INFORMATIONS- OG INDIVIDSIKKERHED (IOI) VEJLEDNING TIL GDPR COMPLIANCE RISIKOVURDERINGER. Version 1.0
|
|
- Hilmar Nygaard
- 5 år siden
- Visninger:
Transkript
1
2 snummer Dato Int Afsnit der er ændret PwC Gældende version BEMÆRK! Denne vejledning er udarbejdet med KOMBIT A/S for øje. Den kan derfor IKKE adopteres i sin nuværende form. Vejledningen er derfor ALENE tænkt som en inspiration til, hvordan GDPRarbejdet kan brydes ned i mindre og mere forretningsnære størrelser. KOMBIT fraskriver sig derfor også ethvert ansvar, såfremt andre aktører anvender KOMBITs vejledninger/værktøjer i sin helhed eller brudstykker heraf i deres arbejde med EU s databeskyttelsesforordning. Side 2/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
3 A. INDLEDNING Denne vejledning er én ud af en række vejledninger, som skal bruges til GDPR compliance arbejdet. Vejledningen handler om udarbejdelse af sikkerhedsmæssige itrisikovurderinger i KOMBIT dels gennem vejledning 1 og dels gennem et fælles værktøj (Excelark). Systematisk brug af risikovurderinger er et af elementerne i KOMBITs bestræbelser på at blive klar til den nye Databeskyttelsesforordning (GDPR), som træder i kraft i maj Forordningen forudsætter en risikobaseret tilgang til databeskyttelse af personoplysninger, hvilket endvidere også lægges til grund i ISO27001 standarden for informationssikkerhed. KOMBITs fremgangsmåde til risikovurdering følger principperne fra ISO og og dermed også det samme grundlag som KL anvender i deres drejebog fra september 2017 om Informationssikkerhedsaktiviteter Kommunalt arbejde med øget informationssikkerhed. Drejebogen omhandler bl.a. en fremgangsmåde til risikovurdering i kommunerne og her vil KOMBITs risikovurdering for fælleskommunale itløsninger kunne udgøre et input til kommunernes arbejde med risikovurdering af deres itløsninger. En traditionel risikovurdering gennemføres ud fra den dataansvarliges eller systemansvarliges synspunkt (typisk kommuner og KOMBIT 2 ) og behandler risici for disse parter. I denne vejledning og værktøjet suppleres dette med en vurdering af risici fra registreredes/datasubjekternes (fx borger, medarbejder) synspunkt, således at der etableres fokus på registreredes (fx borgernes) privatliv ved behandling af personoplysninger i fælleskommunale itløsninger og registreredes (fx medarbejderes) privatliv ved behandling af personoplysninger i KOMBITs egne itløsninger. Dermed opnås en hybrid af en klassisk itrisikovurdering med det forretningsmæssige perspektiv og en risikovurdering set fra den registreredes perspektiv. Projekterne får dermed samlet de to vurderinger og undgår dermed at skulle gennemføre to separate men nært beslægtede vurderinger. Risikovurderingen af de registreredes risici er særligt relevant i forbindelse med at opnå GDPRcompliance, da vurderingen både skal bruges som en foranalyse til at fastslå om KOMBIT er pålagt at udarbejde en konsekvensanalyse (DPIA), og til at sikre, at der er implementeret tilstrækkelig sikkerhed i itløsningen og processerne ved behandlingen af personoplysninger. I tillæg til denne vejledning er der udarbejdet vejledninger om: 1. Dokumentation for løsningers datatyper og datastrømme 2. Dokumentation for løsningers funktionalitet i forhold til håndtering af registreredes rettigheder 1 Vejledningen er delvist baseret på på Digitaliseringsstyrelsens Vejledning i itrisikostyring og vurdering (2015). 2 KOMBIT er normalt kun dataansvarlig for interne systemer. Side 3/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
4 3. Dokumentation for procedurer og løsningers tekniske og organisatoriske sikkerhedsmæssige tiltag til imødegåelse af risici, der fremgår af risikovurderingen 4. Opfølgning og styring på sikkerhedstiltag. De enkelte trin er illustreret på nedenstående figur: Endelig er der udarbejdet en generel introduktion til KOMBITs arbejde med GDPR compliance, som også bør læses idet den indeholder en mere generel introduktion til baggrunden for og indholdet af den samlede indsats i KOMBIT i forhold til arbejdet med GDPR compliance. Link til generel introduktion til arbejdet med GDPR i KOMBIT: T%20%20IOI.docx Side 4/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
5 B. FORMÅL MED RISIKOVURDERING Risikovurderingen indgår som en ud af flere opgaver i det samlede GDPR compliance arbejde i KOMBIT, som alle projekter, speciale enheder og stab, der behandler personoplysninger, får ansvaret for at håndtere fremadrettet. Formålet med risikovurderingen er at identificere, analysere og vurdere nuværende og fremtidige sikkerhedsrisici, der er knyttet til de kommunale systemer/itløsninger, som er udviklet og forvaltes af KOMBIT og/eller som anvendes internt i KOMBIT (fx til HR eller økonomi). Selve risikovurderingen består af en vurdering af, hvad sandsynligheden er, for at en given hændelse (der kan resultere i et sikkerhedsbrud) rammer en dataproces (se definition i vejledning om Dokumentation for løsningers datatyper og datastrømme), samt hvilke konsekvenser det vil kunne give for henholdsvis KOMBIT og den registrerede. Risikovurderingen understøtter, at der til enhver tid er etableret de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, som kan beskytte data, som behandles i enten løsningerne eller i organisationen. Risikovurderingen skal bruges i det videre arbejde med iværksættelse af organisatoriske og tekniske sikkerhedsmæssige tiltag til imødegåelse af de risici (risikohåndtering), der fremgår af risikovurderingen. Konsekvenserne af at udelade risikovurdering kan være, at der ikke løbende stilles de nødvendige sikkerheds og compliancekrav til løsningen under både udvikling og forvaltning, samt til de omkringliggende processer (kontroller). Dette kan føre til: Risiko for kompromittering af følsomme, fortrolige og/eller forretningskritiske oplysninger. Brud på persondataregulering. Erstatningskrav. Manglende kontrakthåndtag overfor leverandører, som drifter løsningen. Tab af anseelse og troværdighed. Side 5/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
6 C. PRAKTISK Til brug for arbejdet med etableringen af dokumentation for risikovurdering er der udarbejdet et værktøj (skema i Excel), som skal benyttes hertil. Dokumentationen med skemaet SKAL navngives med unikke identer således, at der sikres den fornødne sammenhæng mellem skemaerne og det enkelte projekt. Den unikke ident som SKAL fremgå, er projektets nummer i Project Online. I tillæg vil det være muligt at indsætte en ident fra henholdsvis Qualiware og Pactius såfremt projektet har dette, men det er ikke obligatorisk. For yderligere præcisering af navngivning af dokumenter henvises til Guide for praktikere : %20IOI.docx I værktøjet vil der fremgå en række spørgsmål, hvor der vil være mulighed for at krydse af eller svare ja/nej. Det er vigtigt at understrege, at det er obligatorisk, at alle felter besvares af hensyn til den efterfølgende dokumentation og proces. I er det således væsentligt, at vi ved at kigge på besvarelserne kan se, at der er taget aktivt stilling til de fremsatte spørgsmål i projekterne. Derved undgås et tilbageløb mellem projekterne og IOI. Det vil være muligt at anføre bemærkninger til svar i skemaet såfremt der er usikkerhed omkring svar eller der efterfølgende kan være behov for dialog med eller hvor I allerede nu kan se, at der er forhold, som skal håndteres efterfølgende i de sikkerhedstiltag, der skal iværksættes i løsningen. Det er et vigtigt hensyn, at dokumentationen foreligger i en form, som nemt kan tilgås i forbindelse med henvendelser fra dataansvarlige eller tilsynsmyndigheder, som har ret til at kontrollere KOMBITs overholdelse af GDPR og tilhørende persondataretlig og sikkerhedsmæssig lovgivning herom. Side 6/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
