INFORMATIONS- OG INDIVIDSIKKERHED (IOI) VEJLEDNING OM RISIKOHÅNDTERING (SIKKERHEDSKONTROLLER) Version 1.0
|
|
- Ejnar Knudsen
- 5 år siden
- Visninger:
Transkript
1 INFORMATIONS OG
2 snummer Dato Afsnit der er ændret Gældende version BEMÆRK! Denne vejledning er udarbejdet med KOMBIT A/S for øje. Den kan derfor IKKE adopteres i sin nuværende form. Vejledningen er derfor ALENE tænkt som en inspiration til, hvordan GDPRarbejdet kan brydes ned i mindre og mere forretningsnære størrelser. KOMBIT fraskriver sig derfor også ethvert ansvar, såfremt andre aktører anvender KOMBITs vejledninger/værktøjer i sin helhed eller brudstykker heraf i deres arbejde med EU s databeskyttelsesforordning. INFORMATIONS OG Side 2/9 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
3 Indholdsfortegnelse 1 INTRODUKTION OG FORMÅL Opbygning VEJLEDNING Terminologi Håndtering af kontroller i kravspecifikation Opfølgning på kontroller BRUG AF SKEMA FOR KONTROLLER Eksempel... 8 INFORMATIONS OG Side 3/9 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
4 1 INTRODUKTION OG FORMÅL Dette dokument er udarbejdet i regi af IOIprojektet i KOMBIT, som har til formål at sikre overholdelse af EU s Databeskyttelsesforordning (GDPR). Dokumentet indeholder en vejledning og et skema til projekterne, der kan støtte fastlæggelse og dokumentation af de tekniske og organisatoriske tiltag, der skal gennemføres for at opnå en passende itsikkerhed og databeskyttelse med andre ord risikohåndteringen, som i det følgende udmøntes i form af sikkerhedskontroller. Ved at udfylde og supplere skemaet, der følger med denne vejledning, etablerer projekterne dokumentation for de sikkerhedshedsmæssige kontroller. Kontrollerne besluttes på baggrund af den risikovurdering, som projekterne allerede har gennemført og dokumenteret, som en del af arbejdet med GDPRcompliance. Sammenhængen mellem de forskellige GDPRrelaterede opgaver er illustreret i nedenstående figur: Det er målsætningen, at projekterne gennem dette arbejde omsætter risikovurderingen til konkrete tiltag, som kan implementeres enten teknisk eller organisatorisk. Dette understøtter bl.a. kravene i Databeskyttelsesforordningens artikel 32 om behandlingssikkerhed, hvor det bl.a. fremgår, at den dataansvarlige og databehandleren skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, som er identificeret i en risikovurdering. INFORMATIONS OG Side 4/9 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
5 I vurderingen af, hvilke tekniske og organisatoriske foranstaltninger, der skal etableres i forhold til den konkrete løsning, skal der tages hensyn til en række forhold; herunder det aktuelle tekniske niveau, implementeringsomkostningerne, den pa gældende behandlings karakter, omfang, sammenhæng og forma l samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder. Inden skemaet for risikohåndtering (sikkerhedskontroller) kan udfyldes, er der en række forudsætninger, som skal være opfyldt: a) Der skal være gennemført en kortlægning af Dataprocesser, Datatyper og Datastrømme med tilhørende datakategorier, behandlingshjemler, hvem der er dataansvarlig og databehandler osv. Der findes en særskilt vejledning og skabelon til dette på ShareIT 1. b) Der skal være gennemført en vurdering af forpligtelser i relation til registreredes rettigheder. Vejledning og skema for dette findes ligeledes på ShareIT. c) Der skal være gennemført en sikkerhedsmæssig risikovurdering, som har kortlagt relevante trusler, sårbarheder, konsekvenser og risici. Vejledning og værktøj til dette publiceres ligeledes på ShareIT. De indledende trin sikrer, at tekniske og organisatoriske kontroller fastlægges på baggrund af en omhyggelig og konkret risikovurdering og ikke ud fra vaner eller isolerede tekniske overvejelser. Med afsæt i de forretningsmæssige behov, bliver risikohåndteringen (sikkerhedskontroller) afstemt med risikoniveauet (som er kortlagt i risikovurderingen). Sikkerhedskontroller kan i mange tilfælde være cost drivere, og ressourceforbruget for den konkrete risikohåndtering bør derfor nøje afstemmes med risikoniveauet, som kortlægges og dokumenteres i projekternes arbejde med risikovurderingen. 1.1 Opbygning Dokumentet består dels af denne vejledningsdel og dels af et skema (Excel ark), der udfyldes og efterfølgende vil udgøre projektets dokumentation for GDPRcompliance: Vejledningen rummer en introduktion til området og giver nogle konkrete eksempler på, hvordan guiden kan anvendes. Skemaet udgøres af et Excel ark, der udfyldes af projekterne som dokumentation for de overvejelser, der er gennemført, og de valg, der er truffet. 1 INFORMATIONS OG Side 5/9 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
