CML Notat om. Sikkerhed ved transmission af personoplysninger via internettet i den private sektor

Størrelse: px
Starte visningen fra side:

Download "CML 01-06-07 2005-630-0002. Notat om. Sikkerhed ved transmission af personoplysninger via internettet i den private sektor"

Transkript

1 CML Notat om Sikkerhed ved transmission af personoplysninger via internettet i den private sektor 1. Baggrund 2. Persondataloven og andre regler 3. Datatilsynets praksis 4. Datatilsynets foreløbige overvejelser 1. Baggrund Datatilsynet er den statslige myndighed, der administrerer lov om behandling af personoplysninger (i daglig tale blot persondataloven) 1. Som led heri behandler Datatilsynet bl.a. klagesager og besvarer forespørgsler, udtaler sig om lovforslag og udkast til bekendtgørelser og cirkulærer mv., foretager inspektioner samt foretager undersøgelser af egen drift overfor myndigheder, virksomheder og organisationer, når tilsynet bliver bekendt med mulige brud på loven. Datatilsynet fører tilsyn med enhver behandling, der er omfattet af persondataloven, bortset fra domstolenes behandlinger. Det er forudsat i de almindelige bemærkninger til persondataloven, at Datatilsynet i første række bør tage sigte på at kunne udøve sin virksomhed gennem generelle retningslinier og ved en serviceorienteret rådgivning og vejledning. Spørgsmålet om sikkerhedskrav i forbindelse med transmission af personoplysninger via internettet indgår ofte i tilsynets sager. Det indgår i klagesager, som registrerede personer rejser ved tilsynet. Det indgår i tilsynets høringssvar over love og bekendtgørelse. Tilsynet stiller spørgsmål til dette under inspektioner og i forbindelse med egen-drift sager. Og sidst men ikke mindst kommer dette spørgsmål op, når tilsynet giver vejledning til virksomheder, organisationer og myndigheder om, hvordan de skal indrette sig for at efterleve persondataloven. Datatilsynet har på denne baggrund behov for at fastlægge, hvilke sikkerhedskrav der fremover skal stilles til private dataansvarlige i forbindelse med transmission af fortrolige eller følsomme personoplysninger over det åbne internet. 1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.

2 2 I afsnit 2 i dette notat beskrives de regler i persondataloven, som er grundlaget for, at personoplysninger skal beskyttes med passende sikkerhedsforanstaltninger ved transmission over internet. I afsnittet beskrives endvidere regler i anden lovgivning, der stiller krav til private dataansvarlige, herunder e-handelsloven. Tilsynet har allerede udtalt sig om kravene til sikkerheden i en række tilfælde. Tilsynets hidtidige praksis gengives i notatets afsnit 3. I afsnit 4 findes Datatilsynets foreløbige overvejelser om, hvorvidt den hidtidige praksis skal fastholdes. Tilsynets overvejelser skal bl.a. ses i lyset af den debat, der blev udløst efter tilsynets besvarelse af forskellige spørgsmål fra Biblioteksstyrelsen Datatilsynets udtalelse til Biblioteksstyrelsen I et brev af 12. juli 2005 besvarede Datatilsynet en henvendelse fra Biblioteksstyrelsen. Biblioteksstyrelsen havde bl.a. spurgt, om det i forbindelse med bestilling i bibliotek.dk er korrekt at anvende ikke-krypteret til fremsendelse af kvittering for afgivne bestillinger indeholdende titel på det bestilte materiale. Oplysninger om en borgers bibliotekslån er en fortrolig oplysning. I overensstemmelse med sikkerhedsvejledningen svarede Datatilsynet derfor Biblioteksstyrelsen, at fremsendelse af elektroniske reserveringsmeddelelser, der indeholder titel og forfatter på det reserverede materiale, kræver kryptering. Sagen gav anledning til en del omtale og debat, og Datatilsynet valgte efterfølgende at gøre en særlig undtagelse fra de sikkerhedskrav, som tilsynet generelt stiller til offentlige myndigheder. Undtagelsen gælder foreløbig i en periode på 5 år, hvor tilsynet således accepterer, at bibliotekerne fortsætter med at sende ukrypterede s med oplysninger om reserverede bøger Datatilsynets udtalelse om kryptering i den private sektor I udtalelsen til Biblioteksstyrelsen besvarede Datatilsynet også et spørgsmål om, hvad der gælder for e-boghandleres udsendelse af e-post-kvittering. Datatilsynet tilkendegav i overensstemmelse med sin hidtidige praksis at sikkerhedskravet om kryptering bør følges, både når den dataansvarlige er en offentlig myndighed, og når der er tale om en privat virksomhed. Datatilsynets udtalelse medførte en række henvendelser fra borgere, der ønskede at få oplyst, hvad der gælder i en lang række tilfælde, hvor private dataansvarlige transmitterer personoplysninger over det åbne internet. Der er i den forbindelse bl.a. spurgt til -kvitteringer ved køb af bøger og musik ved internetboghandler eller musikbutikker, -kvitteringer for køb af andre varegrupper på nettet, hvor forbrugeren modtager en ukrypteret kvitteringsmail, modtagelse af ukrypterede nyhedsbreve, s fra internetsteder med anbefaling af andre varer, som kan være af interesse for forbrugeren, samt fremsendelse af s indeholdende oplysninger om brugernavn og password.