7 D. BEGREBER har udarbejdet en fælles begrebsliste som findes her: Begrebslisten vil være et levende dokument, som opdateres løbende efterhånden som der opstår behov for at forklare nye be greber. Nedenfor gives en uddybende forklaring af nye begreber, der anvendes i denne vejledning (se endvidere øvrige vejledning om informations og individsikkerhed): Sikkerhedsbrud Et sikkerhedsbrud opstår som følge af en eller flere uønskede eller uventede hændelser, der har en væsentlig sandsynlighed for at bringe itløsningen/systemet i fare og true sikkerheden. Hændelse der påvirker en bestemt række af omstændigheder (dataprocesser) En hændelse er den forekomst eller ændring af en bestemt række omstændigheder, der kan forårsage et sikkerhedsbrud. Derfor kaldes en hændelse ofte for et brud eller et uheld. Hændelser kan resultere i enten tab af fortrolighed, integritet og/eller tilgængelighed: Tab af fortrolighed: Processens fortrolighed er truet pga. hændelsen; uautoriserede kan få viden om data i processen, som de ikke har ret til. Tab af integritet: Processens integritet er kompromitteret pga. hændelsen og der kan ske uautoriserede ændringer af data, der betyder, at oplysningerne ikke er præcise/korrekte og fuldstændige. Tab af tilgængelighed: Tilgængeligheden til processen for autoriserede brugere er truet pga. hændelsen og oplysningerne kan ikke tilgås af de autoriserede brugere på de tidspunkter hvor der ønskes adgang til data. Trussel årsagen til hændelsen Truslen er den potentielle årsag til den uønskede hændelse indtræffer. Én trussel har ofte mere end en hændelse tilknyttet. Nedenfor er angivet et eksempel på hvordan en trussel kan have hhv. to og én hændelse tilknyttet. Side 7/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
8 System Når der i hændelsesbeskrivelsen henvises til et system, menes det system/itløsning, som er udgangspunktet for risikovurderingen. Vurderes eksempelvis AULA, er systemet der refereres til AULA som system/itløsning. Sandsynlighed for at hændelsen indtræffer Sandsynligheden er chancen for, at den uønskede hændelse indtræffer. Sandsynligheden tager udgangspunkt i sårbarhederne i itløsningen/systemet og/eller de kontroller (sikkerhedsforanstaltninger) der er implementeret i itløsningen/systemet, eller som tiltænkes at blive implementeret fx på baggrund af kravspecifikationen. Se endvidere anvendelse af skala til sandsynlighedsvurdering i afsnit E. Vejledning, 2. Sandsynlighedsvurdering. Kontroller (sikkerhedsforanstaltninger) En kontrol er en sikkerhedsforanstaltning, der sænker risikoen. Sårbarhed En sårbarhed er et systems/løsnings eller en sikkerhedsforstaltnings (kontrols) svaghed, som kan udnyttes af en eller flere trusler. Konsekvens af en uønsket hændelse Konsekvensen er resultatet af en uønsket hændelse. Dette kan fx være de organisatoriske/forretningsmæssige konsekvenser for KOMBIT eller kommunen, samt de konsekvenser, der kan være for registrerede, såfremt der sker et sikkerhedsbrud. Når konsekvenserne skal identificeres, vurderes de på baggrund af de konsekvenser, som et tab af fortrolighed, integritet og tilgængelighed vil medføre for dataprocessen. Side 8/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
9 Risiko/Risici Risikoen er et udtryk for en kombination af sandsynligheden for en uønsket hændelse og omfanget af konsekvenserne). Risikoniveau anvendes for at kunne sammenligne forskellige hændelser med højeste eller laveste risiko. Risikoniveauet er givet ved den matematiske formel: Risikoniveau = Sandsynlighedsniveau x Konsekvensniveau E. VEJLEDNING TIL EXCELVÆRKTØJ Selve gennemførelsen af risikovurderingen består af i alt 5 trin, som hver har sit faneblad i Excelværktøjet: 0. Indtastning af stamdata for det projekt (itløsning/itsystem) og den dataproces, der vurderes 1. Opdatering af trusselskatalog 2. Vurdering af sandsynlighed for at de identificerede hændelser indtræffer 3a. Vurdering af de konsekvenser hændelsen kan resultere i hos KOMBIT 3b. Vurdering af de konsekvenser hændelsen kan resultere i for registrerede Når disse trin er udført er risikovurderingen komplet og den samlede risiko kan aflæses i faneblade med oversigter over: 4a. Resultat med alle risici for KOMBIT 4b. Resultat med alle risici for registrerede I det følgende fremgår det, hvordan de enkelte faner skal anvendes og udfyldes under den trinvise gennemførelse af risikovurderingen. Der skal udfyldes et Exceldokument for hver dataproces, der er omfattet af løsningen og dermed indgår i riskovurderingen. Side 9/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
10 0. Stamdata Stamdata Dataproces Formål med dataproces Bemærkning Projektejer Projektleder Projektkoordinator Projekt Online reference Pactius reference Qualiware reference Udfyld Aula Brugerlogin Poul Ditlv Christensen Jakob Volmer Carina Schou Nielsen Den første fane skal indeholde en række stamoplysninger, som identificerer dataprocessen og projektet entydigt, og opmærksomheden henledes særligt på at sikre, at der angives en unik ident jf. det projektnummer som benyttes i Project Online og i tillæg endvidere anføres reference til Qualiware eller Pactius, hvis et sådant haves. Derudover skal projektets (itløsning/itsystem) dataproces, der vurderes indskrives i kolonnen. Under bekrivelsen af Formål med dataproces og Bemærkning er det vigtigt, at det fremgår, hvad itløsningen anvendes til eller i forbindelse med, og fx hvilke moduler eller dele af itløsningen, der bliver anvendt i dataprocessen. Dette har betydning for den efterfølgende vurderingen af konsekvenser. En dataproces vil i relation til KOMBIT s interne løsning være interne processer i KOMBIT i forbindelse med fx økonomi og HR, fx ansættelse af ny medarbejdere. 1. Opdatering af trusselskatalog Formål: Sikring af at alle relevante, herunder særligt projektspecifikke, trusler er identificeret Trusselskatalog (sidst opdateret d ) Nr. Kategori Type af trussel Hændelse Beskrivelse af hændelse Indflydelse på: Relevans F I T ColumnColumn2 Column3 Column4 Column5 Column6Column7Column8Column9 H1 Menneskeskabte Autentificeringsangreb (tilsigtet) Der sker en session hijacking Kompromittering af brugersession. Uautoriseret overtagelse af en allerede eksisterende, legitim session imellem to systemer, eller imellem system og brugere. x x a. Projekter H2 Menneskeskabte Autentificeringsangreb (tilsigtet) Under fanen 1. Trusselskatalog fremgår KOMBITs standardtrusselskatalog, som er tilpasset og prioriteret af IOIprojektet til KOMBITs behov. Trusselskataloget består af: Der opnåes uautoriseret adgang til legitime brugeroplysninger Nr.: Unikt ID for hændelsen Kategori: Kategorien af trusler hændelsen tilhører, fx menneskeskabte eller tekniske Uautoriseret adgang til en legitim brugers logininformation, herunder brugernavn og kodeord. Kan opstå på flere måder: Læk af brugerinformation, usikker opbevaring af brugerinformation eller Side 10/22 x b. Internt KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