6 2 VEJLEDNING Herunder findes vejledning til udvælgelse og dokumentation af konkrete sikkerhedsforanstaltninger, som kan benyttes i KOMBITs projekter. Vejledningen er tænkt som en konkret støtte og inspiration, men det skal dog slås fast, at ingen prædefinerede skemaer med standardtrusler og hændelser kan dække alle situationer, og vejledningen skal derfor ses som inspiration og må altid suppleres af projektspecifikke overvejelser herunder kontroller, som ikke er med i skemaet. 2.1 Terminologi En sikkerhedskontrol er en foranstaltning, der skal forhindre, opdage eller minimere skadeforvoldende hændelser (tab af fortrolighed, integritet eller tilgængelighed) som følge af udnyttelse af sårbarheder i itsystemer. Der skelnes ofte mellem forskellige typer af kontroller 2 : Forebyggende kontroller (fx sikkerhedstræning, firewalls, antivirus osv.) Opdagende kontroller (fx overvågning, antivirus, intrusion detection osv.) Korrigerende kontroller (fx patchning) Kompenserende kontroller (fx backup site) En anden måde at karakterisere kontroller på er, hvordan de realiseres: Tekniske kontroller (typisk bygget ind i systemer som fx adgangskontrol, kryptering, firewalls osv.) Organisatoriske eller administrative kontroller (handlinger som mennesker udfører, der realiseres gennem politikker, procedurer, guidelines, træning osv.) Sammenhængen med risikovurderingen etableres ved, at kontroller kan mitigere identificerede, potentielle risici ved at nedsætte sandsynligheden for, at en sårbarhed kan udnyttes (likelyhood), eller ved at reducere konsekvenserne ved udnyttelse af en sårbarhed (impact). 2.2 Håndtering af kontroller i kravspecifikation Specifikationen af mange kontroller, vil ofte naturligt høre til i et sikkerhedsbilag til kravspecifikationen for et udbud (samt for visse kontroller i driftsbilaget). I den forbindelse skal opmærksomheden henledes på, at KOMBIT har udarbejdet et standardiseret sikkerhedsbilag 3 med generelle sikkerhedskrav. Det er obligatorisk, at projekterne tager udgangspunkt i dette bilag, når sikkerhedskrav beskrives INFORMATIONS OG Side 6/9 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
7 Ved at tage udgangspunkt i KOMBIT's standardbilag for drift og sikkerhed slipper projekterne for at opfinde 'den dybe tallerken' hver gang. I stedet bygges der oven på en allerede etableret baseline af best practice. For at sikre en hensigtsmæssig udnyttelse af ressourcerne anbefales derfor en tilgang, hvor man kan fokusere på de omstændigheder og karakteristika, som er særlige for det konkrete projekt / itsystem, når yderligere kontroller tilvælges, frem for at bruge kræfter på forhold, som er generelle for alle projekter. AULA projektet er fx kendetegnet ved, at behandle data om en meget stor gruppe børn. Deraf følger en lang række udfordringer i relation til samtykke og forudsætninger om brugernes itkundskaber, samt ved en stor forekomst af brugergenerede data (fx beskeder), som ikke nødvendigvis på forhånd kan klassificeres i forhold til følsomhed. Andre projekter vil være karakteriseret ved andre forhold, der skal tages særligt højde for. Det projektspecifikke fokus kan eksempelvis opnås ved at udvælge de vigtigste risici (identificeret under risikovurderingen fx dem der kommer ud med en risikoscore på 9 eller højere) og koncentrere kontrolindsatsen omkring disse risici og ved at have et særligt fokus på beskyttelse af personhenførbare data. Skemaet, som hører til denne vejledning, er da også udformet, så hovedfokus er lagt på kontroller, der typisk overvejes og tilpasses i det enkelte projekt, mens standardkontroller, som er med i KOMBITs standardbilag, har mindre fokus. 2.3 Opfølgning på kontroller En risikovurdering og de tilhørende valg af sikkerhedskontroller vil altid være en pointintime vurdering. Dokumenterne bør derfor periodisk genbesøges og opdateres (fx 2 gange om året eller i forbindelse med større ændringer) for hele tiden at have dokumentation som er i overensstemmelse med virkeligheden. Herudover skal der løbende følges op på, om planlagte / specificerede kontroller rent faktisk er implementeret og fungerer i kørende itsystemer, så man ikke har en falsk tryghed. Denne opfølgning kan eksempelvis ske gennem itrevision, audits, sikkerhedstest samt ved løbende at evaluere sikkerhedshændelser (fx baseret på overvågningen) samt modtagne efterretninger om det generelle trusselsbillede. IOIprojektet udarbejder en særskilt vejledning med forslag til en strukteret tilgang til opfølgning, der sikrer den nødvendige skriftlighed af hensyn til compliance arbejdet. INFORMATIONS OG Side 7/9 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