3 3 Foranlediget af sagen kom Datatilsynet endvidere i dialog med forskellige brancheorganisationer, og der blev fra flere sider stillet spørgsmålstegn ved de krav, der fulgte af tilsynets hidtidige praksis. Datatilsynet besluttede herefter at afklare, hvilke sikkerhedskrav der fremover skal stilles til private dataansvarlige i forbindelse med transmission af fortrolige eller følsomme personoplysninger over det åbne internet. Som et led i denne proces har tilsynet udformet dette notat til brug for en høring af myndigheder, brancheorganisationer mv. Notatet og høringen er desuden tilgængelige på Datatilsynets hjemmeside 2. Persondataloven og andre regler 2.1. Persondatalovens sikkerhedskrav Persondatalovens kapitel 11 indeholder regler om behandlingssikkerhed. I 41, stk. 1, er det fastsat, at personer, virksomheder mv., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, kun må behandle disse efter instruks fra den dataansvarlige, med mindre andet følger af lov eller bestemmelser fastsat i henhold til lov. Det følger desuden af 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Persondatalovens krav om datasikker bygger på artikel 17 i databeskyttelsesdirektivet fra 1995: Europaparlamentet og Rådets direktiv af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger 2. Det er forudsat, at sikkerhedsforanstaltningerne under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, skal tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, som skal beskyttes, jf. direktivets artikel 17, stk. 1, 2. afsnit. Det er endvidere forudsat, at gennemførelsen af databeskyttelsesdirektivet ikke må medføre en forringelse af den beskyttelse, som registerlovgivningen ydede, jf. direktivets betragtning 10. Det er endvidere fremhævet, at iværksættelsen af de fornødne sikkerhedsforanstaltninger er særligt påkrævet, hvis behandlingen omfatter fremsendelser af oplysninger i et net, jf. herved direktivets artikel 17, stk. 1, 1. afsnit. 2 Direktiv 95/46/EF

4 4 I forbindelse med gennemførelsen af databeskyttelsesdirektivet skulle det af Justitsministeriet nedsatte Udvalg om Registerlovgivningen dels på baggrund af direktivet dels i lyset af den tekniske udvikling udforme et forslag til ny lovgivning om beskyttelse af personoplysninger mv. I lovforslaget til persondataloven 3 er udvalgets forslag gengivet. Det fremgår bl.a., at udvalget finder, at sikkerhedsforanstaltningerne grundlæggende bør indeholde følgende elementer: Fysisk sikkerhed, organisatoriske forhold, systemtekniske forhold, samt uddannelse og instruktion. Samtidig pegede Registerudvalget navnlig på følgende sikkerhedsforanstaltninger, der alt efter omstændighederne kan komme på tale: Sikring af bygninger og lokaler, formel autorisation af brugerne, adgangskoder (password), benyttelsesstatistik, logning af transaktioner, registrering af uautoriserede adgangsforsøg, kryptering, regler for udskrifter, regler for destruktion, uddannelse samt tilsyn. I lovforslaget til persondatalovens, afsnit Særligt om ny informationsteknologi beskrives gældende ret i afsnit Det fremgår bl.a., at Registertilsynet i sin praksis f.eks. har udtalt sig om kryptering i forbindelse med forsendelse af elektronisk post via internettet. Af afsnit om udvalgets overvejelser fremgår bl.a., at registerudvalget bemærkede, at den moderne informationsteknologi medfører stærkt forbedrede kommunikationsmuligheder, som det med tiden vil være naturligt at anvende med henblik på en faktisk styrkelse af den databeskyttelsesretlige regulering. Internettet og tilsvarende netværk bør i den forbindelse spille en fremtrædende rolle, idet denne teknologi bør nyttiggøres, så snart mulighederne herfor er tilstrækkeligt sikre og de dataansvarlige og tilsynsmyndighederne må forventes at være i stand til udnytte teknologien. I lovforslaget tiltrådte Justitsministeriet, at der ikke efter lovgivningen pålægges de dataansvarlige en pligt til at anvende nærmere bestemte former for informationsteknologi, f.eks. internettet, i forbindelse med behandling af oplysninger. Justitsministeriet fandt det ligesom registerudvalget naturligt, at det overlades til de berørte myndigheder, virksomheder mv. selv at vurdere, om de fornødne rammer for at tage edb-tekniske hjælpemidler i brug er til stede. Det blev samtidig anført, at Registertilsynet har oprettet en hjemmeside på internettet, som indeholder information om en række forhold, herunder bl.a. om Registertilsynet, om lovgivningen samt om publikationer og rapporter Sikkerhedsbekendtgørelsen med tilhørende vejledninger En udmøntning af princippet i 41, stk. 3, er for den offentlige forvaltning bl.a. sket i sikkerhedsbekendtgørelsen 4. Af sikkerhedsbekendtgørelsens 14 fremgår, at der kun må etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. 3 L 147, Folketingsåret Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Bekendtgørelsen kan læses på Datatilsynets hjemmeside, under punktet Lovgivning.

