SKABELON FOR DATABEHANDLERAFTALER MELLEM FREDENSBORG KOMMUNE OG IT-LEVERANDØRER

Transkript

1 SKABELON FOR DATABEHANDLERAFTALER MELLEM FREDENSBORG KOMMUNE OG IT-LEVERANDØRER Rådhuset Egevangen 3 B DK-2980 Kokkedal Telefon fredensborg@fredensborg.dk Version 1.0 april 2018

2 Indledning Fredensborg Kommunes skabelon for databehandleraftale skal bruges i forbindelse med indgåelse af samarbejde med leverandører, hvor der er tale om behandling af personoplysninger. Skabelonen skal altid bruges, når der skal indgås aftale om indkøb af IT-systemer og ydelser. Dette er et krav i forhold til efterlevelse af Databeskyttelsesforordningen. Det er Centerchefen som har ansvar for at sikre, at databehandleraftalen anvendes og for, at underskrive den. Se evt. procesbeskrivelsen Indgåelse af databehandleraftaler ved indkøb af nye IT-systemer, Tjenestekøb herunder varer og ydelser på HosFrede. Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med grøn angiver, at der skal udfyldes med f.eks. en tidsangivelse. Tekst skrevet med blåt er krav til indholdet i en databehandleraftale, som bliver gældende 25. maj 2018 i medfør af Databeskyttelsesforordningen. Datoen, hvor forordningen får virkning er indskrevet i nogle af bestemmelserne, der er skrevet med blåt. Hvis datoen fjernes, vil bestemmelsen gælde fra Aftalens indgåelse og vil derfor pålægge Leverandøren en ekstra forpligtelse, indtil forordningen får virkning. Hvis datoen bliver stående, vil bestemmelsen først gælde fra 25. maj Tekst, der er skrevet i kursiv og sat i [ ], er vejledende tekst. Side 2 af 39

3 DATABEHANDLERAFTALE Mellem Fredensborg Kommune Egevangen 3B 2980 Kokkedal CVR. nr.: (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående databehandleraftale (herefter Aftalen ) om Leverandørens behandling af personoplysninger på vegne af Kommunen: Side 3 af 39

4 1. Generelt 1.1 Aftalen vedrører Leverandørens forpligtelse til at efterleve de sikkerhedskrav, som fremgår af Lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven) 42, jf. 41, stk Kravene er beskrevet i: (i) Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsbekendtgørelsen). (ii) Vejledning nr. 37 af 02/04/2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsvejledningen). 1.2 Den 25. maj 2018 erstattes Persondataloven af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen) således, at Aftalens pkt. 1.1 (i) (ii) herefter erstattes med Databeskyttelsesforordningen. 1.3 I Aftalen er indarbejdet de krav, som såvel Persondataloven som de kommende regler i Databeskyttelsesforordningen stiller til databehandleraftaler. 1.4 Leverandøren skal leve op til Fredensborgs Kommunes informationssikkerhedspolitik, som er baseret på ISO 27001: Leverandøren skal behandle personoplysninger i overensstemmelse med god databehandlingsskik, jf. de til enhver tid gældende regler og forskrifter for behandling af personoplysninger. 1.6 Leverandøren skal overholde Kommunens Informationssikkerhedspolitik og de sikkerhedsregler, som Kommunen har opstillet vedr. leverandører, databehandling, håndtering af data og informationer og sikkerhedsregler. Disse vedlægges som bilag Formål 2.1 Leverandøren behandler i medfør af aftale med Kommunen [udfyldes af leverandøren med leverandørnavn og ydelsens navn] (herefter Hovedaftalen ) personoplysninger for Kommunen, hvor Leverandørens behandlinger og formålet med behandlingerne er beskrevet. 3. Kommunens rettigheder og forpligtelser 3.1 Kommunen er dataansvarlig for de personoplysninger, som Kommunen instruerer Leverandøren om at behandle. Kommunen har ansvaret for, at de personoplysninger, som Kommunen instruerer Leverandøren om at behandle, må behandles af Leverandøren, herunder at behandlingen er nødvendig og saglig i forhold til Kommunens opgavevaretagelse. Side 4 af 39

5 3.2 Kommunen har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen, jf. Aftalens pkt. 1.1 og Kommunen er forpligtet til at orientere Leverandøren i tilfælde af Kommunens eventuelle skærpede it-sikkerhedsregler og ved ændringer i Kommunens it-sikkerhedspolitik, jf. bilag 4-5. Opdateringer til bilag 4-5 findes på fredensborg.dk. Leverandøren er forpligtet til, at tilmelde sig abonnement på hjemmesidens nyheder vedr. opdaterede sikkerhedspolitikker og regulativer. 4. Leverandørens forpligtelser 4.1 Leverandøren er databehandler for de personoplysninger, som Leverandøren behandler på vegne af Kommunen, jf. pkt. 6 og bilag 3. Leverandøren har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af lovgivningen, jf. Aftalens pkt. 1.1 og Leverandøren behandler alene de overladte personoplysninger efter instruks fra Kommunen, jf. pkt. 6 og bilag 3, og alene med henblik på opfyldelse af Hovedaftalen. 4.3 Leverandøren skal fra 25. maj 2018 løbende føre en fortegnelse over behandlingen af personoplysninger samt en fortegnelse over alle sikkerhedsbrud. 4.4 Leverandøren skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger, som beskrevet i Sikkerhedsbekendtgørelsen og Sikkerhedsvejledningen (frem til 25. maj 2018) og Databeskyttelsesforordningen (fra 25. maj 2018), jf. bilag 1 Sikkerhed. 4.5 Leverandøren skal på opfordring fra Kommunen hjælpe med at opfylde Kommunens forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra borgere om indsigt i egne oplysninger, udlevering af borgerens oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af borgerens oplysninger, samt Kommunens forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud, fra 25. maj 2018 i medfør af Databeskyttelsesforordningens kap. III samt artikel Leverandøren skal fra 25. maj 2018 hjælpe Kommunen med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel Leverandøren garanterer fra 25. maj 2018 at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Leverandørens behandling af Kommunens personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. 4.8 Leverandøren er forpligtet til at oplyse med præcise adresseangivelser, hvor Kommunens personoplysninger opbevares, jf. bilag 2 Oplysninger om lokationer og underleverandører. Leverandøren skal ajourføre oplysningerne over for Kommunen ved enhver ændring. 4.9 Hvis Leverandøren er etableret i en anden EU-medlemsstat, skal Leverandøren frem til 25. maj 2018 ligeledes overholde de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat. Side 5 af 39

