 8177 Dep Tollbugt 3
0034 OSLO
Telefon:
22 39 69 00
Telefaks:
22 42 23 50
Org.nr:
974 761 467
Hjemmeside:
www.datatilsynet.no
2. Ving Norge AS pålegges i medhold av § 46, fjerde ledd, jf. § 13, jf. forskriften
§§ 2-4, andre ledd, og 2-16 å gjennomføre og dokumentere risikovurderinger av
informasjonssystemet. Vi viser til kontrollrapportens pkt. 5.2.3. Vedtaket skal
gjennomføres innen 11. september 2015.
3. Ving Norge AS pålegges i medhold av § 46, fjerde ledd, jf. § 13, jf. forskriften
§ 2-5 å gjennomføre og dokumentere sikkerhetsrevisjoner. Vi viser til kontrollrapportens
pkt. 5.2.4. Vedtaket skal gjennomføres innen 11. september 2015.
4. Ving Norge AS pålegges i medhold av § 46, fjerde ledd, jf. § 13, jf. forskriften
§ 2-14 å dokumentere sikkerhetstiltak. Vi viser til kontrollrapportens pkt. 5.2.6. Vedtaket
skal gjennomføres innen 11. september 2015.
Frist for tilbakemelding
Fristen for å gjennomføre påleggene er 11. september 2015. Innen denne fristen må dere sende oss
en skriftlig bekreftelse på at påleggene er gjennomført. Hvis dere ikke har fått særskilt beskjed,
krever vi ikke ytterligere dokumentasjon på at dere har gjennomført pålegget. Dersom pålegget ikke
er gjennomført innen fristen, vil vi vurdere bruk av tvangsmulkt. Tvangsmulkt løper fra vedtaksdato
til pålegget er gjennomført.
Vi gjør oppmerksom på at Datatilsynet kan etterkontrollere at påleggene er gjennomført.
Klagemulighet
Det er mulig å klage på vedtaket forvaltningslovens bestemmelser. En eventuell klage må sendes til
oss innen tre uker etter at dere mottok dette brevet (jf. forvaltningsloven § 28).
Innsyn og offentlighet
Dere har rett til innsyn i sakens dokumenter (jf. forvaltningsloven § 18). Vi vil også informere dere
om at alle sakens dokumenter i utgangspunktet er offentlige (jf. offentlighetsloven § 3), men
understreker samtidig at sikkerhetsdokumentasjon som hovedregel er unntatt offentlighet.
Hjemmelsgrunnlag
Hjemmelen for å fatte påleggene er § 46 i personopplysningsloven.
Pålegg om informasjonssikringstiltak er hjemlet i personopplysningsforskriften § 2-2.
Med vennlig hilsen
Knut B. Kaspersen
fagdirektør
Martha Eike
senioringeniør
Vedlegg:
Endelig kontrollrapport
2
3