5 5 I Datatilsynets sikkerhedsvejledning 5 er det nærmere angivet, hvorledes sikkerhedsbekendtgørelsens krav vil kunne opfyldes. Det er bl.a. fremhævet, at der ved transmission af oplysninger over det åbne internet generelt er en risiko for, at oplysningerne undervejs læses og endog ændres af uvedkommende. Derudover er der en risiko for, at parterne i kommunikationen ikke er dem, de udgiver sig for. Disse risici må vurderes af den dataansvarlige i den konkrete situation, således at der kan træffes de fornødne sikkerhedsforanstaltninger. Hvad angår fortrolighed kan denne sikres ved forsvarlig kryptering af de transmitterede oplysninger. Hvis der er tale om transmission af fortrolige oplysninger, herunder personnummer, skal der som minimum foretages en kryptering. Hvis de transmitterede oplysninger er af følsom karakter (omfattet af persondatalovens 7, stk. 1 og 8, stk. 1), skal der anvendes en stærk kryptering, baseret på en anerkendt algoritme. Sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) må sikres i fornødent omfang ved anvendelse af passende sikkerhedsforanstaltninger, f.eks. elektronisk signatur eller individuelle, fortrolige adgangskoder Sikkerhedskrav til private dataansvarlige Der er ikke udstedt en bekendtgørelse, der udmønter kravene til sikkerheden i den private sektor. Det generelle krav i lovens 41, stk. 3, er imidlertid det samme i den private sektor som i den offentlige. I en række tilfælde f.eks. når Datatilsynet giver tilladelser til forskellige private dataansvarlige anbefaler tilsynet, at der i videst muligt omfang tilrettelægges sikkerhedsforanstaltninger i overensstemmelse med sikkerhedsbekendtgørelsen for den offentlige forvaltning Datatilsynets vilkår i tilladelser En række af de tilladelser, som Datatilsynet meddeler i den private sektor, indeholder vilkår om kryptering. Disse vilkår stilles i medfør af persondatalovens 50, stk. 1, nr. 5, hvorefter tilsynet i forbindelse med de tilladelser, som tilsynet meddeler efter lovens 50, stk. 1, 2 og 4, kan fastsætte nærmere vilkår for udførelsen af behandlingerne til beskyttelse af de registreredes privatliv. Datatilsynets tilladelser til private forskere indeholder således standardmæssigt følgende vilkår: Ved overførsel af personhenførbare oplysninger via internet eller andet eksternt netværk skal der træffes de fornødne sikkerhedsforanstaltninger mod, at oplysningerne kommer til uvedkommendes kendskab. Oplysningerne skal som minimum være forsvarligt krypteret under hele transmissionen. Ved anvendelse af interne net skal det sikres, at uvedkommende ikke kan få adgang til oplysningerne. Datatilsynets tilladelser til kreditoplysningsbureauer indeholder standardmæssigt følgende vilkår: Fremsendelse af oplysninger over det åbne internet må alene ske i forsvarlig krypteret form. 5 Vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Vejledningen kan læses på Datatilsynets hjemmeside under punktet Lovgivning.

6 6 Hvis der gives bureauets abonnenter adgang til oplysningerne via en hjemmeside, skal der endvidere etableres en ordning, således at der kun gives adgang til oplysningerne efter indtastning af en adgangskode (password). Hvis oplysningerne gøres tilgængelige over det åbne internet, skal oplysningerne sendes i forsvarlig krypteret form. Tilsvarende hedder det i tilsynets standardvilkår til advarselsregistre: Udsendelse af lister i elektronisk form ved brug af e-post over det åbne internet må alene ske i forsvarlig krypteret form. Hvis der gives medlemmerne/deltagerne i ordningen adgang til oplysningerne via en hjemmeside, må dette alene ske efter indtastning af en adgangskode (password). Hvis oplysningerne gøres tilgængelige over det åbne internet, skal oplysningerne sendes i forsvarlig krypteret form. I en tilladelse (gengivet på s i Datatilsynets årsberetning for 2005) til Centralregister for Min sidste Vilje har Datatilsynet bl.a. meddelt Brancheorganisationen Danske Bedemænd følgende vilkår: Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger Påbud fra Datatilsynet Datatilsynet kan efter persondatalovens 59, stk. 3, påbyde en privat dataansvarlig at træffe bestemte tekniske og organisatoriske sikkerhedsforanstaltninger mod, at der behandles oplysninger, som ikke må behandles, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. I praksis vil tilsynet ofte formulere sine krav om kryptering som en anmodning eller en anbefaling, idet tilsynets erfaring er, at sådanne anmodninger og anbefalinger i praksis efterleves. I tilfælde af, at en privat dataansvarlig ikke følger en sådan anmodning eller anbefaling, er tilsynet imidlertid gået videre og har meddelt påbud efter lovens 59, stk. 3. I tilfælde af, at en privat dataansvarlig ikke følger et sådant påbud, vil tilsynets næste skridt normalt være en politianmeldelse. Politianmeldelse som følge af manglende efterlevelse af et påbud om kryptering ved kommunikation over internet er sket i et enkelt tilfælde. Sagen vedrørte en organisation, som på sin hjemmeside havde en formular til fremsendelse af oplysninger om politisk overbevisning dvs. oplysninger af følsom karakter, og der var ikke implementeret kryptering. Efter Datatilsynets politianmeldelse efterkom organisationen Datatilsynets påbud således, at det ikke længere var muligt at udfylde en online indmeldelsesblanket på organisationens hjemmeside. Sagen er omtalt i afsnit 3.2. om sager fra Datatilsynets praksis.

7 Andre krav til private dataansvarlige Ud over persondatalovens krav til sikkerhed, skal der samtidig tages højde for, at der ved salg af varer over internettet er flere love ud over persondataloven der beskytter forbrugerne. Forholdet reguleres blandt andet af e-handelsloven 6. Det følger af lovens 12, stk. 1, at en tjenesteyder uden unødig forsinkelse elektronisk skal bekræfte modtagelsen af en elektronisk ordre. Af 12 stk. 2, følger, at en elektronisk ordre og den elektroniske ordrebekræftelse, jf. stk. 1, anses som modtaget, når adressaterne har adgang til disse. Det fremgår ikke af loven eller bemærkningerne hertil, hvad det nærmere indhold skal være af den elektroniske ordrebekræftelse. Det følger imidlertid af lovens 1, stk. 2, nr. 2, at loven ikke finder anvendelse på forhold, der vedrører persondatabeskyttelse. Anvendelse af betalingskort ved e-handel reguleres i lov om visse betalingsmidler 7. Det følger af 4, at lovens formål er at sikre, at betalingsmidler, der er omfattet af denne lov, er sikre og velfungerende. Efter stk. 2 skal et betalingssystem indrettes og virke således, at der sikres brugerne gennemsigtighed, frivillighed, beskyttelse mod misbrug samt fortrolighed om brugerens anvendelse af betalingsmidlet. Der skal løbende træffes de juridiske, organisatoriske, driftsmæssige, tekniske og sikkerhedsmæssige foranstaltninger, som er nødvendige for, at der er tale om et sikkert og velfungerende betalingssystem. Efter lovens 8 har brugeren krav på en kvittering ved enhver transaktion, som iværksættes med betalingsmidlet, medmindre brugeren på anden måde har let adgang til oplysninger om, hvorvidt og hvornår den pågældende transaktion er gennemført. Af lovbemærkningerne til 8 fremgår, at ved fjernsalg, herunder handel på internettet, kan bestemmelsen eksempelvis opfyldes ved at sende en til brugeren, eller ved at brugeren kan klikke sig ind på udstederens hjemmeside og der se, hvilke transaktioner der er registreret på brugerens konto. Det følger af lovens 17, stk. 1, at bestemmelsen er præceptiv. Af kommentaren til bestemmelsen i Karnov fremgår, at brugeren derfor ikke på forhånd kan fraskrive sig muligheden for at få kvittering eller på anden måde få let adgang til oplysninger om, hvorvidt og hvornår transaktion er gennemført, men brugeren kan i forbindelse med den enkelte transaktion give afkald herpå. De nordiske forbrugerombudsmænd har i oktober 2002 udsendt standpunkt (vejledning) til handel og markedsføring på internettet 8. Det fremgår indledningsvis af standpunktet, at når der i standpunktet står skal, betyder det, at det er et krav efter lovgivningen i alle nordiske lande. Hvis der står bør er det et udtryk for ombudsmændenes mening. 6 Lov nr. 227 af 22. april 2002 om tjenester i informationssamfundet, herunder visse aspekter af elektronisk handel. Loven implementerer Europaparlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked. 7 Lovbekendtgørelse nr af 20. december Dokumentet kan findes på