6 5. Underleverandør (underdatabehandler) 5.1 Ved underdatabehandler forstås en underleverandør, til hvem Leverandøren har overladt hele eller dele af den behandling, som Leverandøren foretager på vegne af Kommunen. 5.2 Leverandøren må ikke uden udtrykkelig skriftlig godkendelse fra Kommunen anvende andre underdatabehandlere end dem, der er angivet i bilag 2, herunder foretage udskiftning af disse, til at behandle de personoplysninger, som Kommunen har overladt til Leverandøren i medfør af Hovedaftalen. 5.3 Hvis Leverandøren overlader behandlingen af personoplysninger, som Kommunen er dataansvarlig for, til underdatabehandlere, skal Leverandøren indgå en skriftlig (under)databehandleraftale med underdatabehandleren. 5.4 Underdatabehandleraftalen, jf. pkt. 5.3, skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser, som Leverandøren er pålagt efter Aftalen, herunder, at underdatabehandleren fra 25. maj 2018 garanterer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger således, at underdatabehandlerens behandling opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. 5.5 Når Leverandøren overlader behandlingen af personoplysninger, som Kommunen er dataansvarlig for, til underdatabehandlere, har Leverandøren over for Kommunen ansvaret for underdatabehandlernes overholdelse af disses forpligtelser, jf. pkt Kommunen kan til enhver tid forlange dokumentation fra Leverandøren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Leverandøren anvender i forbindelse med opfyldelsen af sine forpligtelser over for Kommunen. 5.7 Al kommunikation mellem Kommunen og underdatabehandleren sker via Leverandøren. 6. Instrukser 6.1 Leverandørens behandling af personoplysninger på vegne af Kommunen sker udelukkende efter dokumenteret instruks, jf. bilag 3. Det er Leverandørens ansvar at sikre, at eventuelle underdatabehandlere, jf. pkt. 5.3, får tilsendt Kommunens instruks, jf. bilag Leverandøren giver fra 25. maj 2018 omgående besked til Kommunens IT-chef, hvis en instruks efter Leverandørens vurdering er i strid med lovgivningen, jf. pkt Tekniske og organisatoriske sikkerhedsforanstaltninger 7.1 Leverandøren skal frem til 25. maj 2018, jf. bilag 1, træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger: (i) (ii) tilintetgøres, mistes, ændres eller forringes, kommer til uvedkommendes kendskab eller misbruges, eller Side 6 af 39

7 (iii) i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.1 eller i strid med Kommunens uddybende it-sikkerhedsregler, jf. bilag Leverandøren skal fra 25. maj 2018, jf. bilag 1, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau. 7.3 Leverandøren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget, jf. pkt. 7.1 og 7.2, samt bilag Leverandøren samt dennes ansatte er underlagt forbud mod at skaffe sig oplysninger af enhver art, som ikke har betydning for udførelsen af den pågældendes opgaver. 7.5 Leverandøren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Kommunens personoplysninger, om Leverandørens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. pkt Leverandøren er forpligtet til straks at underrette Kommunen om ethvert sikkerhedsbrud samt ved (i) enhver anmodning om videregivelse af personoplysninger omfattet af Aftalen fra en myndighed, medmindre orienteringen af Kommunen er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning, (ii) anden manglende overholdelse af Leverandørens, samt eventuelle underdatabehandleres forpligtelser uanset, om dette sker hos Leverandøren eller hos en underdatabehandler. 7.7 Leverandøren må ikke hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud, jf. pkt. 7.6, uden forudgående skriftlig aftale med Kommunen om indholdet af en sådan kommunikation, medmindre Leverandøren har en retlig forpligtelse til sådan kommunikation. 8. Overførsler til andre lande 8.1 Leverandørens overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloud løsning eller en underdatabehandler, skal ske i overensstemmelse med Kommunens instruks herfor, jf. bilag Hvis Kommunens personoplysninger overføres til en EU-medlemsstat, er det frem til 25. maj 2018 Leverandørens ansvar, at de til enhver tid gældende bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat, overholdes. 8.3 Leverandøren må ikke overføre eller tillade overførsel af personoplysninger til lande udenfor EU. Side 7 af 39

8 9. Tavshedspligt og fortrolighed 9.1 Leverandøren er - under og efter Hovedaftalens ophør - pålagt fuld tavshedspligt omkring alle oplysninger, denne bliver bekendt med gennem samarbejdet. Aftalen indebærer, at tavshedspligtsbestemmelserne i straffelovens f, jf. straffelovens 152a, finder anvendelse. 9.2 Leverandøren skal fra 25. maj 2018 sikre, at alle, der behandler oplysninger omfattet af Aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 10. Kontroller og erklæringer 10.1 Leverandøren er forpligtet til uden ugrundet ophold at give Kommunen nødvendige oplysninger til, at Kommunen til enhver tid kan sikre sig, at Leverandøren overholder de krav, der følger af denne Aftale Kommunen, en repræsentant for Kommunen eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision hos Leverandøren, se dokumentation, herunder logs, stille spørgsmål m.v. med henblik på at konstatere, at Leverandøren overholder de krav, der følger af denne Aftale Leverandøren skal én gang årligt vederlagsfrit til Kommunen fremsende en erklæring om overholdelse af denne Aftale. Erklæringen skal udarbejdes i overensstemmelse med ISAE 3402, og skal omfatte både Leverandørens og eventuelle underdatabehandleres databehandling. Den første erklæring skal foreligge 12 måneder efter Hovedaftalens indgåelse I tilfælde af, at Kommunen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter Leverandøren og Leverandørens underleverandører sig til uden yderligere omkostninger for Kommunen at stille tid og ressourcer til rådighed herfor. 11. Ændringer i Aftalen 11.1 Kommunen kan til enhver tid med et forudgående varsel på mindst 90 dage foretage ændringer i aftalen og instruksen, jf. bilag 3. Leverandøren skal ved sådanne ændringer uden ugrundet ophold sikre, at underdatabehandlerne tillige forpligtes af ændringerne I det omfang ændringer i lovgivningen, jf. pkt. 1.1 og 1.2, eller tilhørende praksis, giver anledning til dette, er Kommunen med et varsel på [minimum 30 dage og uden at dette medfører krav om betaling fra Leverandøren, berettiget til at foretage ændringer i Aftalen. Side 8 af 39