11 Type af trussel: Trusselstypen hændelsen tilhører, fx procesfejl, hacking mv. Beskrivelse af hændelse: Uddybende beskrivelse af hændelsen Indflydelse på hhv. F, I & T: Såfremt hændelsen kan have betydning for hhv. tab af fortrolighed (F), integritet (I) og/eller tilgængelighed (T) sættes et lille (lowercase) x. o Eksempelvis vil hændelsen Fysiske angreb på faciliteter og dertilhørende infrastruktur ikke umiddelbart true en dataproces fortrolighed og integritet, men kun tilgængelighed af data. Derfor skal konsekvensen kun vurderes ved Tab af tilgængelighed og der skal kun sættes et x under tilgængelighed (T). Relevans: Herunder markeres det hvorvidt hændelsen er relevant for KOMBITs eksterne projekter eller kun for KOMBITs interne løsninger: a. Projekter: Fokuseret på applikationsrettede sikkerhedshændelser relateret til fælleskommunale løsninger (KOMBIT projekter som fx AULA) og KOMBITs interne itløsninger b. Internt: Bredere fokus til risikovurdering af KOMBITs interne itløsninger, der også omfatter sikkerhedshændelser relateret til brugere og organisationens itinfrastruktur (netværk, klienter). Såfremt det er en intern dataproces, der skal vurderes, fx i HR, skal disse hændelser også vurderes. Tilføjelse af projektspecifikke trusler: Såfremt der er identificeret nye trusler og hændelser, som er særligt relevante for den vurderede dataproces, skal disse tilføjes i trusselskataloget på fane 1. Det er vigtigt at alle kolonner udfyldes og at der under F, I, T skrives x med lowercase (lille) og at der under relevans, vælges a. Projekter eller b. Internt fra dropdownboksen. Herefter vil hændelserne automatisk blive overført til vurderings og resultatarkene (2 4). Hvis hændelsen også er relevant for projektets resterende dataprocesser er det vigtigt, at hændelsen tilføjes manuelt i alle de risikovurderingsexcel filer hvor de dataprocesser, som er knyttet til projektet, skal risikovurderes. Side 11/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
12 2. Sandsynlighedsvurdering Formål: Vurdering af sandsynligheden for at en given hændelse rammer dataprocessen. I fanebladet 2. sandsynlighed skal det vurderes hvor stor sandsynlighed, der er for at hver hændelse i trusselskataloget, rammer dataprocessen. Ved vurdering af sandsynlighed for en hændelse skal den være relateret til den dataproces og itløsning, der er udgangspunkt for risikovurderingen. Det betyder, at vurderingen omfatter selve dataprocessen og dens integrationer, det vil sige datastrømmen ind eller ud af løsningen, der risikovurderes. Den itløsning som datastrømmen udveksler data til og fra indgår ikke i vurderingen af sandsynlig. Fx betyder det i forhold til Aula, at vurderingen ikke omfatter itløsninger som UniLogin eller læringsplatforme (udstillet via widgets), da disse skal risikovurderes som andre kommunale itløsninger i henhold til kommunens praksis. Primære deltagere til vurderingen af sandsynlighed og begrundelsen herfor, bør være personer i KOMBIT med teknisk kendskab til dataprocessen og itløsningen. Vælg hændelser til sandsynlighedsvurdering: Da det ikke er alle hændelser der er relevante for KOMBITs eksterne projekter, som fx AULA, men kun for interne løsninger, skal nogle af hændelserne muligvis frasorteres. Hvis risikovurderingen foretages for en løsning der hører under et eksternt KOMBITprojekt, skal der klikkes på knappen a. Projekter. Når dette er vil kun denne knap være markeret grå, og mange af hændelserne vil blive frasorteret. gjort Hvis risikovurderingen foretages for en intern løsning, skal begge knapper være markeret grå. Dette gøres ved at klikke på Clear Filter ud for Vælg. Per default vil denne indstilling være slået til. Når dette er gjort kan vurderingen af sandsynligheder gå i gang. Side 12/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
13 Vurdering af sandsynlighed: I kolonnen sandsynlighed skal sandsynlighedsvurderingen angives. Der skal altid tages udgangspunkt i worst case scenarie. Til brug for vurderingen skal nedenstående tabel anvendes til inspiration og indikation af niveauet 14. Såfremt hændelsen ikke vil kunne påvirke en proces vælges Ikke relevant. Niveau 4 Forventet 3 Sandsynlig 2 Mindre sandsynlig 1 Usandsynlig 0 Ikke relevant Indikation af sandsynlighedsniveau Det forventes at hændelsen vil forekomme Man har erfaring med hændelsen internt inden for de sidste 12 måneder. Hænder jævnligt i offentlige og private virksomheder (hændelsestypen omtales ofte i pressen). Det er sandsynligt at hændelsen vil forekomme Man har erfaring med hændelsen internt, men ikke inden for de sidste 12 måneder. Kendes fra andre offentlige og private virksomheder i Danmark (hændelsestypen omtales årligt i pressen). Hændelsen kan risikere at forekomme Man har erfaring med hændelsen internt, for nogle år siden. Kendes fra andre offentlige og private virksomheder i Danmark. Hændelsen forventes ikke at komme. Ingen erfaring med hændelsen internt. Kendes kun fra få andre offentlige og private virksomheder, men ikke nødvendigvis i Danmark. Der er ingen sandsynlighed for at hændelsen vil ramme processen, og hændelsen er dermed ikke relevant for den vurderede dataproces. Begrundelse for vurdering: Udover ovenstående tabel, skal sandsynligheden vurderes ud fra en kombination af række forskellige parametre, som enten kan være med til at sænke eller hæve sandsynligheden. Disse parametre kan fx være: Aktører og deres motiver for at udøve trusler Truslens karakter Sårbarheder i processen Sikkerhedsforanstaltninger (kontroller), som er implementeret i dataprocessen Leverandører Andet Sårbarheder kan for eksempel være en procedure eller arbejdsgang, som ikke fungerer efter hensigten eller en teknisk opsætning, som gør systemet eller dataprocessen åbent for angreb. En god måde at få afdækket sårbarhederne på er ved at gennemgå de implementerede eller planlagte sikkerhedstiltag/kontroller i itløsningen og vurdere deres effektivitet. Vurderingen af sandsynligheden kræver derfor at hele dataprocessen og dens datastrømme tænkes igennem, for at sikre der tages højde for de væsentligste parametre og sandsynlighedsvurderingen bliver så præcis som mulig. Begrundelsen og parametre der ligger til grund for vurderingen, beskrives i fritekstskolonnen Begrundelse for vurdering. Side 13/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
14 Eksempelvis kan man forestille sig, at det er forventet, at en dataproces rammes af virus, men fordi der i processen er et stort fokus på sikkerhedsforanstaltninger mod virus er processen dermed mindre sårbar overfor den slags hændelser. Derfor bør vurderingen måske sænkes til sandsynlig eller mindre sandsynlig alt efter hvor sårbar processen vurderes at være. 3. Konsekvensvurderinger Formål: Vurdering af konsekvensen ved hændelsen for hhv. KOMBIT og den registrerede. Overordnet opdeles konsekvensen i konsekvensniveau og konsekvenstype, samt en årsagsforklaring. Konsekvensniveauet angiver graden af konsekvensen, konsekvenstypen angiver hvilken konsekvens der er tale om og årsagsforklaringen er en uddybning af begrundelsen for vurderingen. Konsekvenserne varierer alt efter om det er dataprocessens fortrolighed, integritet eller tilgængelighed, der er truet (se forklaring heraf under D. Begreber, Hændelse der påvirker en bestemt række af omstændigheder (dataprocesser)). Derfor skal der foretages en særskilt vurdering i de tre forskellige situationer. Konsekvens ved tab af Fortroligheden opstår, når informationer i dataprocessen kompromitteres eksempelvis gennem uautoriseret adgang til arkiver, hacking af systemer, utilsigtet læk af informationer osv. Konsekvens ved tab af Integritet opstår, når informationer i dataprocessen bliver helt eller delvist fejlagtige eksempelvis pga. fejl på lagermedie, eller fordi aktiviteter/processer producerer fejlagtige informationer og/eller forvansker allerede eksisterende informationer. Side 14/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