8 3 BRUG AF SKEMA FOR KONTROLLER Der er udarbejdet et skema / Excel ark, som projekterne skal udfylde inden udbud og ajourføre løbende igennem itløsningens levetid. Skemaet er udformet med en række spørgsmål inden for forskellige områder. Hvert spørgsmål i Excel arket besvares med følgende informationer: Begrundelse for om/hvordan området er relevant for projektet. Ambitionsniveau for kontroller Ikke alle kontroller er lige vigtige for alle projekter, så her er der mulighed for at indikere, hvor højt de tilhørende kontroller prioriteres på baggrund af risikovurderingen. I skemaet for risikovurdering vil risikoscoren kunne bruges som indikation for prioriteten for risici med høj risikoscore vil der således være behov for supplerende, stærke kontroller, som kan nedsætte risikoniveau et til et acceptabelt niveau. ID på risikoelementer i risikovurderingen Skal skabe strukturel sammenhæng mellem identificerede risici og de kontroller, der adresserer dem. Bemærk, at der i værktøjet pt. ikke findes sådanne IDfelter, men at det er tanken, at disse indføres i en senere version. ID på krav i kravspecifikationen Skal skabe sammenhæng mellem planlagte kontroller og de krav, der stilles i udbudsmaterialet (samt links til eventuelle instrukser til databehandler og underdatabehandler(e) som indgår i databehandleraftaler). Da skemaet ikke på forhånd kan tage højde for alle risici, som kan blive identificeret af KOMBITs projekter, er det vigtigt, at der konkret tages stilling til behovet for projektspecifikke tilføjelser. 3.1 Eksempel Nedenfor er beskrevet et fiktivt eksempel, som viser hvordan Excel arket er tænkt anvendt. Tabellen nedenfor viser indholdet af én enkelt linje i arket. Område D. Beskyttelse af data D3: Autentificeres anvendere af web services og brugerflader på en sikker måde? Fx ved krav om stærk autentifikation (certifikater, 2faktor eller security token) ved adgang følsomme oplysninger. Redegørelse Systemets brugerflader kræver et SAML token fra ContextHandler og afviser login s hvor værdien af AssuranceLevel attributten er mindre end 3. INFORMATIONS OG Side 8/9 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
9 Systemets systemgrænseflader kræver et SAML token fra Security Token Service og afviser login s hvor værdien AssuranceLevel attributten er mindre end 3. Dermed er autentifikationen uddelegeret til støttesystemerne, og systemet skal blot validere det modtagne token. Ved konsekvent at benytte støttesystemerne til autentifikation, opnås en høj grad af sikkerhed, de støttesystemerne er designet, udviklet og testet til dette formål. Ambitionsniveau for kontroller ID på elementer i egen risikovurdering ID på krav i egen kravspecifikation Høj da utilstrækkelig brugerautentifikation kan føre til store konsekvenser, herunder tab af fortrolighed for følsomme personoplysninger. AULARISKID23 (utilstrækkelig brugerautentifikation) Krav 0317 og INFORMATIONS OG Side 9/9 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
INFORMATIONS- OG INDIVIDSIKKERHED (IOI) SUPPLERENDE VEJLEDNING TIL GDPR COMPLIANCE DATATYPER & DATASTRØMME. Version 1.1
INFORMATIONS OG snummer Dato Int Afsnit der er ændret 1.0 17.11.2017 CHG Gældende version 04.12.2017 CHG Opdateret med nyt afsnit 3.2 Datastrøm til Digitalpost (eboks) og afsnit 3.3 Datastrøm til fjernprint
Læs mereAftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi
Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi Indledning Denne aftale er udarbejdet af Dansk Boldspil-Union under henvisning til databeskyttelsesforordningen
Læs mereMå lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk
Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk Gl. Rye Vandværk Horsensvej 38A, Gl. Rye 8680 Ry www.glryevandvaerk.dk Indholdsfortegnelse Formål... 3 Kontaktoplysninger på persondataansvarlig...