9 12. Sletning af data 12.1 Kommunen træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør af Hovedaftalen Kommunen skal senest 30 dage inden Hovedaftalens ophør skriftligt meddele Leverandøren, hvorvidt alle personoplysningerne skal slettes eller tilbageleveres til Kommunen. I det tilfælde, hvor personoplysningerne tilbageleveres til Kommunen, skal Leverandøren ligeledes slette eventuelle kopier. Leverandøren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever Kommunens meddelelse Leverandøren skal fremsende dokumentation for, at den påkrævede sletning, jf. pkt. 12.2, er foretaget Leverandøren skal foretage den påkrævede sletning, jf. pkt. 12.2, i henhold til en international standard, f.eks. NIST Misligholdelse og tvistigheder 13.1 Misligholdelse og tvistigheder er reguleret i Hovedaftalen. 14. Erstatning og forsikring 14.1 Erstatnings- og forsikringsspørgsmål er reguleret i Hovedaftalen. 15. Ikrafttræden og varighed 15.1 Aftalen indgås ved begge parters underskrift og løber indtil ophør af Hovedaftalen. 16. Formkrav 16.1 Aftalen skal foreligge skriftligt, herunder elektronisk, hos Kommunen og Leverandøren. Side 9 af 39

10 For Kommunen Dato For Leverandøren Dato Bilag: Bilag 1 Sikkerhed Bilag 2 Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere) Bilag 3 Instruks Bilag 4 Fredensborg Kommunes Informationssikkerhedspolitik Bilag 5 Informationssikkerhed Håndbog Side 10 af 39

11 Bilag 1 Sikkerhed 1. Indledning Dette bilag indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som Leverandøren i medfør af Aftalen har ansvar for at gennemføre, overholde og sikre overholdelse af hos dennes underdatabehandlere, som er angivet i bilag Sikkerhedskrav indtil 25. maj 2018 Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der opfylder kravene i Sikkerhedsbekendtgørelsen og tilhørende praksis. Foranstaltningerne gennemføres for at undgå, at personoplysninger: tilintetgøres, mistes, ændres eller forringes, kommer til uvedkommendes kendskab eller misbruges, eller i øvrigt behandles i strid med lovgivningen, jf. Aftalens pkt. 1.1 Generelle sikkerhedsforanstaltninger [Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om interne sikkerhedsbestemmelser, instrukser, retningslinjer for Leverandørens tilsyn og ajourføring, instruktion, fysisk sikring samt sikkerhed ved reparation, service, kassation af medier mv.] [Leverandøren udfylder] Autorisation og adgangskontrol [Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2, samt hvis relevant kap. 3, om autorisationer og adgangskontrol] [Leverandøren udfylder] Inddatamateriale som indeholder personoplysninger [Her beskriver Leverandøren, hvis relevant, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om håndtering af inddatamateriale] [Leverandøren udfylder] Uddatamateriale som indeholder personoplysninger [Her beskriver Leverandøren, hvis relevant, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om håndtering af uddatamateriale] [Leverandøren udfylder] Eksterne kommunikationsforbindelser [Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om eksterne kommunikationsforbindelser. Hjælp til Side 11 af 39

12 udfyldelse kan findes i Datatilsynets it-sikkerhedstekster: [Leverandøren udfylder] Kontrol med afviste adgangsforsøg [Her beskriver Leverandøren, hvis relevant, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 3 om kontrol med afviste adgangsforsøg] [Leverandøren udfylder] Logning [Her beskriver Leverandøren, hvis relevant, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 3 om logning] [Leverandøren udfylder fjern enten Ja eller Nej] Hjemmearbejdspladser Leverandørens behandling af personoplysninger sker helt eller delvist ved anvendelse af hjemmearbejdspladser [Leverandøren udfylder]: Ja/Nej [Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om retningslinjer for hjemmearbejdspladser mv.] [Leverandøren udfylder] Sikkerhedskrav fra 25. maj 2018 Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger, jf. Instruks (bilag 3), og som dermed opfylder Databeskyttelsesforordningens artikel 32. Foranstaltningerne fastlægges ud fra overvejelser om: 1. Hvad der kan lade sig gøre rent teknisk 2. Implementeringsomkostningerne 3. Den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. Instruksen (bilag 3) 4. Konsekvenserne for borgerne ved et sikkerhedsbrud 5. Den risiko, der er forbundet med behandlingerne, herunder risikoen for: Side 12 af 39 a) tilintetgørelse af oplysningerne b) tab af oplysningerne c) ændring af oplysningerne d) uautoriseret videregivelse af oplysningerne e) uautoriseret adgang til oplysningerne

13 [Leverandøren udfylder] Side 13 af 39

14 Bilag 2 Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere) 1. Lokation(er) for behandlingen [Her opregner Leverandøren, de steder, hvor Kommunens personoplysninger opbevares/behandles.] [Leverandøren udfylder] 2. Underdatabehandlere [Her angiver Leverandøren navn, adresse, cvr-nummer m.m. på underdatabehandlere, som er godkendt af Kommunen, jf. pkt. 5.2 i Aftalen.] [Leverandøren udfylder, hvis der anvendes underdatabehandlere] Side 14 af 39