15 Konsekvens ved tab af Tilgængelighed opstår, når informationer i dataprocessen bliver helt eller delvist utilgængelige eller ophører med at fungere eksempelvis pga. servernedbrud, brand, tyveri, hardware eller softwarefejl, brugerfejl, medarbejdere ramt af sygdom mv. Tab af (eller manglende) tilgængelighed kan være permanent eller af midlertidig karakter. Derfor skal der foretages en vurdering af hvad konsekvensniveauet er ved tab af tilgængelighed i: 2 timer 1 dag 2 dage Op til 1 uge Over 1 uge Skraverede felter Da det, som beskrevet under 1. Opdatering af trusselskatalog, ikke er alle hændelser, der vil kunne resultere i både et tab af fortrolighed (F), integritet (I) og tilgængelighed (T), skal der kun foretages en vurdering, hvis det i trusselskataloget er markeret, at hændelsen vil få betydning for hhv. tab af fortrolighed (F), integritet (I) og tilgængelighed (T). Såfremt hændelsen ingen betydning vil have, skraveres felterne og der skal derfor ikke foretages en vurdering af konsekvensen. Grå felter Såfremt en hændelse er vurderet ikke relevant, under 2. Sandsynlighedsvurdering, markeres feltet gråt, da konsekvensen i så fald ikke skal vurderes. Vælg hændelser til konsekvensvurdering: Da det ikke er alle hændelser der er relevante for KOMBIT projekter, som fx AULA, men kun for interne, skal nogle er hændelserne muligvis frasorteres. Hvis risikovurderingen foretages for en løsning der hører under et KOMBITprojekt, skal der klikkes på knappen a. Projekter. Når dette er gjort vil kun denne knap være markeret grå, og mange af hændelserne vil blive frasorteret. Hvis risikovurderingen foretages for en intern løsning, skal begge knapper være markeret grå. Dette gøres ved at klikke på Clear Filter ud for Vælg. Når dette er gjort kan vurderingen af konsekvenser gå i gang. Side 15/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
16 Udførelse af konsekvensvurdering: Konsekvensvurderingen skal både udføres i henhold til de konsekvenser, en given hændelse kan have for KOMBIT og i henhold til de konsekvenser hændelsen kan have for den registrerede. Dette skal gøre i to separate faneblade, som hver indeholder tilpassede evalueringskriterier for typen af konsekvens: 3a. Konsekvens for KOMBIT og som angiver kriterierne der skal anvendes til vurderingen af konsekvenserne for KOMBIT 3b. Konsekvens for registrerede og som giver kriterierne der skal anvendes til vurderingen af konsekvenserne for de registrerede. 3a. Konsekvens for KOMBIT I fanebladet 3a. Konsekvens for KOMBIT skal de organisatoriske konsekvenser ved hændelserne vurderes. Når konsekvensen for KOMBIT og kommuner skal vurderes, skal nedenstående tabel anvendes til inspiration og indikation af hvilket niveau, samt hvilken type konsekvens der er tale om. Der skal altid tages udgangspunkt i worst case scenarie og derfor skal den konsekvenstype, der vil give den højeste konsekvens tastes ind. Side 16/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
17 Kriterie Strategisk Medfører indskrænkninger i evnen til at handle i en periode Økonomisk Medfører meromkostninger eller tab Administrativ Medfører administrative belastninger Interessenter Påvirker forholdet til interessenter 1 Ubetydelig (Uvæsentlig) Ingen særlig påvirkning Ingen særlig påvirkning Håndteres uden særligt ressourcetræk i de administrative funktioner Ingen særlig påvirkning 2 Mindre alvorlig (Generende) Planlagte aktiviteter kan gennemføres med mindre justeringer Meromkostninger og tab i begrænset niveau, som kan kræve mindre budgetændringer Håndteres inden for rimeligt ekstra administrativt ressourcetræk Forringet samarbejde med interessenter i enkeltsager 3 Meget alvorlig (Kritisk) Medfører revurdering af vigtige aktiviteter på kort sigt Store økonomiske tab med risiko for, at ledelsen bliver sat under skærpet tilsyn Der må trækkes væsentligt på eksisterende og nye administrative ressourcer Generelt forringet samarbejde med interessenter 4 Graverende/ Ødelæggende (Meget kritisk) Bliver ude af stand til at gennemføre vigtige aktiviteter, som er planlagt i en periode fremover Væsentlige økonomiske tab. Ledelsen bliver sat under skærpet tilsyn Administrative ressourcer må udvides urealistisk Væsentligt nedbrud i det generelle samarbejde med interessenter Lovmæssige krav Medfører brud på lovgivning, fx GPDR, forvaltningslov og straffelov Ingen særlig påvirkning Manglende overholdelse af administrative procedurer og regler, som ikke er af kritisk karakter Lovbrud, der er kritiske og kan stille administrationen i miskredit Kritisk lovgivning, f.eks. straffeloven brydes. Den ansvarlige chef vil blive holdt ansvarlig Politisk Medfører indskrænkninger i evnen til at handle i en periode Ingen særlig påvirkning Planlagte aktiviteter kan gennemføres med mindre justeringer Medfører revurdering af vigtige aktiviteter på kort sigt Den øverste ledelse må gå af. Bliver ude af stand til at gennemføre vigtige aktiviteter, som er planlagt i en periode fremover Omdømme Påvirker omdømme i uønsket retning Ingen særlig påvirkning Forbigående opmærksomhed fra enkelte grupper Offentligheden fatter generel negativ omdømme Væsentlig skade på omdømme. Den ansvarlige chef må gå af Eksempelvis får en autoriseret bruger adgang til nogle data, som vedkommende ikke skulle have haft adgang til. Det sker på baggrund af, at medarbejderens profil ikke er blevet kontrolleret i forhold til dataafgrænsning og roller, fx hvis medarbejder har skiftet funktion i organisationen. Side 17/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
18 Dette vil formodentligt have ubetydelige konsekvenser for det strategiske, økonomiske (i sammenhængen med økonomisk tab) og det administrative. Det kan være mindre alvorlig i forhold til interessenter, da en enkeltstående interessent ikke ønsker at dele oplysninger fremadrettet. Men at medarbejderen har fået adgang til nogle data som måske har en følsom karakter, kan blive betegnet som en meget alvorlig sag for den lovmæssige konsekvens og ligeledes for den politiske konsekvens. Det lovmæssige, fordi det er et kritisk lovbrud og det vil kunne udstille organisationens procedurer. Omkring de politiske konsekvenser, vil det kunne skabe et dårligt omdømme for organisationen, hvis dette bliver offentliggjort i dagspressen. Derfor vil man skulle vurdere denne hændelse som en niveau 3 meget alvorlig, da det altid er den højeste (worst case) som man skal kunne håndtere. Da der i dette eksempel er to konsekvenstyper som begge er meget alvorlig, bør man udpege den lovmæssige som vigtigste og i kommentarboksen notere at omdømme ligeledes er meget alvorlig. 3b. Konsekvens for registrerede I fanebladet 3b. Konsekvens for registrerede skal konsekvenserne ved hændelserne vurderes ud fra den betydning hændelsen kan have for den registreredes privatliv og rettigheder. Når konsekvensen for registrerede skal vurderes, skal nedenstående tabeller anvendes til inspiration og indikation af hvilket niveau, samt hvilken type konsekvens der er tale om. Det er vigtigt at understrege, at tabellen kun er vejledende og derfor ikke en facitliste, da der altid skal tages udgangspunkt i den pågældende behandling i processen. Der skal altid tages udgangspunkt i worst case scenarie og derfor skal den konsekvenstype der vil give den højeste konsekvens tastes ind. Side 18/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