8 8 Af standpunktet fremgår, at forbrugere ved indgåelse af elektronisk aftale snarest efter bestilling skal modtage en elektronisk kvittering på, at bestillingen er modtaget. Endvidere fremgår det, at den erhvervsdrivende også skal sende en ordrebekræftelse, der indeholder oplysninger vedrørende den konkrete bestilling, herunder hvad der er bestilt, og oplysninger om pris og betaling. Vedrørende betaling fremgår det, at transmission af betalingskortoplysninger og andre koder vedrørende betalingssystemer på internettet altid bør være stærkt krypteret. Det samme gælder for den efterfølgende opbevaring af betalingsoplysninger på en server med forbindelse til internettet. Øvrige betalingsdata så som kundeoplysninger og ordreoplysninger bør ligeledes være beskyttet ved kryptering eller på anden måde, der sikrer, at oplysningerne ikke er åbent tilgængelige/læselige for uvedkommende på internettet Omkring sikkerhed på hjemmesiden fremgår det af vejledningen, at den erhvervsdrivende bør give klare og tydelige oplysninger om, i hvilket omfang de indgivne handels- og personoplysninger holdes fortrolige. Kunde/ordredata bør være beskyttede ved kryptering eller på anden måde, der sikrer, at oplysningerne ikke er åbent tilgængelige/læsbare for uvedkommende på internettet. Dette gælder såvel under transmission som under den efterfølgende opbevaring på en server, der er tilgængelig fra internettet. Hvis de pågældende data ikke er beskyttet som nævnt, bør forbrugeren gøres tydeligt opmærksom herpå. 3. Datatilsynets praksis Såvel Register- som Datatilsynet har i flere sager taget stilling til sikkerhedskravene til transmission af fortrolige og følsomme personoplysninger over det åbne internet Sager fra Registertilsynets praksis Registertilsynets sag Registertilsynet udtalte i denne sag at følsomme patientoplysninger, der via internettet sendes mellem offentlige myndigheder i sundhedssektoren, som minimum skal være krypterede, og at krypteringen skal være af en sådan art, at oplysningerne vil være beskyttet med den fornødne høje sikkerhed. Sagen er omtalt i Registertilsynets årsberetning fra 1997 s Registertilsynets sag I fortsættelse af Registertilsynets inspektion hos et kreditoplysningsbureau henledte tilsynet i anledning af det af bureauet anførte om videregivelse via internet bl.a. opmærksomheden på, at der efter lov om private registre 6, stk. 4, skulle træffes de fornødne sikkerhedsforanstaltninger mod, at oplysninger i et edb-register misbruges eller kommer til uvedkommendes kendskab. Tilsynet noterede sig, at der var etableret adgangsprocedurer med kontrol. Datatransmissionen var imidlertid ikke sikret gennem kryptering, hvilket Registertilsynet anbefalede skete, idet det efter tilsynets opfattelse ville udgøre en væsentlig forbedring af sikkerheden. Herudover behandlede Registertilsynet i slutningen af 90 erne flere sager om offentlige myndigheders kommunikation via internet. Disse vedrørte f.eks. transmission af oplysninger om personnumre og andre fortrolige oplysninger. Tilsynets praksis var, at fortrolige oplysninger som minimum skulle være krypterede, og at krypteringen skulle være af en sådan art, at oplysningerne vil være beskyttet med den fornødne høje sikkerhed, i tilfælde hvor oplysningerne skulle transporteres via internettet.