15 Bilag 3 Instruks Instruks Kommunen instruerer hermed Leverandøren om at foretage behandling af Kommunens oplysninger til brug for [drift/levering] af [ydelser/løsning], jf. Hovedaftale [titel og dato eller anden entydig identifikation]. Leverandøren er ansvarlig for, at Kommunens instruks fremsendes til eventuelle underdatabehandlere. 1.1 Behandlingens formål Behandling af Kommunens oplysninger sker i henhold til formålet i Hovedaftalen. Leverandøren må ikke anvende oplysningerne til andre formål. Oplysningerne må ikke behandles efter instruks fra andre end Kommunen. 1.2 Generel beskrivelse af behandlingen [Her beskriver Kommunen udførligt de typer af behandling, som Leverandøren skal udføre, herunder processer, varigheden og karakteren af behandlingen.] 1.3 Typen af personoplysninger Behandlingerne indeholder personoplysninger i de nedenfor afkrydsede kategorier. Leverandørens og eventuelle underdatabehandleres niveau for behandlingssikkerhed bør afspejle oplysningernes følsomhed, jf. bilag 1. Almindelige personoplysninger (indtil 25. maj 2018, jf. Persondatalovens 6, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 6) [Fjern enten Ja eller Nej] Ja/Nej Almindelige personoplysninger (f.eks. cpr-nummer, navn, adresse, , økonomiske forhold og billeder) Følsomme personoplysninger (indtil 25. maj 2018, jf. Persondatalovens 7, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 9): Ja/Nej Biometriske data Ja/Nej Racemæssig eller etnisk baggrund Ja/Nej Politisk overbevisning Ja/Nej Religiøs overbevisning Ja/Nej Filosofisk overbevisning Ja/Nej Fagforeningsmæssige tilhørsforhold Ja/Nej Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v. Ja/Nej Seksuelle forhold Side 15 af 39

16 Oplysninger om enkeltpersoners rent private forhold (indtil 25. maj 2018, jf. Persondatalovens 8, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 6 og 9): Ja/Nej Strafbare forhold Ja/Nej Væsentlige sociale problemer Andre rent private forhold, som ikke er nævnt ovenfor: Oplysninger om cpr-nummer (indtil 25. maj 2018, jf. Persondatalovens 11, fra 25. maj 2018, eventuelt national lovgivning, jf. Databeskyttelsesforordningens artikel 87) Ja/Nej CPR-numre 1.4 Kategorier af registrerede Der behandles oplysninger om følgende kategorier af registrerede (f.eks. borgere, elever, kontanthjælpsmodtagere m.m.): A) [Indsæt kategori af personer] B) [Indsæt kategori af personer] C) [Indsæt kategori af personer] 1.5 Tredjelande (ikke EU-medlemslande) Leverandøren må overføre personoplysninger til følgende tredjelande: [Kommunen udfylder] Gyldigt overførselsgrundlag for overførslerne er: [Udfyldes i forhold til hvilke(t) tredjeland(e), Kommunen har godkendt overførsel til] Side 16 af 39

17 Bilag 4 Informationssikkerhedspolitik for Fredensborg Kommune Fredensborg Kommune Politik for informationssikkerhed version Informationssikkerhedspolitik Sikkerhedspolitikken skal til enhver tid understøtte Fredensborg Kommunes værdigrundlag og vision samt strategiske mål. Hensigten med sikkerhedspolitikken er endvidere, at tilkendegive over for alle, som har en relation til Kommunen, at anvendelse af informationer og informationssystemer er underkastet standarder og retningslinjer. Fredensborg Kommune ønsker derfor at opretholde og løbende udbygge, et IT-sikkerhedsniveau på højde med de krav, som stilles i ISO og i Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, bekendtgørelse nr. 201 af 22. marts 2001 (Sikkerhedsbekendtgørelsen), samt på særligt veldefinerede områder, hvor der er specielle lovkrav, aftaleretslige forhold eller særlig risiko. ISO27001 er en international standard til styring af informationssikkerhed. ISO'en er valgt som afløser DS484 som kommunens sikkerhedsstandard efter DS484. Fastholdelse og udbygning af et højt sikkerhedsniveau er en væsentlig forudsætning for, at Fredensborg Kommune fremstår troværdig. For at fastholde Fredensborg Kommunes troværdighed skal det sikres, at information behandles med fornøden fortrolighed, og at der sker fuldstændig, nøjagtig og rettidig behandling af godkendte transaktioner. IT-systemer betragtes, næstefter medarbejderne, som Fredensborg Kommunes mest kritiske ressource. Der lægges derfor vægt på driftssikkerhed, kvalitet, overholdelse af lovgivningskrav og på at systemerne er brugervenlige, dvs. uden unødigt besværlige sikkerhedsforanstaltninger. Der skal skabes et effektivt værn mod IT-sikkerhedsmæssige trusler, således at Fredensborg Kommunes image og medarbejdernes tryghed og arbejdsvilkår sikres bedst muligt. Beskyttelsen skal være vendt imod såvel naturgiven som tekniske og menneskeskabte trusler. Alle personer betragtes som værende mulig årsag til brud på sikkerheden; dvs. at ingen persongruppe skal være hævet over sikkerhedsbestemmelserne. Målene er derfor at: Opnå høj driftssikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab = TILGÆNGELIGHED Opnå korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer = INTEGRITET og Opnå fortrolig behandling, transmission og opbevaring af data = FORTROLIGHED. Ovenstående mål skal konkretiseres i aftaler om service niveau i "Service Level Agreements" (SLAs) og kontrakter overfor samarbejdspartnere. Regler og retningslinjer fra informationssikkerhedspolitikken skal løbende indarbejdes i de relevante gældende regler Håndbog for Informationssikkerhed og på personalepolitikkens område. Sikkerhedskonceptet omfatter følgende: En informationssikkerhedspolitik, der godkendes af byrådet på baggrund af indstilling fra Direktionen En Informationssikkerhedshåndbog, der uddyber informationssikkerhedspolitikken, fastlægges af Styregruppen og Sikkerhedsinstrukser og -procedurer, som formuleres af respektive ejere og afdelingsledere ud fra krav og retningslinjer i Informationssikkerhedshåndbog. Side 17 af 39