Læs mereMa lrettet arbejde med persondataforordningen for
Ma lrettet arbejde med persondataforordningen for Aunslev Vandværk Aunslev Vandværk Nederbyvej 7, Aunslev fmd@aunslevvand.dk Tlf 2065 9224 5800 Nyborg www.aunslevvand.dk CVR: 12 88 19 16 Indholdsfortegnelse
Læs mereMålrettet arbejde med persondataforordningen for
Målrettet arbejde med persondataforordningen for Brandsbjerg Vandværk Brandsbjerg Vandværk Højlandsvej 36 arnebnielsen@email.dk Tlf 20839474 4400 Kalundborg www.brandsbjergvandværk.dk CVR: 44607816 Indholdsfortegnelse
Læs mereSom bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft d. 25. maj 2018.
Kære bibliotekschefer og kontaktpersoner Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft d. 25. maj 2018. I den forbindelse gør KOMBITs projekter/løsninger status på deres GDPR-arbejde.
Læs mereMålrettet arbejde med persondataforordningen for
Målrettet arbejde med persondataforordningen for Tåning Vandværk Tåning Vandværk Tåningvej 17 Kasserer@taaningvandvaerk.dk Tlf 2940 7302 8660 Skanderborg taaningvandvaerk.dk CVR: 48 84 63 51 Indholdsfortegnelse
Læs mereMå lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk
Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk Vejby Smidstrup Vandværk Vejbyvej 487 vsvand@mail.dk Tlf 40 86 28 81 9760 Vrå www.vejbysmidstrupvand.dk CVR: 2443 9557 Indholdsfortegnelse
Læs mereMa lrettet arbejde med persondataforordningen for Helberskov Vandværk
Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk Helberskov Vandværk email: hvtom@vip.cybercity.dk Oddevej 13 telefon 98581698 9560 Hadsund CVR nr. 20597119 Hjemmeside: www.helberskovvand.dk
Læs mereMålrettet arbejde med persondataforordningen for
Målrettet arbejde med persondataforordningen for Bellinge Vest Vandværk a.m.b.a. Bellinge Vest vandværk a.m.b.a. Elmegårdsvej 22 5250 Odense SV CVR 38212230 Tlf. 53314360/65962222 E-mail. vbholmegaard@gmail.com
Læs mereAvnbøl-Ullerup Våndværk A.m.b.å. CVR-nr
Må lrettet årbejde med persondåtåforordningen for Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr 19 56 44 28 Philipsborgvej 1A Ullerup 6400 Sønderborg Avnbøl-Ullerup Vandværk A.m.b.a Philipsborgvej 1A, Ullerup
Læs mereMa lrettet arbejde med persondataforordningen for
Ma lrettet arbejde med persondataforordningen for Katrinedal Vandværk AMBA Katrinedal Vandværk AMBA Åvej 1, Katrinedal l.fjeldbo@outlook.com Tlf 75756016 /51200737 8654 Bryrup http://www.katrinedal.net/katrinedal-vandvaerk/
Læs mereAftale vedrørende fælles dataansvar
Aftale vedrørende fælles dataansvar Mellem Dataansvarlig 1 og Dataansvarlig 2 Baptisternes Børne- og Ungdomsforbund CVR 28536364 Fælledvej 16 7200 Grindsted 1. Fælles dataansvar 1.1. Denne aftale fastsætter
Læs mereMå lrettet årbejde med persondåtåforordningen for
Jerslev Vandværk a.m.b.a. 4490 Jerslev EU persondataforordning Udarbejdet af bestyrelsen Q4-2018 EU s persondataforordning og cybersikkerhed Må lrettet årbejde med persondåtåforordningen for Vandværkets
Læs mereGuide til SoA-dokumentet - Statement of Applicability. August 2014
Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet
Læs mereDatabehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )
Databehandleraftale Virksomhed [Adresse] [Adresse] CVR-nr.: (den Dataansvarlige ) og Net & Data ApS Hollands Gaard 8 4800 Nykøbing F CVR-nr.: 27216609 ( Databehandleren ) (den Dataansvarlige og Databehandleren
Læs mereSom bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft den 25. maj 2018.
Brev til kommunale kontakter for Kommunernes Data Infrastruktur (KDI), der omfatter de to it-infrastrukturløsninger, Serviceplatformen og Støttesystemerne Kære KDI kontaktperson Som bekendt træder EU s
Læs mereCirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring
Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring 1. Indledning 1.1. Denne cirkulæreskrivelse er udarbejdet af Styrelsen
Læs mereAftale vedrørende fælles dataansvar
Aftale vedrørende fælles dataansvar Mellem Dataansvarlig 1 Dansk Kennel Klub (DKK) CVR 11881815 Parkvej 1 2680 Solrød Strand og Dataansvarlig 2 Specialklubben Dansk Gravhundeklub CVR nr. 71889815 Høedvej
Læs mereJDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR
JDM Sikkerhedsaftale - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR Dagsorden Hvem er JDM? Perspektiv og hvad er GDPR Tidens trusselsbillede Praktisk tilgang til GDPR Hvad er passende
Læs mereAgenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)
IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag
Læs mereDatabehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )
Databehandleraftale [Part] [Adresse] [Adresse] CVR-nr.: [XX] (den Dataansvarlige ) og IT-Terminalen ApS Lejrvej 17 3500 Værløse CVR-nr.: 32947697 ( Databehandleren ) (den Dataansvarlige og Databehandleren
Læs mereCIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.
CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj 2018 Ministerium: Kirkeministeriet Journalnummer: Kirkemin., j.nr. 7520 Senere ændringer til forskriften Ingen Cirkulære om fælles dataansvar
Læs mereCirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer
CIS nr 9223 af 23/03/2018 (Gældende) Udskriftsdato: 14. maj 2019 Ministerium: Finansministeriet Journalnummer: Finansmin., Moderniseringsstyrelsen Senere ændringer til forskriften Ingen Cirkulæreskrivelse
Læs mereDATABESKYTTELSESPOLITIK
DATABESKYTTELSESPOLITIK for Opholdsstedet Bustrup Opholdsstedet Udsigten Opholdsstedet Jupiter Dagskolen Bustrup 1. Overordnet håndtering af personoplysninger Bustrup benytter både eksterne løsninger såvel
Læs mereVejledning til valg af NSIS Sikringsniveau for tjenesteudbydere
3. oktober 2019 Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere Version 2.0.1 Introduktion Denne vejledning er henvendt til offentlige myndigheder og sekundært private tjenesteudbydere,
Læs mereINFORMATIONS- OG INDIVIDSIKKERHED (IOI) VEJLEDNING TIL GDPR COMPLIANCE DATATYPER & DATASTRØMME. Version 2.0
snummer Dato Int Afsnit der er ændret 1.0 4. august 2017 CHG Gældende version 1.1 24. august 2017 CHG Opdateret afsnit om datatyper jf. input om spørgsmål 12 16. Ikke publiceret på Yammer 14.09.2017 TG
Læs mereProcedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Læs mereDATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde
DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde sig til indholdet evt.
Læs mereDatabeskyttelsesdagen
www.pwc.dk Databeskyttelsesdagen GDPR: Ping-pong mellem teori og praksis! Revision. Skat. Rådgivning. Præsentation Claus Bartholin Senior Manager, IT Risk Assurance E: cbt@pwc.dk T: +45 3945 3973 M: +45
Læs merePersondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den
Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den 25.05.2018 Indholdsfortegnelse 1 Baggrund... 3 2 Formål... 3 3 Omfang... 3 4 Roller og ansvar...
Læs mereDatabehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S
Databehandleraftale vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj 2018 Storhaven 12 / 7100 Vejle / +45 7879 7575 / www.dmdd.dk INDHOLD 1. BAGGRUND FOR DATABEHANDLERAFTALEN... 3 2. FORPLIGTELSER
Læs mereTønder Kommune BILAG 10
Tønder Kommune BILAG 10 Databehandleraftale mellem Tønder kommuner og Leverandør Side 1/14 DATABEHANDLERAFTALE Mellem Tønder Kommune Wegners Plads 2 6270 Tønder CVR. nr.: 29189781 (herefter Kommunen )
Læs mereKOMBIT OG SIKKERHED NU, OM LIDT OG FREMTIDEN
KOMBIT OG SIKKERHED NU, OM LIDT OG FREMTIDEN Kommunedage den 30. maj 1. juni 2017 Projektleder Louise Dalby og chefkonsulent Nina Uhland Hvem gør hvad i forhold til sikkerhed KL og KOMBIT? Hvilke fremtidsplaner
Læs mereDatabehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )
Databehandleraftale XXXXXXX (herefter De dataansvarlige ) og XXXXXX (herefter Databehandleren ) (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne ) har
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereVejledende tekst om tilsyn med databehandlere og underdatabehandlere
Vejledende tekst om tilsyn med databehandlere og underdatabehandlere Maj 2018 Baggrunden for den vejledende tekst Det er Datatilsynets erfaring, at en del dataansvarlige har haft udfordringer i forhold
Læs mereBehandling af personoplysninger
Behandling af personoplysninger Orientering til kunder om Zibo Athene A/S behandling af personoplysninger. Nærværende dokument er en information til dig som kunde hos Zibo Athene A/S (herefter Zibo Athene)
Læs mereDen registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.