19 1 Ubetydelig (Uvæsentlig) 2 Mindre alvorlig (Generende) 3 Meget alvorlig (Kritisk) 4 Graverende/ Ødelæggende (Meget kritisk) Hændelsespåvirkning Personoplysningerne der udsættes for en hændelse er i forvejen offentlige tilgængelige. Almindelige personoplysninger der normalt deles uden særlige forbehold, kan tilgås eller ændres af uautoriserede. Almindelige, men fortrolige, personoplysninger offentliggøres eller følsomme personoplysninger kan tilgås eller ændres af uautoriserede. Følsomme personoplysninger kan tilgås eller ændres af uautoriserede eller offentliggøres for offentligheden. Følsomme personoplysninger kan ikke tilgås på ønskede tidspunker. Eksempler på personoplysninger (kategorier anvendt i datatyper og datastrømme) Alle i forvejen offentliggjorte oplysninger, fx på google, dgs.dk eller krak.dk Kontaktinformation, herunder: Navn Adresse Alder Køn Familierelation Medarbejdernr. Strafbare forhold Kundeoplysninger Digitale fodspor Uddannelse & CV Medarbejderoplysninger Familieoplysninger Økonomiske oplysninger CPRnummer Øvrige IDnumre (udover CPRnummer) Personlige oplysninger Biometriske oplysninger (FPO) Genetiske oplysninger (FPO)* Helbredsoplysninger (FPO)* Filosofiske overbevisninger (FPO)* Politiske overbevisninger (FPO)* Race/etnicitet (FPO)* Religiøse overbevisninger (FPO)* Seksualliv (FPO)* Seksuel orientering (FPO)* Fagforeningsmedlemskab (FPO)* Da der behandles forskellige kategorier af personoplysninger i de forskellige dataprocesser, og konsekvenserne ofte vil hænge sammen med hvilke personoplysninger, det er der udsættes for et sikkerhedsbrud, skal nedenstående tabel anvendes som en indikation af niveauet for konsekvensen. Eksempelvis, at en medarbejder glemmer sin computer i toget på vej hjem fra arbejde. På computeren har medarbejderen gemt nogle arbejdsdokumenter. Nogle af disse dokumenter bliver lækket på internettet. Dokumenterne indeholder oplysninger om enkelte borgere herunder deres navne, deres religion, økonomiske situation og seksuelle orientering. Af tabellen ses, at navn ligger under mindre alvorlig, økonomiske situation under meget alvorlig og religion og seksuelle orientering under graverende/ødelæggende. Side 19/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
20 Udgangspunktet for hvilket konsekvensniveau denne hændelse vil ligge på, vil derfor være graverende/ødelæggende, da dette er den højeste (worst case). Det er dog ikke den endegyldige vurdering, da der også skal tages højde for konsekvenstypen, hvilket gøres i næste tabel (fortsættes efter nedenstående tabel). Efter at have fået en indikation af konsekvensniveauet ud fra ovenstående tabel, skal typen af konsekvensen vurderes og det egentlige konsekvensniveau fastlægges. Til vurderingen heraf skal der tages udgangspunkt i følgende tabel, som også kun skal anvendes til inspiration: Kriterie Privatlivsrettigheder Medfører sociale tab og/eller skade på omdømme Frihedsrettigheder Medfører materielle (fx økonomiske) tab, indskrænket kontrol eller GDPRrettigheder Menneskelige Medfører mangel på fysisk sikkerhed eller påvirker registreredes helbred fysisk eller psykisk 1 Ubetydelig (Uvæsentlig) Ingen særlig påvirkning Ingen særlig påvirkning Ingen særlig påvirkning 2 Mindre alvorlig (Generende) Registreredes eksponeres internt for uautoriserede Registrerede oplever ingen særlige materielle tab. Registreredes valgfrihed og kontrol over sine personoplysninger forringes. Registrerede kan ikke gøre brug af sine rettigheder i en kortere periode Registrerede udsættes for fysiske og/eller psykiske helbredsmæssige gener i mindre grad intet alvorligt 3 Meget alvorlig (Kritisk) Registreredes eksponeres på en måde som skader de sociale relationer, såvel internt blandt kollegaer/elever og eksternt uden for organisationen. Registrerede fratages potentielt retten til at være anonym Registrerede oplever mindre materielle tab. Registreredes valgfrihed og kontrol over sine personoplysninger fratages. Registrerede mister helt muligheden for at gøre brug af sine rettigheder Registrerede fysiske og/eller psykiske helbred eller fysiske sikkerhed påvirkes 4 Graverende/ Ødelæggende (Meget kritisk) Væsentlig skade på registreredes ry/omdømme, der kan føre til store sociale tab. Registrerede fratages muligheden for at være anonym, da fortroligheden af data mistes. Væsentlige materielle tab, der påvirker registreredes livssituation væsentligt Registreredes udsættes for fundamental helbredsmæssig fare. Registreredes fysiske sikkerhed er i fare. Menneskeliv kan stå på spil Børn Ingen særlig påvirkning Børn eksponeres internt for uautoriserede. Børn eksponeres på en måde som ikke tjener den registrerede, og kan Børn lider væsentlig skade på omdømme, der kan føre til sociale Side 20/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
21 Beskyttelsen af børns privacy forringes Forældres kontrol over barnets oplysninger forringes. Børns udsættes for helbredsmæssige gener intet alvorligt blive ekskluderet fra sociale netværk. Forældres kontrol over barnets personoplysninger fratages. Børns helbred påvirkes tab. Børns helbred er i fundamental fare Eksempel forsat: Efter at have vurderet at niveauet ligger omkring graverende/ødelæggende pga. af oplysningerne om religion og seksuelle orientering, skal konsekvenstypen og det endelige niveau fastlægges. Grundet oplysningerne og deres sensitivitet, vil det kunne have store konsekvenser for den registreredes omdømme, og kunne skade den registreredes respekt og agtelse i samfundet. Derfor vil man vurdere privatlivsrettigheder til en graverende/ødelæggende konsekvens for den registrerede. Da det er ikke umiddelbart er oplysninger som vil kunne betyde fx økonomiske tab for den registrerede, vil man vurdere frihedsrettigheder til at være ubetydelig. Det er heller ikke oplysninger som umiddelbart vil betyde noget for den registreredes fysiske helbred, men det kan have en mindre psykisk betydning, hvorfor man på det menneskelige kriterie, vil vurdere konsekvensen til mindre alvorlig. Vurderingen for denne hændelse vil derfor ligge på graverende/ødelæggende, da det altid er den højeste (worst case) som man skal vurdere ud fra. 4a. og 4b. Risici for KOMBIT og registrerede Resultatet af risikovurderingen bliver præsenteret i en samlet oversigt for hhv. KOMBIT og registrerede, hvoraf alle risici i forhold til tab af fortrolighed, integritet og tilgængelighed fremgår. I oversigten er risici er markeret med farve i forhold til risikoens størrelse med en opdeling i tre niveauer som illustreret nedenfor, hvor rød er en høj risikoprofil (tal angiver samlet risikoscore). Side 21/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