18 Politikken er gældende for alle Fredensborg Kommunes informationsrelaterede aktiviteter, uanset om disse udføres af ansatte i Kommunen eller af samarbejdspartnere. Informationssikkerhedspolitikken har gyldighed for alle ansatte i Fredensborg Kommune og i institutioner, hvor der er indgået driftsoverenskomst for al anvendelse af Fredensborg Kommunes informationsaktiver. Organisation og ansvar Byrådet har ansvaret for at godkende og vedligeholde informationssikkerhedspolitikken. Direktionen har ansvaret for at fastlægge et passende sikkerhedsniveau for informationsaktiverne baseret på en overordnet risikovurdering. Kommunaldirektøren er Fredensborg Kommunes øverste informationssikkerhedsansvarlige og har ansvaret for at udarbejde og føre tilsyn med informationssikkerhedspolitikken. Herudover er der en række roller med ansvar og tilhørende myndighed, som er nærmere beskrevet i bilag 1 til denne politik. Beredskabsplanlægning Katastrofer søges undgået gennem en veltilrettelagt fysisk sikring og overvågning af bygninger, tekniske installationer og IT-udstyr. Omfanget af disse foranstaltninger besluttes ud fra en afvejning af risici i mod sikringsomkostninger og udmøntes i aftale om service niveau i SLA. I Fredensborg Kommunes beredskabsplan skal Kommunens og partnernes ansvar for sikkerhedskopiering og nødplaner entydigt præciseres. Beredskabsplanerne skal omfatte: Skadebegrænsende tiltag Etablering af temporære nødløsninger og Genetablering af permanent løsning. Beredskabsplanerne skal ajourføres og testes løbende mindst en gang om året. Sanktionering Medarbejdere, der bryder de gældende informationssikkerheds-bestemmelser i Fredensborg Kommune, kan straffes disciplinært. De nærmere regler om dette fastsættes i overensstemmelse med den gældende personalepolitik Ikrafttrædelse Informationssikkerhedspolitikken er godkendt af Fredensborg Byråd den 29. august Bilag og Håndbog til Informationssikkerheds-politikken er løbende opdateret i forbindelse med organisatoriske ændringer. Bilag 1 til Informationssikkerhedspolitik: Organisation og ansvar Direktørområderne Den enkelte Direktør har ansvar for at: informationssikkerhedspolitikken og de regler, der er relevante for direktørens ansvarsområde, er kendte og efterleves medarbejderne gennem uddannelse og udvikling opnår sikkerhedsbevidsthed om nødvendigheden af at overholde de sikkerhedsmæssige retningslinjer der, efter behov, udarbejdes yderligere dokumentation vedr. sikkerhed for de enkelte afdelinger Side 18 af 39

19 der ved installation af nye systemer gennemføres en forudgående sikkerheds-/risikovurdering koordinere opklaringsarbejdet ved konstateret eller begrundet mistanke om sikkerhedsbrud. Resultatet rapporteres til Journalen og retningslinjerne for ansættelse, introduktion, løbende vurdering, funktionsskift og afvikling af medarbejdere overholdes. Der skal tilstræbes uafhængighed af enkeltpersoner gennem etablering af personbackup for de medarbejdere, der er alene om at dække specialer eller systemer af væsentlig betydning for Fredensborg Kommune. Som supplement hertil skal dokumentationen hørende til disse områder også holdes ajourført og evt. udbygges. Styregruppen for Informationssikkerhed Styregruppen er normgivende og fastsætter på grundlag af den vedtagne informationssikkerhedspolitik de principper/retningslinjer, der skal sikre opfyldelse af målene. Styregruppen behandler alle sikkerhedsspørgsmål af principiel karakter. Styregruppen udarbejder en årlig vurdering til den øverste sikkerhedsansvarlige af informationssikkerhedspolitikken og de tilknyttede sikkerheds retningslinjer, herunder at disse lever op til de eksterne forpligtelser udtrykt i lovgivning og kontrakter/aftaler. Styregruppen vurderer samtidig, om der er behov for fornyet risikovurdering/ konsekvensanalyse. Styregruppen kan ad hoc lade sig supplere med faglig assistance. System-ejere System-ejere, der er ansvarlig for det enkelte fagsystem, softwareprodukt o. lign. har ansvar for at: der udarbejdes en kravspecifikation, som tager eksplicit hensyn til sikkerhedsmæssige forhold forud for enhver systemudvikling/-ændring/-anskaffelse der udarbejdes en risikovurdering i henhold til kravene hertil retningslinjerne følges ved enhver ændring af systemet der ved idriftsætning af systemet foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene, og at disse er i overensstemmelse med de principielle krav hertil autorisere adgangen til systemet i henhold til retningslinjerne herfor og foretage opfølgning og rapportering af sikkerhedsbrud til Styregruppen. I de situationer, hvor der ikke er funktionsadskillelse (autorisation/ administration), kompenseres med andre sikkerhedsforanstaltninger, som udmøntes i retningslinjerne og konkret i regler og procedurer for systemadministrationen. Data ejere Data ejeren har ansvar for at: der udarbejdes en risikovurdering i henhold til kravene hertil (for systemtilknyttede data i samarbejde med system-ejeren) der inden indrapportering af data i systemer foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene, og at disse er i overensstemmelse med de principielle krav hertil autorisere adgangen til data i henhold til retningslinjerne herfor og foretage opfølgning og rapportering af sikkerhedsbrud til Styregruppen. Side 19 af 39

20 I de situationer, hvor der ikke er funktionsadskillelse (autorisation/ administration), kompenseres med andre sikkerhedsforanstaltninger, som udmøntes i retningslinjerne og konkret i regler og procedurer for dataadministrationen. Ejere af fysiske aktiver Alle fysiske aktiver får udpeget/tildelt en ejer. Såfremt aktivet er omfattet af en aftale om ekstern drift (hosting), tages der hensyn hertil i aftalegrundlaget med samarbejdspartneren, f.eks. ved at pålægge samarbejdspartneren at foretage forskellige former for kontrol og opfølgning, og rapportere herom. Ejeren af det fysiske aktiv har ansvar for at: der udarbejdes en kravspecifikation ved placering, indretning, forandring m.v. som tager eksplicit hensyn til sikkerhedsmæssige forhold der udarbejdes en risikovurdering i henhold til kravene hertil der ved ibrugtagning af lokaler/udstyr foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene, og at disse er i overensstemmelse med de principielle krav hertil autorisere adgangen til lokalerne/ udstyret i henhold til retningslinjerne herfor og foretage opfølgning og rapportering af sikkerhedsbrud til Styregruppen. I de situationer, hvor der ikke er funktionsadskillelse (autorisation/ administration), kompenseres med andre sikkerhedsforanstaltninger, som udmøntes i retningslinjerne og konkret i regler og procedurer for fysisk sikkerhed og adgangsadministrationen. Medarbejdere Funktionsadskillelse er det bærende kontrolprincip på såvel person- som organisationsplanet. Hvor dette ikke er praktisk eller økonomisk hensigtsmæssigt, skal kompenserende kontroller indføres. Den enkelte medarbejder har ansvar for at: overholde informationssikkerhedspolitikken konkretiseret i God Administrativ Praksis og de regler, der er relevante for den enkeltes arbejdsopgaver og rapportere om eventuelle sikkerhedsbrud eller mistanke herom til nærmeste leder og til Styregruppen. Samarbejdspartnere Samarbejdspartnere har en meget væsentlig del af ansvaret for at det valgte sikkerhedsniveau etableres og opretholdes. Samarbejdspartnerne har ansvar for at: Fredensborg Kommunes informationssikkerhedspolitik og de regler, der er relevante for deres ansvarsområde, er kendte og efterleves, mest hensigtsmæssigt ved at egne sikkerhedspolitikker og regler til enhver tid afspejler krav fra Fredensborg Kommune medarbejderne gennem uddannelse og udvikling opnår sikkerhedsbevidsthed om nødvendigheden af at overholde de sikkerhedsmæssige retningslinjer, herunder tiltrædelseserklæringen der, efter behov, udarbejdes yderligere dokumentation vedr. sikkerhed for samarbejdspartnerens område der ved installation af nye og modifikation af eksisterende interne systemer og komponenter med Side 20 af 39