Ansvarsfordeling Anvendelsesområde Retningslinje om ansvarsfordeling er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereMålrettet arbejde med persondataforordningen for Østermarie Vandværk
Målrettet arbejde med persondataforordningen for Østermarie Vandværk Formål Formålet med dette dokument er at dokumentere, at vandværket overholder kravene til behandling af personoplysninger. Vandværket
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov for leverancen af rekrutteringsydelser i perioden
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereRetningslinje om dataansvarlig/databehandler
N. Zahles Skole Nørre Voldgade 5 1358 København K Danmark Retningslinje om dataansvarlig/databehandler t: + 45 33 69 79 00 e: kontakt@zahles.dk Anvendelsesområde Retningslinje om ansvarsfordeling er udarbejdet
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs mereD A T A B E H A N D L E R A F T A L E
D A T A B E H A N D L E R A F T A L E er den indgået mellem Navn: CVR-nr.: Adresse: (den Dataansvarlige ) og DCS CVR-nr.: 26686091 Høgemosevænget 1 8380 Trige ( Databehandleren ) (Den Dataansvarlige og
Læs mereOrganisering og styring af informationssikkerhed. I Odder Kommune
Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs merePersondatapolitik for. Klippinge Vandværk
Persondatapolitik for Klippinge Vandværk Klippinge Vandværk Lykkebrovej 8 info@klippingevand.dk Tlf.: 4142 8684 4672 Klippinge www.klippingevand.dk CVR: 23485419 Formål Formålet med dette dokument er at
Læs mereDatabehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:
Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter
Læs mereDatabehandleraftale. Paarup Hansen ApS Enghaven Roskilde Danmark CVR-nr.: ( Databehandleren ) Dato: 8/20/ :38:52 AM
Databehandleraftale De til enhver tid værende kunder til hosting-ydelser fra Paarup Hansen ApS som specificeret i de relevante hovedaftaler og under CVR-nr.: (den Dataansvarlige ) Paarup Hansen ApS Enghaven
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:
Databehandleraftale Mellem Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: og Databehandleren Virksomhed: OnlineFox CVR: 38687794 Adresse: Pilagervej 32 Postnummer & By: 4200 Slagelse
Læs merePersondataforordningen...den nye erklæringsstandard
www.pwc.dk Persondataforordningen...den nye erklæringsstandard September 2017 Revision. Skat. Rådgivning. Personsdataforordningen igen. Udkast til erklæring i høring hos revisorer, advokater, databehandlere,
Læs mereRetningslinje om ansvarsfordeling - dataansvarlig vs. databehandler
Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler Anvendelsesområde Retningslinje om ansvarsfordeling er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mere(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )
MySolutionSpace ApS Måløv Byvej 229.V. 2760 Måløv CVR: 34 46 36 89 [Part] [Adresse] [Adresse] CVR-nr.: [XX] (den Dataansvarlige ) og MySolutionSpace ApS Måløv Byvej 229.V. 2760 Måløv Danmark CVR-nr.: 34
Læs mereFAQ. Nye databehandleraftaler til eksisterende KMD-løsningsaftaler. Version 1 januar 2018
FAQ Nye databehandleraftaler til eksisterende -løsningsaftaler Version 1 januar 2018 indhold Hvorfor er der behov for at indgå databehandleraftaler?... 3 Hvorfor en særlig databehandleraftale til brug
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Friskolen og Idrætsefterskolen UBBY Overordnet organisering af personoplysninger Friskolen og Idrætsefterskolen UBBY ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereDatabehandleraftale e-studio.dk Side 1 af 6
DATABEHANDLERAFTALE Mellem (herefter benævnt Den dataansvarlige ) Og e-studio ApS Albanivej 74 5792 Årslev CVR. nr.: 37074640 (herefter benævnt Databehandleren ) er der indgået nedenstående databehandleraftale
Læs mereSletteregler. v/rami Chr. Sørensen
Sletteregler v/rami Chr. Sørensen 1 Generelt om retten til berigtigelse og sletning efter artikel 16-17 Efter begæring (artikel 5, stk. 1, litra d) Skal angå den registrerede selv Ingen formkrav Den dataansvarlige
Læs mereVejledning til valg af NSIS Sikringsniveau for tjenesteudbydere
22. januar 2019 Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere Version 2.0 Introduktion Denne vejledning er henvendt til offentlige myndigheder og sekundært private tjenesteudbydere, som
Læs mereBilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner
Bilag 7 Retningslinje om behandlingssikkerhed Anvendelsesområde Retningslinje om behandlingssikkerhed er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679
Læs merePersondataforordning. Grundejerforeningen Kongshøjparken. Intern beskrivelse for behandling af personoplysninger
Persondataforordning Grundejerforeningen Kongshøjparken Intern beskrivelse for behandling af personoplysninger 24.05.2018 Formål Formålet med dette dokument er at dokumentere, at foreningen overholder
Læs mereBilag 1 Databehandler aftale (v.1.2)
Denne databehandleraftale er et tillæg til gældende rammeaftale mellem Kunden og Telefonmøder ApS. Databehandleraftalens underbilag B opdateres løbende for at sikre korrekt overblik over vores underdatabehandlere.