9 Sager fra Datatilsynets praksis Datatilsynets sag Sagen drejede sig om elektronisk flyttemeddelelse på Københavns Kommunes hjemmeside, der ikke var krypteret. Datatilsynet udtalte i den forbindelse, at når der er tale om transmission af fortrolige oplysninger, herunder personnummer, skal der som minimum foretages kryptering. Endvidere udtalte Datatilsynet, at de omhandlede sikkerhedsregler gælder for enhver behandling af personoplysninger, der foretages for den offentlige forvaltning, og reglerne kan ikke fraviges ved hverken en orientering af borgerne om sikkerhedsmanglerne eller ved indhentelse af et samtykke fra borgerne til fravigelsen. Datatilsynets sag Der var tale om en forespørgsel vedrørende salg af kontaktlinser over internettet via en dansk hjemmeside. Datatilsynet udtalte i den forbindelse, at oplysninger om styrken på de ønskede kontaktlinser er at betragte som en helbredsoplysning omfattet af persondatalovens 7. Endvidere udtalte Datatilsynet, at sikkerhedsreglerne i persondatalovens 41, stk. 3, skulle iagttages, hvilket efter Datatilsynets opfattelse medfører, at der ved transmission af følsomme oplysninger over det åbne internet skal foretages en stærk kryptering, baseret på en anerkendt algoritme i forbindelse med salg af kontaktlinser over internettet. Datatilsynets sag Sagen drejede sig om en virksomheds behandling af oplysninger på dens webside. Virksomheden udførte bogholdervirksomhed, og i den forbindelse blev der transmitteret oplysninger om personers skatteforhold, herunder oplysninger om frikort, trækprocent og fradragsoplysninger, samt oplysninger om løn og sygedagpenge via internettet i ukrypteret stand. Datatilsynet udtalte, at hvis der er tale om transmission af oplysninger som f.eks. personnummer og oplysninger om en enkeltpersons økonomiske forhold, skal der som minimum foretages en kryptering. Hvis de transmitterede oplysninger er af følsom karakter, skal der anvendes en stærk kryptering, baseret på en anerkendt algoritme. Datatilsynets sag Datatilsynet henvendte sig af egen drift til privat skole vedrørende overførsel af personnumre via det åbne internet til skolen i ukrypteret form. Datatilsynet udtalte, at der ved transmission af oplysninger om personnumre over det åbne internet efter tilsynets opfattelse som minimum bør fortages kryptering. Der bør i øvrigt foretages kryptering, hvis andre oplysninger, som må betragtes som fortrolig (f.eks. oplysninger om økonomiske forhold o.l) transmitteres. Hvis der er tale om følsomme oplysninger omfattet af persondatalovens 7 og 8, skal der som minimum anvendes en stærk kryptering, baseret på en anerkendt algoritme. De beskrevne sikkerhedskrav bør følges, både når den dataansvarlige er en offentlig myndighed, og når der er tale om en privat virksomhed mv. Tilsynet udtalte endvidere, at det således er Datatilsynets opfattelse, at persondatalovens 41, stk. 3, medfører, at der som udgangspunkt må stilles samme krav til datasikkerheden i private virksomheder mv. som i den offentlige forvaltning. Datatilsynets sager xxxx Datatilsynet tog af egen drift en række sager op vedrørende politiske partiers og politiske ungdomsforeningers hjemmesider, hvor der var mulighed for at indmelde sig. Datatilsynet henvendte sig til de enkelte foreninger og orienterede om, at der efter Datatilsynets opfattelse ved transmittering af fortrolige oplysninger, herunder personnummer, som minimum bør foretages en kryptering. Hvis de transmitterede oplysninger er af følsom karakter, skal der anvendes en stærk krypte-

10 10 ring, baseret på en anerkendt algoritme. Datatilsynet udtalte endvidere, at oplysninger om medlemskab af et politisk parti er en fortrolig og endog følsom oplysning, jf. persondatalovens 7, stk. 1. Oplysninger om, at man ønsker at blive medlem, må ligeledes betragtes som en oplysning om politisk tilhørsforhold, og altså en følsom oplysning. Datatilsynet foreslog på den baggrund foreningerne at træffe foranstaltninger til at sikre, at transmissionen af oplysninger sikres på en måde, så risikoen for, at oplysningerne kommer til uvedkommendes kendskab, minimeres, og udbad sig underretning om, hvad foreningerne ville foretage. Alle foreninger på nær én imødekom Datatilsynets forslag. Datatilsynets sag xxxx I en af de egen drift-sager, som Datatilsynet tog op vedrørende politiske partiers og politiske ungdomsforeningers hjemmesider, blev Datatilsynets henvendelse med forslag om kryptering ikke imødekommet. Datatilsynet anvendte derfor sine beføjelser efter persondataloven og påbød i medfør af persondatalovens 59, stk. 1 og 3, partiet at bringe sin behandling af personoplysninger i forbindelse med elektronisk indmeldelse i partiet via partiets hjemmesider i overensstemmelse med lovens krav om stærk kryptering ved transmission af følsomme oplysninger over åbne net eller at ophøre med at stille muligheden for elektronisk indmeldelse i partiet til rådighed. Da partiet endvidere ikke efterkom Datatilsynets påbud, fandt tilsynet det nødvendigt at politianmelde partiet for overtrædelse af persondatalovens bestemmelse i 41, stk. 3, om datasikkerhed og for at have undladt at efterkomme Datatilsynets påbud. Datatilsynet kunne derefter konstatere, at formularen var fjernet fra hjemmesiden, og Datatilsynets påbud dermed efterkommet. Herefter sluttede sagen. Politiet lukkede også deres sag. Datatilsynets sag Sagen drejede sig om en banks fremsendelse af en ukrypteret e-post indeholdende et personnummer som svar på en henvendelse til banken via en krypteret side på bankens hjemmeside. Datatilsynet udtalte i den forbindelse, at tilsynet havde noteret sig, at banken havde fastsat retningslinier for anvendelse af e-post/notes-mail samt internettet for bankens medarbejdere. Datatilsynet noterede sig endvidere, at banken foranlediget af det skete havde indskærpet sikkerhedsreglerne over for den pågældende medarbejder, og at banken generelt havde orienteret sine medarbejdere om reglerne på ny. Datatilsynets sag Datatilsynet henvendte sig af egen drift til en virksomhed vedrørende virksomhedens videregivelse af oplysninger om e-postadresser og om afslag på jobansøgning til en række jobansøgere. Jobafslaget blev sendt til alle ansøger i én samlet e-post, hvor samtlige ansøgeres e-postadresser fremgik af modtagerfeltet. Det er Datatilsynet opfattelse, at sikring af, at e-postadresser og e- postens indhold, som dermed også kan henføres til personer, ikke kommer til uvedkommendes kendskab, er omfattet af den dataansvarliges forpligtigelse efter 41, stk. 3. Datatilsynet fandt derfor, at virksomheden ved udsendelsen af e-posten med oplysning om, at alle adressaterne havde fået afslag på deres jobansøgning, havde overtrådt kravene i persondatalovens 41, stk. 3. I tilknytning hertil henledte Datatilsynet endvidere opmærksomheden på, at det bl.a. følger af sikkerhedsvejledningen, at der ved transmission af fortrolige oplysninger som minimum skal foretages kryptering.