22 Forventet Konsekvens Meget sandsynligt Sandsynligt Mindre sandsynligt Ubetydelig (Uvæsentlig) Mindre alvorlig (Generende) Meget alvorlig (Kritisk) Graverende/ Ødelæggende (Meget kritisk) Sandsynlighed x 0 Såfremt en hændelse ikke er markeret i trusselskataloget, som havende betydning for henholdsvis tab af fortrolighed, integritet eller tilgængelighed skraveres feltet, på samme måde under konsekvensvurderingen. Såfremt det under sandsynlighed og/eller konsekvens vurderes at hændelsen ikke er relevant for dataprocessen, markeres feltet gråt. Såfremt der mangler at blive vurderet sandsynlighed og/eller konsekvens vil feltet være hvidt. Eksempel på uddrag af samlet oversigt med alle risici: Brugerlogin HNr Kategori Type af trussel Hændelse Samlet risici for kombit Tab af fortrolighed Tab af integritet Tab af tilgængelighed Risiko Konsekvenstype Risiko Konsekvenstype Risiko Konsekvenstype 2 timer 1 dag 2 dage op til 1 uge over 1 uge Column14 Column2 Column3 Column4 Column6 Column62 Column7 Column72 Column8 Column9 Column10 Column11 Column12 Column13 H1 Menneskeskabte Autentificeringsangreb Der sker en session hijacking (tilsigtet) x 0 x x x x x H2 Menneskeskabte Autentificeringsangreb Der opnåes uautoriseret adgang til legitime (tilsigtet) brugeroplysninger 1 Brud på lovgivningen H3 Menneskeskabte Autentificeringsangreb Manglende adgangskontrol eller fejl i denne 4 6 Brud på lovgivningen H4 Menneskeskabte Autentificeringsangreb Utilstrækkelig brugerautentifikation 9 12 Økonomisk H5 Menneskeskabte Autentificeringsangreb Angreb på services og brugerflader, som udstiller Forhold til Forhold til data interessenter interessenter x x x x x x x Strategisk H6 Menneskeskabte Autentificeringsangreb Forkerte adgange grundet manglende ajourføring H7 Menneskeskabte Autentificeringsangreb Uautoriseret manipulation af logs H8 Menneskeskabte Autentificerringsangreb Angreb på personoplysninger under lagring H9 Menneskeskabte Brugeradfærd (utilsigtet) Der sker en brugerfejl (tilfældig/uheld/uagtsomhed) Side 22/22 KOMBIT A/S, Halfdansgade 8, 2300 København S, CVRnr
Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang
Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne
Læs mereINFORMATIONS- OG INDIVIDSIKKERHED (IOI) VEJLEDNING OM RISIKOHÅNDTERING (SIKKERHEDSKONTROLLER) Version 1.0
INFORMATIONS OG snummer Dato Afsnit der er ændret 13.12.2017 Gældende version BEMÆRK! Denne vejledning er udarbejdet med KOMBIT A/S for øje. Den kan derfor IKKE adopteres i sin nuværende form. Vejledningen
Læs mereTjekliste: Sådan laver du en it-risikovurdering i TRIN. Sikker it-drift. Leveret af specialister.
Tjekliste: Sådan laver du en it-risikovurdering i TRIN Sikker it-drift. Leveret af specialister. Hvordan foretager man en itrisikovurdering af et system? Hvilke punkter skal man igennem? Hvad kan outputtet
Læs mereINFORMATIONS- OG INDIVIDSIKKERHED (IOI) SUPPLERENDE VEJLEDNING TIL GDPR COMPLIANCE DATATYPER & DATASTRØMME. Version 1.1
INFORMATIONS OG snummer Dato Int Afsnit der er ændret 1.0 17.11.2017 CHG Gældende version 04.12.2017 CHG Opdateret med nyt afsnit 3.2 Datastrøm til Digitalpost (eboks) og afsnit 3.3 Datastrøm til fjernprint
Læs mereVejledende tekst om risikovurdering. Datatilsynet og Rådet for Digital Sikkerhed
Vejledende tekst om risikovurdering Datatilsynet og Rådet for Digital Sikkerhed Juni 2019 Indhold Forord 3 1. Sikkerhed 4 2. Risici 5 3. Risikovurdering set fra de registreredes perspektiv 6 4. Risikovurderingsmetodik
Læs mereVejledning i it-risikostyring og -vurdering. Februar 2015
Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske
Læs mereOrganisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet
Organisatorisk og teknisk implementering af GDPR i Rigsarkivet Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet 1 1. Generelt om GDPR Indhold 2. Risikobaseret tilgang til informationssikkerhed
Læs mereRisikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering
Risikovurdering vedr. Google Apps Sammenfatning Side: 1 af 6 1. Introduktion IT Crew har faciliteret gennemførelse af en risikovurdering på en workshop med Odense Kommune d. 25. august 2010. Workshoppen
Læs merePixiguide til udarbejdelse af konsekvensvurdering
28. januar 2013 Pixiguide til udarbejdelse af konsekvensvurdering for privatlivsbeskyttelsen Konsekvensvurderingen er en proces, der består af 6 trin, som illustreres nedenfor: 2. Konsekvensvurdering for
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereGuide til konsekvensvurdering af privatlivsbeskyttelsen
Guide til konsekvensvurdering af privatlivsbeskyttelsen Maj 2013 Guide til konsekvensvurdering af privatlivsbeskyttelsen Udgivet maj 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet
Læs mereBEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen
BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni 2019 Ministerium: Undervisningsministeriet Journalnummer: Undervisningsmin., Styrelsen for It og Læring, j.nr. 18/13045 Senere ændringer til
Læs mereSom bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft den 25. maj 2018.
Brev til kommunale kontakter for Kommunernes Data Infrastruktur (KDI), der omfatter de to it-infrastrukturløsninger, Serviceplatformen og Støttesystemerne Kære KDI kontaktperson Som bekendt træder EU s
Læs mereR E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R
R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R Afsnit 1: Indledning... side 1 Afsnit 2: Generelt om sikkerhedsbrud...
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereDatabehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )
Databehandleraftale XXXXXXX (herefter De dataansvarlige ) og XXXXXX (herefter Databehandleren ) (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne ) har
Læs mereProcedure for håndtering af personoplysninger - GDPR Denne udgave: /TW
Procedure for håndtering af personoplysninger - GDPR Denne udgave: 23.08.2018/TW DolphinEyes ApS (i det følgende virksomheden) beskriver med denne procedure, hvordan vi opfylder persondataloven. Proceduren
Læs mereVejledning i risikovurdering
Vejledning i risikovurdering Indledning Formålet med at identificere risici og trusler for en lokal enhed er, at øge muligheden for at forebygge kritiske situationer samt minimere konsekvenserne og sikre
Læs mereAgenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)
IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag
Læs mereInformationssikkerhedspolitik Frederiksberg Kommune
Maj 2018 Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler
Læs mereVandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker
Vandforsyningens håndtering af den kommende persondataforordning Danske Vandværker Praktiske spørgsmål vi modtog Hvem har ansvaret for beskyttelse af forbrugernes persondata? Er medlemslister i ringbindsmapper
Læs mereVejledning til indberetning af sikkerhedshændelse efter databeskyttelsesforordningen, retshåndhævelsesloven eller særregler for telesektoren
1 / 8 Vejledning til indberetning af sikkerhedshændelse efter databeskyttelsesforordningen, retshåndhævelsesloven eller særregler for telesektoren Velkommen til den fælles indberetningsløsning for indberetning
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs mereSeptember Indledning
September 2016 Eksempel fra KOMBIT: Vejledning til gennemførelse af indledende overordnet kortlægning af it-løsningers parathed i forhold til efterlevelse af kendte krav i Databeskyttelsesforordningen
Læs mereINPUT TIL KLASSIFIKATION AF INFORMATIONSTYPER I LÆRINGSPLATFORME
PROGRAMMET FOR BRUGERPORTALSINITIATIVET Notat INPUT TIL KLASSIFIKATION AF INFORMATIONSTYPER I LÆRINGSPLATFORME til kommunernes arbejde med risikovurdering i relation til Brugerportalsinitiativet Dokument
Læs mere1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og
PERSONDATAPOLITIK FOR Dansk Forening for Tuberøs Sclerose 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og som vi indsamler om dig, enten
Læs merePrivatlivspolitik for LTECH A/S
Privatlivspolitik for LTECH A/S Kontaktoplysninger: LTECH A/S Industriparken 31 2750 Ballerup CVR-nummer: 26398576 Direktør: Henrik Holmgren Hjemmeside: http://ltech.dk/ Mail: info@ltech.dk Kontakt: Tina
Læs mereRetningslinjer for håndtering af sikkerhedsbrud vedrørende personoplysninger
Retningslinjer for håndtering af sikkerhedsbrud vedrørende personoplysninger R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L
Læs mereFormålet med denne retningslinje er at sikre, at Midtfyns Gymnasium foretager den fornødne risikovurdering ved behandling af personoplysninger.