21 påvirkningsmulighed til Fredensborg Kommunes informationsaktiver gennemføres en forudgående risiko/sikkerhedsvurdering og koordinere opklaringsarbejdet ved konstateret eller begrundet mistanke om sikkerhedsbrud. Hændelsen og resultatet rapporteres via egen sikkerhedsorganisation til Journalen. ISO 27000X ISO27001 er en international standard til styring af informationssikkerhed. ISO27000-serien består af en række standarder med indbyrdes relationer. Nogle af disse standarder opstiller krav (normative), mens andre er vejledende i forhold til forskellige aspekter af implementering af et ledelsessystem for informationssikkerhed. Det er ikke alle disse standarder, der er udkommet, og der kommer stadig nye til. Normative og vejledende krav ISO27001 er en normativ standard det vil sige, at den stiller krav i en serie af standarder kaldet 27000familien af standarder. Den anden normative standard er ISO I familien indgår der udover de to normative standarder en række standarder med retningslinjer for, hvordan en organisation kan implementere og overholde de normative standarder. Nedenfor er en oversigt over de vigtigste standarder i 2700X-familien: ISO27001 Indeholder normative krav til, hvorledes et informationssikkerhedsledelsessystem skal implementeres og vedligehold ISO27002 Indeholder en liste af alment anerkendte retningslinjer for kontroller, der kan bruges som hjælp ved udvælgelsen og implementeringen af de kontroller, der er nødvendige for at opnå passende informationssikkerhed i en given organisation ISO27003 Indeholder retningslinjer for implementering af ISO/IEC ISO27004 Indeholder retningslinjer for, hvordan man kan måle effektiviteten af et informationssikkerhedsledelsessystem ISO27005 Indeholder retningslinjer for risikovurdering og -styring ISO27006 Indeholder normative krav til organisationer, der skal certificere andre organisationer efter ISO/IEC ISO27007 Indeholder retningslinjer for, hvordan man kan udføre revision af et informationssikkerhedsledelsessystem Hvorfor ISO27001? Der er flere grunde til valget af ISO27001 som sikkerhedsstandard: standarden tager udgangspunkt i den enkelte kommunes risikoprofil og lægger op til, at der implementeres netop de sikkerhedsforanstaltninger og kontrolprocedurer, der er passende for den enkelte institution, Side 21 af 39

22 ISO27001-standarden lægger stor vægt på ledelsens engagement og bevidste stillingtagen til hvilke procedurer, der skal indføres og hvordan, Standarden indeholder en liste af mulige kontroller, der kan indføres for at opnå et passende sikkerhedsniveau, men den lægger vægt på, at listen ikke er udtømmende, så der kan være organisationer, der skal implementere flere eller andre kontroller. Det fordrer en vis grad af modenhed i den organisation, der anvender ISO27001, men giver også mulighed for løbende tilpasning i takt med ændringer i organisationen, teknologi og trusselsbilledet, Den internationale standard har en fleksibilitet i forhold til, at den kan anvendes sammen med andre rammeværk for informationssikkerhed som f.eks. CoBit eller ISF standard of good practice, ISO27001 er en international standard, hvilket letter samarbejdet med andre lande og i højere grad sikrer den nødvendige vedligeholdelse af standarden. Vedligeholdelse af ISO-standarder varetages af internationalt sammensatte ekspertgrupper, der med jævne mellemrum vurderer behovet for revision, Standard sikrer ensartede sikkerhedsprocesser. Side 22 af 39

23 BILAG 5 Informationssikkerhed Håndbog Informationssikkerhed håndbog Version: 1.8 Publiceret: Informationssikkerhedspolitikker 5.1 Retningslinjer for styring af informationssikkerhed Politikker for informationssikkerhed Offentliggørelse af sikkerhedspolitik Informationssikkerhedspolitikken skal offentliggøres og kommunikeres til alle relevante interessenter, herunder alle medarbejdere. Godkendelse af sikkerhedspolitik Informationssikkerhedspolitikken skal godkendes Byrådet. 6 Organisering af informationssikkerhed 6.1 Intern organisering Roller og ansvarsområder for informationssikkerhed Ejerskab Alle informationsaktiver skal have udpeget en ejer (systemejer). Koordination af informationssikkerheden Ansvaret for koordination af sikkerheden på tværs i kommunen varetages af Center for Ejendomme og Intern Service under ansvar for Økonomiudvalget. Sikkerhedsorganisation Center for Ejendomme og Intern Service har ansvar for at sikre, at strategien for informationssikkerhed er synlig, koordineret og i overensstemmelse med kommunens mål og visioner. Center for Ejendomme og Intern Service skal: udarbejde og vedligeholde retningslinjer indeholdende sikkerhedsprincipper for informationsanvendelsen udarbejde relevante sikkerhedskrav, der operationaliserer informationssikkerhedspolitikken foretage opfølgning og rapportering af sikkerhedsbrud behandle dispensationsansøgninger for begrundede afvigelser i forhold til retningslinjerne, og rapportere disse holde sig ajour med den generelle udvikling på det sikkerhedsmæssige område koordinerer relevante initiativer med de øvrige aktører i Kommunen udarbejde skabeloner for databehandleraftaler. Side 23 af 39