11 11 Datatilsynets sag Sagen drejede sig om et hospital, der sendte en e-post med fortrolige oplysninger om en patient til en speciallæge. Der skete derefter spredning af patientoplysningerne fra lægens computer på grund af en virus på computeren, som bevirkede, at e-posten blev videresendt til en række e- postadresser indeholdt i lægens adressekartotek. Datatilsynet bemærkede, at den omhandlede e- post efter tilsynets opfattelse indeholdt fortrolige oplysninger, som tillige var af følsom karakter, herunder oplysninger om helbredsmæssige forhold og strafbare forhold. Datatilsynet konstaterede, at der hverken var anvendt kryptering eller digital signatur ved afsendelsen af e-posten, hvilket Datatilsynet anså som en alvorlig tilsidesættelse af såvel kravene til datasikkerhed som kravet om god databehandlingsskik. Datatilsynet henstillede, at amtet i overensstemmelse med persondatalovens krav om god databehandlingsskik og behandlingssikkerhed etablerede hensigtsmæssige sagsbehandlingsprocedurer i forbindelse med ekstern e-post samt gav den fornødne instruktion til medarbejdere, der behandler personoplysninger. Datatilsynets sag Sagen drejede sig om en privat organisations webside, hvor der i forbindelse med køb af billetter skulle opgives personnummer, og der skete i den forbindelse ukrypteret transmission af personnummeret via internettet. Datatilsynet udtalte, at der ved transmission af oplysninger om personnumre over det åbne internet efter tilsynets opfattelse som minimum bør foretages kryptering. Der bør også foretages kryptering, hvis andre oplysninger, som må betragtes som fortrolige (f.eks. oplysninger om økonomiske forhold o.l.), transmitteres. Datatilsynets sag En kommune rettede henvendelse til Datatilsynet med en forespørgsel om, hvorvidt en jobansøgning, der er modtaget elektronisk via e-post, kan besvares via e-post uden brug af digital signatur. Datatilsynet udtalte i den forbindelse, at en stillingsansøgning samt svar herpå må betragtes som fortrolige, og at der derfor skal foretages kryptering, når svar på ansøgningen sendes via internettet. Samtidig oplyste Datatilsynet, at det ikke er muligt at samtykke sig ud af sikkerhedskravene ved f.eks. at undlade at bruge digital signatur eller lignende. Datatilsynets sag Sagen drejede sig om en kommunes fremsendelse af en ukrypteret e-post, som indeholdt oplysninger om restance vedrørende betaling af børne- og/eller ægtefællebidrag. Datatilsynet udtalte, at restanceoplysninger i forbindelse med afregning af børnebidrag/ægtefællebidrag efter tilsynets opfattelse er oplysninger af fortrolig karakter. På den baggrund udtalte Datatilsynet, at der ved transmission af fortrolige oplysninger over det åbne internet som minimum skal foretages kryptering. Datatilsynet bemærkede desuden, at det ikke umiddelbart fremgik af kommunens Lokale uddybende sikkerhedsregler, at e-post indeholdende fortrolige eller følsomme personoplysninger skal fremsendes krypteret. Datatilsynet anbefalede således, at det fremover skulle fremgå af kommunens sikkerhedsregler, at fortrolig og følsom information skal krypteres, hvis den sendes via e-post. Datatilsynets sag Sagen drejede sig om en registrering hos et kreditoplysningsbureau. I forbindelse med sagens behandling havde kreditoplysningsbureauet anvendt elektronisk post til besvarelse af den registreredes henvendelse. Den fremsendte e-post indeholdte den registreredes skylderklæring, hvoraf den registreredes personnummer fremgik. Datatilsynet udtalte, at der ved transmission af oplysninger om personnumre over det åbne internet efter tilsynets opfattelse som minimum bør foretages kryptering. Der bør også foretages kryptering, hvis andre oplysninger, som må betragtes som fortrolige (f.eks. oplysninger om økonomiske forhold o.l.), transmitteres.