Retningslinje om risikovurdering Midtfyns ^^ Holmehøjvej4 5750 Ringe Tlf. 6262 2577 e-mail: post@mfg.dk www.mfg. dk Juni, 2018 Anvendelsesområde Retningslinje om risikovurdering er udarbejdet i overensstemmelse
Læs mereInformationsproces når persondata er blevet kompromitteret
Informationsproces når persondata er blevet kompromitteret Følgende artikler i EU s persondataforordning behandles af dette dokument: Artikel 33 - Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
Læs merePersondatapolitik for Ehlers-Danlos Foreningen i Danmark
Persondatapolitik for Ehlers-Danlos Foreningen i Danmark 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige af de oplysninger, som du giver til os, og som vi indsamler om dig,
Læs merePERSONDATAPOLITIK FOR Dansk forening for Williams Syndrom
PERSONDATAPOLITIK FOR Dansk forening for Williams Syndrom 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige af de oplysninger, som du giver til os, og/eller som vi indsamler om
Læs mereR E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R
R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R 1 INDLEDNING 1.1 Disse retningslinjer vedrører UBSBOLIG A/S (herefter
Læs mereOverordnet It-sikkerhedspolitik
Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs merePersondataforordningen
Persondataforordningen http://eur-lex.europa.eu/legal-content/da/txt/?uri=celex:32016r0679 https://www.youtube.com/watch?v=xyzthipktqg&feature=youtu.be Hvem og hvad? Automatisk databehandling af personoplysninger
Læs mereDatabeskyttelse i den almene sektor en digital fremtid. 30. august 2018
Databeskyttelse i den almene sektor en digital fremtid 30. august 2018 2 Corporate Compliance & Investigations Vi er eksperter indenfor Vi hjælper din virksomhed med at få et overblik og identificere væsentlige
Læs mereDatabehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )
Databehandleraftale Virksomhed [Adresse] [Adresse] CVR-nr.: (den Dataansvarlige ) og Net & Data ApS Hollands Gaard 8 4800 Nykøbing F CVR-nr.: 27216609 ( Databehandleren ) (den Dataansvarlige og Databehandleren
Læs mereN. Zahles Skole Persondatapolitik
N. Zahles Skole Persondatapolitik Indholdsfortegnelse Side 1. Baggrund for persondatapolitikken 3 2. Formål med persondatapolitikken 3 3. Definitioner 3 4. Ansvarsfordeling 4 5. Ansvarlighed 5 6. Lovlighed,
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs mereOverordnet it-sikkerhedspolitik for Rødovre Kommune
Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,
Læs merePolitik for informationssikkerheddatabeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for informationssikkerheddatabeskyttelse Politik for databeskyttelse i Ballerup Kommune Denne informationssikkerhedspolitikdatabeskyttelsespolitik
Læs merePersondatapolitik Vordingborg Gymnasium & HF
Persondatapolitik Vordingborg Gymnasium & HF Indholdsfortegnelse Indhold Baggrund for persondatapolitikken... 3 Formål... 3 Definitioner... 3 Ansvarsfordeling... 4 Ansvarlighed... 4 Lovlighed, rimelighed
Læs mereIt-sikkerhedstekst ST9
It-sikkerhedstekst ST9 Single Sign-On og log-ud Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST9 Version 1 Juli 2015 Single Sign-On og log-ud Betegnelsen Single Sign-On (SSO)
Læs mereSom bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft d. 25. maj 2018.
Kære bibliotekschefer og kontaktpersoner Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft d. 25. maj 2018. I den forbindelse gør KOMBITs projekter/løsninger status på deres GDPR-arbejde.
Læs mere1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du
PERSONDATAPOLITIK FOR UniqueDanmark 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og som vi indsamler om dig, enten som led i et medlems-
Læs mereBehandling af personoplysninger
Behandling af personoplysninger Orientering til kunder om Zibo Athene A/S behandling af personoplysninger. Nærværende dokument er en information til dig som kunde hos Zibo Athene A/S (herefter Zibo Athene)
Læs merePersondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].
Baggrund for persondatapolitikken Nykøbing Katedralskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereVejledning til KOMBIT KLIK
Vejledning til KOMBIT KLIK KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 0 Version Bemærkning til ændringer/justeringer Dato Ansvarlig 1.0 Første
Læs merePersondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den
Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den 25.05.2018 Indholdsfortegnelse 1 Baggrund... 3 2 Formål... 3 3 Omfang... 3 4 Roller og ansvar...
Læs mereFormålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.
Baggrund for persondatapolitikken Ribe Katedralskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs merePersondata politik for GHP Gildhøj Privathospital
Persondata politik for GHP Gildhøj Privathospital Baggrund for persondatapolitikken Denne persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU)
Læs mereRisikovurdering ENHED:
? Risikovurdering?? ENHED: INDLEDNING Formålet med at identificere risici og trusler er at blive i stand til at imødegå disse for at minimere konsekvenserne og i videst muligt omfang sikre fortsat drift
Læs mereINFORMATIONS- OG INDIVIDSIKKERHED (IOI) VEJLEDNING TIL GDPR COMPLIANCE DATATYPER & DATASTRØMME. Version 2.0
snummer Dato Int Afsnit der er ændret 1.0 4. august 2017 CHG Gældende version 1.1 24. august 2017 CHG Opdateret afsnit om datatyper jf. input om spørgsmål 12 16. Ikke publiceret på Yammer 14.09.2017 TG
Læs mereRetningslinje om risikovurdering
Retningslinje om risikovurdering Anvendelsesområde Retningslinje om risikovurdering er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016
Læs merePersondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.
Persondatapolitik for Horsens Statsskole Baggrund for persondatapolitikken Horsens Statsskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereBAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4
Persondatapolitik Skanderborg Gymnasium Indholdsfortegnelse BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4 LOVLIGHED, RIMELIGHED OG GENNEMSIGTIGHED...4
Læs mereFormålet med denne retningslinje er at sikre, at Nykøbing Katedralskole foretager den fornødne risikovurdering ved behandling af personoplysninger.