24 Ledelsens rolle Ledelsen skal støtte kommunens informationssikkerhed ved at udlægge klare retningslinjer, udvise synligt engagement samt sikre en præcis placering af ansvar. Persondata-ansvarlig Center for Ejendomme og Intern Service er overordnet persondataansvarlig Funktionsadskillelse Sikring af forretningskritiske systemer Forretningskritiske systemer skal beskyttes ved hjælp af funktionsadskillelse, således at risikoen for misbrug af privilegier minimeres. Adgang til produktionsdata Produktionsdata må kun tilgås af autoriseret personale. 6.2 Mobilt udstyr og fjernarbejdspladser Politik for mobilt udstyr Ejere af data på mobile enheder Brugere af kommunens bærbare pc'er og andre mobile dataenheder såsom smartphone, tablets og håndholdte er ansvarlige for at beskytte de data, der behandles på disse, samt enhederne selv. Adgang til mobilt udstyr Mobilt udstyr skal beskyttes med adgangskode. Opsyn med mobile enheder Mobile enheder skal altid låses inde, når disse ikke er i brug. Adgang til data på bærbare pc'er skal beskyttes med en login-adgangskode. Udstyr med klassificerede informationer skal anvende harddisk-kryptering. Mobile enheders tilslutning til andre netværk Det er tilladt at forbinde mobilt udstyr til andre netværk såfremt der benyttes firewall på enheden Fjernarbejdspladser Adgang fra fjernarbejdspladser Adgang gives kun til brugere, der er autentificerede med brugernavn og adgangskode samt enten en personlig digital nøgle eller en fysisk token. 7 Personalesikkerhed 7.1 Før ansættelsen Ansættelsesvilkår og -betingelser Aftaler om informationsudveksling Ved udveksling af information og software imellem kommunen og evt. tredjepart, skal der foreligge en aftale herom. Side 24 af 39

25 Aftale om ansættelse Lederen er ansvarlig for i forbindelse med ansættelse at informere om kommunens og medarbejderens ansvar og forpligtelser vedrørende informationssikkerhed. Herunder informere til medarbejderen om de behandlingen af deres personoplysninger i forbindelse med ansættelsen. 7.2 Under ansættelsen Ledelsesansvar Det er ledelsens ansvar at alle medarbejdere: opnår et opmærksomhedsniveau i spørgsmål vedrørende informationssikkerhed, der er i overensstemmelse med deres roller og ansvar i kommunen Bevidsthed om, uddannelse og træning i informationssikkerhed Uddannelse i informationssikkerhedspolitikken Alle medarbejdere skal læse kommunens informationssikkerhedspolitik. Kommunens informationssikkerhedspolitik kan tilgås fra FRED/Værktøjer Sanktioner Overtrædelse af sikkerhedsretningslinjerne Det er ledelsens ansvar, at sanktioner for brud på kommunens politikker, regler eller retningslinjer håndhæves konsekvent og i overensstemmelse med gældende lovgivning. 8 Styring af aktiver 8.1 Ansvar for aktiver Fortegnelse over aktiver Registrering af it-udstyr Alt it-udstyr skal registreres med ejer, kontaktinformation, formål med anvendelsen, serienummer og placering Accepteret brug af aktiver Misbrugsbeskyttelse af it-udstyr Anvendelse af it-udstyr til uautoriserede formål må ikke finde sted uden ledelsens tilladelse. 8.2 Klassifikation af information Håndtering af aktiver Fortrolige data på mobile enheder Der må opbevares fortrolige data på mobile enheder, såfremt disse data beskyttes med et produkt, der er godkendt af Center for Digitalisering og IT. 8.3 Mediehåndtering Styring af bærbare medier Brug af bærbare medier til fortrolige data Manglende kryptering tillades, hvis medierne, der benyttes til transport af fortrolige data, under transporten er overvåget af betroede personer. Side 25 af 39

26 Brug af datamedier Benyttelse af bærbare datamedier skal være forretningsmæssigt begrundet. Virusscanning af mobile datamedier Kommunens antivirus-løsning scanner automatisk ethvert nyt medie. Brugeren behøver ikke at foretage sig noget, medmindre it-systemet giver en specifik advarsel eller opfordring. 9 Adgangsstyring 9.1 Forretningsmæssige krav til adgangsstyring Politik for adgangsstyring Begrænset adgang til informationer Brugere og medarbejdere med supportfunktioner må kun få adgang til systemfunktioner og informationer, hvis dette er forretningsmæssigt begrundet. Adgangsbegrænsning til informationer Fagsystemer skal have adgangskontrol implementeret for at hindre uautoriseret adgang til data og funktionalitet jvf. politik defineret af de enkelte applikationsejere. Detailopsætning og specificering afhænger af form og indhold af data, dokumenteret i risikoanalysen af systemet Adgang til netværk og netværkstjenester Accepteret brug af informationsaktiver Systemejere skal lave retningslinjer for accepteret brug af kommunens informationsaktiver. Dataejere skal lave retningslinjer for accepteret brug af kommunens informationsaktiver. Center for Ejendomme og Intern Service skal løbende overvåge internetforbindelser med henblik på at detektere elektroniske angreb. Logfiler skal gennemgås regelmæssigt og mindst 3 måneders historik skal opbevares. Autentificering ved adgang til netværket Adgangen til det Fredensborg Kommunes netværk fra andre lokationer end kommunens skal være adgangskodebeskyttet. Retningslinjer for brug af netværkstjenester Brugere skal kun have adgang til de tjenester, de er autoriseret til at benytte. Forbindelse til fremmede trådløse netværk Brugere må forbinde deres mobile udstyr til fremmede trådløse netværk. 9.2 Administration af brugeradgang Brugerregistrering og -afmelding I forbindelse med oprettelsen som it-bruger i kommunen skal medarbejderen informeres om de systemer den pågældende medarbejder registreres bliver autoriseret til for at kunne udføre de arbejdsopgaver der er fastsat af den pågældende leder Tildeling af brugeradgang Gennemgang af brugerprofiler Alle brugerprofiler skal gennemgås mindst en gang årligt for at identificere inaktive profiler eller tilsvarende, der skal fjernes eller ændres. Side 26 af 39