12 12 Datatilsynet udtalte videre, at oplysning om, at en person er registreret i et kreditoplysningsbureau, efter tilsynets opfattelse er en oplysning, der ikke bør sendes ukrypteret over det åbne internet. Det er således tilsynets opfattelse, at oplysning om, at en person er registreret i et kreditoplysningsbureau er af privat og fortrolig karakter. Den omstændighed, at oplysningen kan videregives til bureauets abonnenter, ændrer ikke herved, idet abonnenternes adgang til oplysningerne er begrænset til tilfælde, hvor den pågældende skal have kredit. Oplysningerne er således ikke frit tilgængelige. Datatilsynet meddelte på denne baggrund kreditoplysningsbureauet, at tilsynet under henvisning til persondatalovens krav om datasikkerhed anbefalede, at bureauet ikke sendte oplysninger om registreringer via almindelig ukrypteret e-post. 4. Datatilsynets foreløbige overvejelser Persondatalovens 41, stk. 3, som er beskrevet i afsnit 2 i dette notat, fastlægger de overordnede krav til den dataansvarliges behandlingssikkerhed. Det er som nævnt i afsnit 2 forudsat, at sikkerhedsforanstaltningerne under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, skal tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, som skal beskyttes, jf. databeskyttelsesdirektivets artikel 17, stk. 1, 2. afsnit. Fastlæggelsen af sikkerhedsniveauet må således ske efter en afvejning af på den ene side det aktuelle tekniske niveau og omkostningerne i forbindelse med foranstaltningernes iværksættelse og på den anden side de risici, som behandlingen indebærer, samt hvilke oplysningstyper der er tale om. Det må samtidig tages i betragtning, at der med persondataloven ikke er tilsigtet et lavere niveau for datasikkerhed end efter den tidligere registerlovgivning. Endelig må tilsynet tage hensyn til, at såvel direktivet som persondataloven identificerer fremsendelse af oplysninger i et net som en behandling, der medfører, at de fornødne sikkerhedsforanstaltninger er særligt påkrævet Risici ved brug af internet Det må efter Datatilsynets opfattelse lægges til grund, at internettet uden brug af ekstra sikkerhedstiltag ikke er et sikkert net. Ved et sikkert net forstås et net, hvor oplysningerne ikke undervejs kan tilgås af uvedkommende. Ved transmission af oplysninger over internet er der efter Datatilsynets opfattelse generelt en risiko for, at oplysningerne undervejs læses og endog ændres af uvedkommende. Dette har tilsynet tillige anført i sin vejledning til sikkerhedsbekendtgørelsen i den offentlige forvaltning omtalt ovenfor i afsnit 2.2. Det har af og til været nævnt, at fremsendelse via internet er som at sende oplysningerne på et åbent postkort. Denne sammenligning er efter Datatilsynets opfattelse beskrivende.

13 Datatilsynets umiddelbare vurderinger Efter Datatilsynets opfattelse er det her relevant at sondre mellem transmission via den dataansvarliges hjemmeside og transmission ved anvendelse af e-post Transmission af oplysninger via en hjemmeside Efter Datatilsynets opfattelse findes der løsninger, der kan sikre, at oplysningerne krypteres, når de fremsendes via en hjemmeside. Den dataansvarlige har således mulighed for at implementere en løsning, hvor kommunikationen via hjemmesiden foregår sikkert ved hjælp af SSL kryptering eller lign. Anvendelsen af den sikre kommunikation kræver ikke implementering af en særlig løsning hos brugeren. Der er endvidere mulighed for at implementere forskellige grader af kryptering, herunder også det, der betegnes som stærk kryptering. Det er endvidere tilsynets vurdering, at omkostningerne ved sådanne løsninger ikke er større, end at udgiften står mål med den beskyttelse af personoplysninger, som opnås ved løsningen. Ved fremsendelse via en formular på den dataansvarliges hjemmeside er det derfor tilsynets umiddelbare vurdering, at kravet om beskyttelse af oplysningerne ved kryptering fortsat er passende. Efter tilsynets opfattelse skal der således fortsat anvendes kryptering ved fremsendelse af private (fortrolige) personoplysninger herunder personnumre. Tilsynet finder også fortsat, at krypteringen bør være stærk, hvis oplysningerne er af følsom karakter. Dvs. hvis der er tale om oplysninger omfattet af persondatalovens 7 og 8. Disse bestemmelser omfatter oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold samt oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold mv Transmission af oplysninger via e-post En anden kategori omhandler kommunikation via e-post. Her findes der også løsninger. Disse er imidlertid ikke så ligetil at implementere såvel afsender som modtager skal således kunne kommunikere sikkert. Der findes forskellige løsninger til sikker kommunikation via e-post. Der er bl.a. mulighed for at sende sikker e-post ved hjælp af digital signatur (OCES). Herudover kan f.eks. bruges centrale postkasser som e-boks. Det kan også forekomme, at den dataansvarlige selv har etableret en løsning. Dette kan f.eks. være i forbindelse med et pengeinstituts netbank. Løsningerne er teknologisk mulige, og med det gratis OCES certifikat til borgerne er det som udgangspunkt alene de dataansvarlige, der har omkostninger ved etablering af løsningerne. Datatilsynet vurderer umiddelbart, at omkostningerne ved etablering af løsninger til sikker e-post kommunikation ikke er større, end at de står mål med behovet for at beskytte private (fortrolige) og/eller følsomme personoplysninger ved kommunikation over internet.

14 14 Anvendelsen af disse løsninger er imidlertid ikke særligt udbredt blandt borgerne. Der vil derfor være en del borgere, der ikke vil kunne modtage sikker e-post. Ulempen for de berørte virksomheder kan således være, at en del af deres kommunikation med kunder mv. ikke kan ske digitalt men må foregå med almindelig post. Kravet om kryptering vil derfor i praksis kunne udgøre en barriere for digitalisering og effektivisering. Også på dette område må udgangspunkt tages i, at internettet ikke er sikkert. Det må desuden tages i betragtning, at Register- og Datatilsynets praksis hidtil har været, at oplysninger af privat (fortrolig) karakter herunder personnumre samt oplysninger af følsom karakter skal beskyttes ved transmission via internet, herunder ved fremsendelse på e-post. Sammenholdt med forudsætningen om, at persondataloven ikke skal medføre et lavere niveau for datasikkerhed end efter den tidligere registerlovgivning, taler dette for, at det hidtidige krav om kryptering, hvor hensynet til beskyttelsen af personoplysningerne er afgørende, fastholdes selv om anvendelse af sikre løsninger i praksis endnu er forbundet med vanskeligheder. På den anden side er det som beskrevet ovenfor også forudsat, at sikkerhedsforanstaltningerne under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, skal tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, som skal beskyttes, jf. databeskyttelsesdirektivets artikel 17, stk. 1, 2. afsnit. Ved vurderingen af, hvilke krav der skal gælde, må det aktuelle tekniske niveau derfor også tages i betragtning. Der må henses til, hvad der i praksis kan lade sig gøre og efter Datatilsynets umiddelbare opfattelse tillige til, om de tilgængelige løsninger er af en sådan karakter, at de i praksis kan anvendes bredt af de berørte. I følgende tilfælde er der efter Datatilsynets umiddelbare opfattelse så stort et behov for beskyttelse, at kravet om kryptering i hvert fald må fastholdes: 1. Transmission af personoplysninger ved brug af e-post i forbindelse med private forskningsprojekter bør under alle omstændigheder ske krypteret. Under henvisning til de særlige muligheder, der eksisterer for behandling af oplysninger i videnskabeligt og statistisk øjemed, er det efter Datatilsynets opfattelse nødvendigt, at den private forsker beskytter oplysningerne mod, at de kan komme til uvedkommendes kendskab. Kryptering har siden 2000 været et fast vilkår i Datatilsynets tilladelser til behandlinger af følsomme oplysninger, der foretages for en privat dataansvarlig, og som udelukkende finder sted i statistisk eller videnskabeligt øjemed. 2. Fremsendelse af e-post fra advarselsregistre og kreditoplysningsbureauer. Dette har været en del af tilsynets vilkår siden Under henvisning til oplysningernes karakter og de betydelige ulemper for den berørte person eller virksomhed, det kan medføre, hvis oplysningerne kommer til uvedkommendes kendskab, er det tilsynets opfattelse, at oplysningerne også fortsat kun må transmitteres over internet, hvis der