Læs merePia Conradsen, 25. april 2017 Finder anvendelse pr. d. 25. maj 2018 i Danmark Baggrund, formål og anvendelse Interessenter Databehandler Persondata Sonlincs aktiviteter og overordnet plan Anbefalinger
Læs mereParterne kaldes i det følgende henholdsvis den Dataansvarlige og Databehandleren, og Part eller tilsammen Parterne.
Databehandleraftale Mellem Dataansvarlig: [Firma] [Adresse] [Postnummer og by] [Land] [CVR-nr.] og Databehandler: BOX IT Software IVS Hærvejen 9 6330 Padborg Danmark CVR-nr. 36961562 Parterne kaldes i
Læs mereTjekliste til databehandleraftaler
Tjekliste til databehandleraftaler Bruun & Hjejle har i november 2017 udarbejdet denne tjekliste til brug for gennemgang af databehandleraftaler modtaget fra samarbejdspartnere. Tjeklistens pkt. 1 indeholder
Læs merePersondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.
Persondatapolitik Baggrund for persondatapolitikken VUC Roskildes persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016
Læs mereWinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:
Databehandleraftale Mellem Den Dataansvarlige: Kunden og Databehandleren: WinWinWeb CVR: 35 62 15 20 Odinsvej 9 2800 Kgs. Lyngby Danmark Side 1 af 12 1 Baggrund for databehandleraftalen 1. Denne aftale
Læs mereRapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed
Rapport Anbefaling God IT-sikkerhed er god forretning. En brist i jeres IT-sikkerhed kan koste din virksomhed mange penge i genopretning af dine systemer, data og ikke mindst dit omdømme hos dine kunder
Læs mereDatabehandleraftale. Version A. Imellem: Dataansvarlig: Den kunde der har købt/erhvervet retten til at anvende app s fra itn vision aps
Databehandleraftale Version A Imellem: Dataansvarlig: Den kunde der har købt/erhvervet retten til at anvende app s fra itn vision aps og Databehandler: Itn vision aps, Lille Borgergade 19 1. tv. 9400 Nørresundby
Læs mereSikkerhedsprogrammet - Agenda
Sikkerhedsprogrammet - Agenda 09.00-09.30 Morgenkaffe & brød 09.30-09.45 Velkomst & dagens program 09.45-10.45 Cybersikkerhed v/kristoffer Kjærgaard Christensen 10.45-11.00 Pause 11.00-12.00 Resultater
Læs mereSikkerhed i cloud computing
Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.
Databehandleraftale Mellem Den dataansvarlige og Databehandleren ErhvervsHjemmesider.dk ApS CVR 36944293 Haslegårdsvej 8 8210 Aarhus V DK 1 Indhold 2 Baggrund for databehandleraftalen... 3 3 Den dataansvarliges
Læs mereDatabehandleraftale (v.1.1)
Denne databehandleraftale er et tillæg til gældende Nordcad salgs og leveringsbetingelser mellem Kunden og Nordcad Systems A/S. Databehandleraftalens underbilag B opdateres løbende for at sikre korrekt
Læs merePersondatapolitik Vordingborg Gymnasium & HF
Persondatapolitik Vordingborg Gymnasium & HF Indholdsfortegnelse Indhold Baggrund for persondatapolitikken... 3 Formål... 3 Definitioner... 3 Ansvarsfordeling... 4 Ansvarlighed... 4 Lovlighed, rimelighed
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereDatabehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD
INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel
Læs mereFormålet med denne retningslinje er at sikre, at Midtfyns Gymnasium foretager den fornødne risikovurdering ved behandling af personoplysninger.