27 Systemer til styring af adgangskoder Så vidt muligt skal der benyttes it-systemer, der automatisk kan styre de krav, der findes til adgangskoder Styring af hemmelig autentifikationsinformation om brugere Overdragelse af adgangskode Adgangskoder må overdrages på e-post til Ledelsen eller en af ledelsen bemyndiget Inddragelse eller justering af adgangsrettigheder Returnering af aktiver ved aftrædelse Medarbejderen skal aflevere alle udleverede kommunes aktiver ved samarbejdets ophør til nærmeste leder. Inddragelse af privilegier ved fratrædelse Proceduren for inddragelse af privilegier skal indeholde en liste over funktioner og personer, der skal informeres i forbindelse med fratrædelsen. Adgangsrettigheder skal inddrages i forbindelse med en medarbejders fratrædelse eller afskedigelse. Der skal forefindes en liste over fratrådte medarbejdere for de seneste seks måneder. Brugerprofiler for konsulenter og deltidsansatte Personer, som er ansat eller har konsulentaftale, må oprettes som brugere. Vikarer og timelønnede må oprettes som brugere. Ophører ansættelses- eller vikaraftalen, skal brugerprofilen øjeblikkeligt nedlægges. Fastansatte medarbejdere og langtidskonsulenter mv. kan tildeles faste rettigheder og profiler til adgang til kommunens netværk. Rettigheder og adgang gives af sikkerhedschefen i samråd med systemejerne. Registrering af brugere Brugere skal have unikt brugernavn og bruger-id. Ledelsen skal autorisere brugeradgang. Der skal ske en verifikation af, at rettighedsniveauet er i overensstemmelse kommunens generelle sikkerhedsretningslinjer. Systemejer skal vedligeholde brugerfortegnelser for systemet. Center for Ejendomme og Intern Service skal vedligeholde fortegnelser over, hvordan bruger-id eller rettigheder fjernes eller ændres ved ophør eller ændring af brugeres jobfunktion. Center for Ejendomme og Intern Service skal vedligeholde fortegnelser over, hvordan brugere eller brugeres rettigheder fjernes eller ændres ved ophør eller ændring af brugeres jobfunktion for de centralt autoriserede programmer. Systemejere skal godkende brugere og systemadministratorers adgangsrettigheder. Systemejer skal vedligeholde fortegnelser over, hvordan brugere eller brugeres rettigheder fjernes eller ændres ved ophør eller ændring af brugeres jobfunktion for de decentralt autoriserede programmer. Side 27 af 39

28 Medarbejderes omplacering Ved omplacering af medarbejdere skal alle rettigheder for pågældende bruger revurderes. Retningslinier for adgangsstyring Systemejere har det overordnede ansvar for at etablere og vedligeholde procedurer adgangsstyring for hvert system. 9.3 Brugernes ansvar Brug af adgangskode til kommunens it-udstyr Krav til længde af adgangskode Adgangskoder skal indeholde mindst 8 tegn. Krav til indhold af adgangskode Adgangskoder skal indeholde kombinationer fra mindst tre af følgende kategorier: store bogstaver, små bogstaver, tal eller specialtegn. Krav til skift af adgangskode Adgangskoder skal skiftes efter højest 180 dage. Valg af sikre adgangskoder En bruger må ikke kunne vælge en adgangskode, der er identisk med én af de tre senest benyttede adgangskoder. Genbrug af adgangskode Adgangskoder må gerne genbruges på interne og eksterne systemer. Adgangskoder er strengt personlige Adgangskoder er strengt personlige og må ikke deles med andre eller overdrages til andre. 9.4 Styring af system- og applikationsadgang Procedurer for sikker log-on Automatiske afbrydelser Funktioner i et informationsbehandlingssystem, der ikke har været aktivt i et fastlagt tidsrum, skal automatisk afbrydes. Begrænset netværkstid Brugersystemer med særlig høj risiko må kun benyttes inden for normal arbejdstid, hvis der ikke er et forretningsbetinget behov for udvidet adgangstid. Sikker log-on Systemadgang skal beskyttes af en sikker log-on-procedure. 10 Kryptografi 10.1 Kryptografiske kontroller Politik for anvendelse af kryptografi Brug af kryptering i forbindelse med opbevaring af data Ingen krav Side 28 af 39

29 11 Fysisk sikring og miljøsikring 11.1 Sikre områder Fysisk perimetersikring Gæsters adgang Gæster må gå frit rundt i borgerområderne. Gæster må kun færdes udenfor borgerområdet, når de er ledsaget af en medarbejder. Adgangskort til håndværkere og andet midlertidigt personale Håndværkere, reparatører, teknikere og andre gæster, der får udleveret midlertidige adgangskort, skal bære disse synligt. Udlån af adgangskort Adgangskort må udlånes til håndværkere, teknikere og andre efter retningslinjer fastsat af Center for Kommunale Ejendomme og Arealer Adgang til maskinstuer og it-klargøringsrum Adgangen skal beskyttes med kodelås, og koden må kun kendes af sikkerhedsgodkendte medarbejdere. Offentlige områder Kommunens offentligt tilgængelige områder skal overvåges. Brug af personlige adgangskort Medarbejdere skal benytte adgangskort ved adgang uden for normal arbejdstid. Adgangskort er personlige, skal opbevares forsvarligt, og må ikke overlades til andre. Alle medarbejdere skal bære synligt identifikationskort, når de er på rådhuset. Ledelsen fastsætter i øvrigt reglerne for brug af ID kort. ID-kortene er personlige og må ikke overdrages til tredjepart Arbejde i sikre områder Aflåsning af lokaler og bygninger Alle døre og vinduer med adgang til/fra bygningerne skal lukkes og låses ved arbejdstids ophør. Døre til sikrede lokationer i bygningerne skal ligeledes aflåses. Sidste medarbejder der forlader et område er ansvarlig for sikring af dette 11.2 Udstyr Placering og beskyttelse af udstyr Adgang til serverrum og hovedkrydsfelter Adgang til serverrum og hovedkrydsfelter tillades kun ved overvåget adgang af medarbejdere fra Center for Digitalisering og IT. Adgang for serviceleverandører Serviceleverandører må kun få adgang til sikre områder, når dette er påkrævet. Sikring af kontorer, lokaler og udstyr Ledelsen må sikre en passende fysisk sikring af kontorer, rum og udstyr. Side 29 af 39