Risikovurdering Notat Emne: Retningslinje om risikovurdering Til: Fra: Danske Gymnasiers medlemsskoler Arbejdsgruppen for databeskyttelse Dato: 23. april 2018 Anvendelsesområde Retningslinje om risikovurdering
Læs mereProcedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Læs mereEU Persondataforordning GDPR
EU Persondataforordning GDPR 14. juni 2018 Agenda Persondataforordningen - GDPR Hvad går forordningen grundlæggende ud på og hvorfor? Hvad stiller forordningen af krav til nødvendig indsats? Hvordan sikrer
Læs mereTønder Kommune BILAG 10
Tønder Kommune BILAG 10 Databehandleraftale mellem Tønder kommuner og Leverandør Side 1/14 DATABEHANDLERAFTALE Mellem Tønder Kommune Wegners Plads 2 6270 Tønder CVR. nr.: 29189781 (herefter Kommunen )
Læs merePersondatapolitik på Gentofte Studenterkursus
Persondatapolitik på Gentofte Studenterkursus Baggrund for persondatapolitikken Gentofte Studenterkursus persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets
Læs mereRetningslinjer om brud på persondatasikkerheden
Retningslinjer om brud på persondatasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereBilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner
Bilag 8 Retningslinje om brud på persondatasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereBallerup Kommune Politik for databeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18 Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme
Læs merePersondatapolitik for Aabenraa Statsskole
Persondatapolitik for Aabenraa Statsskole Baggrund for persondatapolitikken s persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
Læs merePERSONDATAPOLITIK FOR DANSK TOURETTE FORENING
PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som
Læs merePersondatapolitik. for Social- og Sundhedsskolen Esbjerg
Persondatapolitik for Social- og Sundhedsskolen Esbjerg Indhold Baggrund for persondatapolitikken... 2 Formål... 2 Definitioner... 2 Ansvarsfordeling... 3 Øverste ledelse (bestyrelsen)... 3 Daglig ledelse
Læs mereDATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf
DATABEHANDLERAFTALE Conscia A/S Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf. +45 7020 7780 www.conscia.com 1 INDHOLDSFORTEGNELSE 1. BAGGRUND OG FORMÅL... 3 2. OMFANG... 3 3. VARIGHED... 3 4. DEN
Læs mereDatabrudspolitik i Luthersk Mission
Databrudspolitik i Luthersk Mission September 2019 Denne politik har til hensigt at beskrive retningslinjer for håndtering af brud på persondatasikkerheden. Den er ikke fyldestgørende men en kort gennemgang
Læs merePersondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.
Persondatapolitik for Horsens HF & VUC Baggrund for persondatapolitikken Horsens HF & VUCs persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU)
Læs mereOVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.
OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106. INDHOLDSFO RTEGNELSE: 1. Generelt 3 2. Om nærværende Persondatapolitik 3 3. Definitioner 4 4. Persondataprincipper
Læs merePersondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.
Baggrund for persondatapolitikken Kolding Gymnasiums persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereDatabehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD
INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel
Læs merePersondatapolitik for Tørring Gymnasium 2018
Persondatapolitik for Tørring Gymnasium 2018 Baggrund for persondatapolitikken Tørring Gymnasiums persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:
Databehandleraftale Mellem Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: og Databehandleren Virksomhed: OnlineFox CVR: 38687794 Adresse: Pilagervej 32 Postnummer & By: 4200 Slagelse
Læs mereForslag til nye felter i OS2-kitos til understøttelse af GDPR-arbejdet
Forslag til nye felter i OS2-kitos til understøttelse af GDPR-arbejdet Forslag til nye felter i organisationsmodulet Felter Myndighedens navn og kontaktoplysninger: CVR-nummer, Adresse Telefonnummer E-mail
Læs mereDatabehandleraftale
Databehandleraftale 25.04.2018 DATABEHANDLERAFTALE Aftalen foreligger mellem Navn (Dataansvarlig) Adresse By og Graungaard Solution Aps (Databehandler) Lykkesholm 2 2690 Karlslunde CVR. nr. 36738367 Ovennævnte
Læs mereOPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE
OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE Bilag 14, IT-sikkerhed og databehandleraftale v.1.0 / Option til RM og RN INSTRUKTION TIL LEVERANDØREN VED UDNYTTELSE
Læs mereVejledning om evaluering af beredskab. April 2015
Vejledning om evaluering af beredskab April 2015 Vejledning om evaluering af beredskab Udgivet april 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen
Læs mereFormål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde
ø Retningslinjer om brud på datasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU)
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs mereWæde Consult ApS er dataansvarlig, og vi sikrer, at dine Persondata behandles i overensstemmelse med lovgivningen.
Wæde Consult ApS er dataansvarlig, og vi sikrer, at dine Persondata behandles i overensstemmelse med lovgivningen. Når du besøger vores hjemmeside eller gør brug af vores serviceydelser, betror du os dine
Læs mereBrud på persondatasikkerheden
Brud på persondatasikkerheden Te i a M. S t e n n e v a d Hvad er et brud på persondatasikkerheden? Databeskyttelsesforordningens definition: brud på persondatasikkerheden er en hændelse der fører til
Læs mereRetningslinje om risikovurdering
Retningslinje om risikovurdering Indhold Retningslinje om risikovurdering... 1 Anvendelsesområde... 2 Formål... 2 Definitioner... 2 Hvad er en risikovurdering?... 3 Hvordan gør vi?... 4 Hvordan håndterer
Læs mereRetningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2
Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium Indholdsfortegnelse ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 HVORDAN HÅNDTERER VI ET BRUD PÅ PERSONDATASIKKERHEDEN?... 3 NÅR
Læs merePolitik <dato> <J.nr.>
Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs merePersondataforordningen...den nye erklæringsstandard
www.pwc.dk Persondataforordningen...den nye erklæringsstandard September 2017 Revision. Skat. Rådgivning. Personsdataforordningen igen. Udkast til erklæring i høring hos revisorer, advokater, databehandlere,
Læs mereOverordnet informationssikkerhedsstrategi
Overordnet informationssikkerhedsstrategi 1/2018 2 Indhold Indledning...4 Mål for sikkerhedsniveau...5 Holdninger og principper...5 Gyldighed og omfang...6 Organisering, ansvar og godkendelse...7 Sikkerhedsbevidsthed...7
Læs mereCuranet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Åstvej 10, B 7190 Billund CVR. nr. 30 56 13 17 (i det følgende betegnet Dataansvarlig ) og Curanet A/S Højvangen 4 8660 Skanderborg CVR. nr. 29
Læs mereBrud på datasikkerheden
Brud på datasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april
Læs mereCC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Aftalen foreligger mellem Adresse Post nr. og By CVR. nr. xx xx xx xx (i det følgende betegnet Dataansvarlig ) og CC GROUP DENMARK Møllebugtvej 5 7000 Fredericia Att: CVR. nr. 27415032
Læs merePrivatlivspolitik for NEWWWEB ApS
Privatlivspolitik for NEWWWEB ApS Dataansvar Vi tager din databeskyttelse alvorligt Vi behandler persondata og har derfor vedtaget denne privatlivsbeskyttelsespolitik, der fortæller dig, hvordan vi behandler
Læs mereRsikostyring - Vejledning til risikolog
Rsikostyring - Vejledning til risikolog Vedr.: Emne: Universitetssygehuset i Køge Vejledning til Riskologgen Åboulevarden 21 Postbox 510 DK-8100 Aarhus C T: [+5] 871 00 Fra: Per Christensen / pch@bascon.dk
Læs mereRisikoanalyse af implikationer for privatlivets fred
Risikoanalyse af implikationer for privatlivets fred Appendiks 5 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Risikovurdering af implikationer for privatlivets fred...
Læs mereTAVSHEDSPLIGT OG VIDEREGIVELSE AF OPLYSNINGER
TAVSHEDSPLIGT OG VIDEREGIVELSE AF OPLYSNINGER Reglerne om tavshedspligt og videregivelse af fortrolige oplysninger har stor praktisk betydning, da vi som medarbejdere i kommunen behandler mange personfølsomme
Læs merePersondataforordningen. Henrik Aslund Pedersen Partner
www.pwc.dk Persondataforordningen Morgenmøde Henrik Aslund Pedersen Partner Revision. Skat. Rådgivning. Hvorfor en ny Persondataforordning? EU persondataforordning - Morgenmøde Hillerød 2 Hvorfor en ny
Læs mere