Retningslinje om risikovurdering Midtfyns ^^ Holmehøjvej4 5750 Ringe Tlf. 6262 2577 e-mail: post@mfg.dk www.mfg. dk Juni, 2018 Anvendelsesområde Retningslinje om risikovurdering er udarbejdet i overensstemmelse
Læs mereRisikostyring ifølge ISO27005 v. Klaus Kongsted
Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister
Læs mereDATABEHANDLERAFTALE. Omsorgsbemanding
DATABEHANDLERAFTALE Omsorgsbemanding Nærværende databehandleraftale er indgået mellem Omsorgsbemanding, via Manningsmart IVS (CVR-nr.: 40217231) og brugeren af Omsorgsbemanding. Partnerne omtales i nærværende
Læs mere(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )
Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter
Læs mereSikkerhedsvurderinger
Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i
Læs mereFAQ. Nye databehandleraftaler til Subit s online vikarløsning. Version 1 august 2018
FAQ Nye databehandleraftaler til Subit s online vikarløsning Version 1 august 2018 Indhold Hvorfor er der behov for at indgå databehandleraftaler?... 3 Hvorfor en særlig databehandleraftale til brug for
Læs mereDatabehandleraftale INDHOLDSFORTEGNELSE
Databehandleraftale INDHOLDSFORTEGNELSE 1. BAGGRUND OG FORMÅL 2. OMFANG 3. VARIGHED 4. DATABEHANDLERNS FORPLIGTELSER 5. DEN DATAANSVARLIGES FORPLIGTELSER 6. UNDERDATABEHANDLERE 7. TREDJELANDE OG INTERNATIONALE
Læs mereInformationsproces når persondata er blevet kompromitteret
Informationsproces når persondata er blevet kompromitteret Følgende artikler i EU s persondataforordning behandles af dette dokument: Artikel 33 - Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
Læs mere[Firma navn] [Adresse] [Postnummer] [Land] [CVR-nr.] [Navn på kontaktperson] [ ] [Phone number] PSUPPORT.DK ApS. Plantagevej 51, 3460 Birkerød.
Databehandleraftale Imellem Dataansvarlig: [Firma navn] [Adresse] [Postnummer] [Land] [CVR-nr.] Kontaktperson: [Navn på kontaktperson] [email] [Phone number] og Databehandler: PSUPPORT.DK ApS Plantagevej
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.
Databehandleraftale Mellem Den dataansvarlige: Kunde hos Alsbogføring og Databehandleren Alsbogføring.dk ApS 33754493 Møllegade 71 6400 Sønderborg Danmark Parterne kaldes i det følgende henholdsvis den
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs merePersondataforordning. GRUNDEJERFORENINGEN Skt. Klemens. Intern beskrivelse for behandling af personoplysninger
Persondataforordning GRUNDEJERFORENINGEN Skt. Klemens Intern beskrivelse for behandling af personoplysninger 17.05.2018 Formål Formålet med dette dokument er at dokumentere, at foreningen overholder kravene
Læs mereEksempel på KOMBITs instruks til ISAE 3000 revisionserklæring
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,
Læs mereDATABEHANDLER AFTALE ADWISE MEDIA APS
DATABEHANDLER AFTALE ADWISE MEDIA APS Dataansvarlig: Hostingkunde hos Adwise Media ApS: Databehandler: Adwise Media ApS, Roholmsvej 12 G, 2620 Albertslund, Cvr 36544120 Kontakt: erhverv@adwise.dk Parterne
Læs mereFAQ. Nye databehandleraftaler til eksisterende KMD-løsningsaftaler. Version 1 januar 2018
FAQ Nye databehandleraftaler til eksisterende -løsningsaftaler Version 1 januar 2018 indhold Hvorfor er der behov for at indgå databehandleraftaler?...3 Hvorfor en særlig databehandleraftale til brug for
Læs mereINFORMATIONS- OG INDIVIDSIKKERHED (IOI) VEJLEDNING: REGISTREREDES RETTIGHEDER. Version 1.1
20. november 2017 Indholdsfortegnelse 1 INDLEDNING... 4 2 ANALYSE AF FUNKTIONALITET... 5 3 KOMMUNERNES OG KOMBITS ROLLE OG ANSVAR... 6 4 DATABESKYTTELSESFORORDNINGEN OG ANDEN LOVGIVNING FX FORVALTNINGSLOV.
Læs mereMålrettet arbejde med persondataforordningen for. Jyderup Østre Vandværk a.m.b.a.
Målrettet arbejde med persondataforordningen for Jyderup Østre Vandværk a.m.b.a. Formål Formålet med dette dokument er at dokumentere, at vandværket overholder kravene til behandling af personoplysninger.
Læs mereDATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )
DATABEHANDLERAFTALE Databahandleraftale #00014207_2018-05-23 Mellem Navn Adresse Postnr og by CVR: 12345678 (I det følgende benævnt Kunden ) og Corpital P/S Tobaksvejen 23B 2860 Søborg CVR: 28133391 (I
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.
Databehandleraftale Mellem Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] og Databehandleren Dandodesign CVR 36899042 Vanløsevej 9 8000 Aarhus Danmark 1 Indhold 2 Baggrund
Læs mereVersion: 1.2 Side 1 af 5
ID Kontrol Henvisning Bilag Medarbejderforhold 1. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at det kontrolleres, at ledere og medarbejdere, der har adgang til
Læs merePersondatapolitik for Tørring Gymnasium 2018
Persondatapolitik for Tørring Gymnasium 2018 Baggrund for persondatapolitikken Tørring Gymnasiums persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs merePersondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].
Baggrund for persondatapolitikken Nykøbing Katedralskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mere