15 15 anvendes kryptering. Kravet om kryptering skal efter Datatilsynets opfattelse fortsat gælde for enhver kommunikation fra advarselsregisteret eller kreditoplysningsbureauet herunder til såvel abonnenter som til registrerede personer og virksomheder. Kravet om kryptering bør endvidere fortsat gælde for abonnenternes fremsendelse af informationer om de registrerede til bureauet. 3. Fremsendelse af e-post indeholdende følsomme oplysninger omfattet af persondatalovens 7 og 8. Her er det tilsynets umiddelbare opfattelse, at oplysningernes karakter medfører, at behovet for at beskytte oplysningerne vejer tungest i forhold til de ulemper, et krav om kryptering medfører for de dataansvarlige. Datatilsynet vil overveje, om der vil kunne accepteres undtagelser fra kravet om kryptering ved transmission af følsomme oplysninger, og hvordan tilfælde, hvor dette skal kunne ske, afgrænses. Elementer, der eventuelt kan indgå i vurderingen, er, om den berørte person (kunden) har valgfrihed altså om personen kan vælge at gå et andet sted hen, hvis han ikke vil være kunde hos en dataansvarlig, der ikke tilbyder beskyttelse af følsomme personoplysninger ved e-post kommunikation. Det kan eventuelt også indgå i overvejelserne, om kunden selv vælger denne kommunikationsform over for virksomheden. 4. Datatilsynet vil desuden overveje, om der er andre områder, hvor der transmitteres personoplysninger af privat men ikke af følsom karakter, hvor kryptering ligeledes fortsat bør være et krav ved anvendelse af e-post. Datatilsynet vil i den forbindelse overveje, om der fortsat skal være krav om kryptering, hvis et personnummer sendes i en e-post via internettet i den private sektor. I alle andre tilfælde vil Datatilsynet overveje i hvert fald indtil videre eventuelt at frafalde kravet om kryptering ved brug af e-post i den private sektor. Det gælder f.eks. for e-post indeholdende oplysninger om bestilte eller købte varer i e-handelsløsninger, økonomiske forhold i forbindelse med bankforretninger, afslag på jobansøgninger og andre private, men ikke følsomme personoplysninger. Det understreges samtidig, at Datatilsynets umiddelbare vurdering ikke medfører, at et samtykke fra den berørte person bliver afgørende for, om der skal ske kryptering. Som det fremgår af afsnit 3 om tilsynets praksis, har tilsynet hidtil haft den opfattelse, at sikkerhedsreglerne ikke kan fraviges ved indhentelse af et samtykke fra borgerne.

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup

DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup 24. september 2010 Vedrørende sikkerhedsforanstaltningerne omkring udstedelse af NemID Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Indenrigs- og Sundhedsministeriet Slotsholmsgade 10-12 1216 København K. Sendt til: primsund@im.dk med kopi til sah@im.dk

Indenrigs- og Sundhedsministeriet Slotsholmsgade 10-12 1216 København K. Sendt til: primsund@im.dk med kopi til sah@im.dk Indenrigs- og Sundhedsministeriet Slotsholmsgade 10-12 1216 København K Sendt til: primsund@im.dk med kopi til sah@im.dk Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319

Læs mere

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt Parterne og hver for sig Part) DATABEHANDLERAFTALE Aftalen foreligger mellem Adresse Post nr. og By CVR. nr. xx xx xx xx (i det følgende betegnet Dataansvarlig ) og CC GROUP DENMARK Møllebugtvej 5 7000 Fredericia Att: CVR. nr. 27415032

Læs mere

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt Parterne og hver for sig Part) DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Åstvej 10, B 7190 Billund CVR. nr. 30 56 13 17 (i det følgende betegnet Dataansvarlig ) og Curanet A/S Højvangen 4 8660 Skanderborg CVR. nr. 29

Læs mere

Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste.

Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste. Blankettype: Spærreliste Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste.

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Kreditoplysning Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig videregivelse

Læs mere

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015) Vejledning Februar 2015 VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL (VERSION 1.4 AF FEBRUAR 2015) Side 2 af 12 Indholdsfortegnelse: Indholdsfortegnelse:... 2 INDLEDNING... 4 GENERELLE

Læs mere

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)

Læs mere

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) og Steuermann ApS Flæsketorvet 68 1711 København V CVR. nr. 35809422 (i det følgende betegnet Databehandler ) (herefter samlet

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er

Læs mere

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1 DATABEHANDLERAFTALE Aftale omkring behandling af persondata Januar 2018 Version 1.1 Udarbejdet af: Jansson Gruppen A/S på vegne af: Jansson EL A/S, CVR nr.: 73 28 93 19 Jansson Alarm A/S, CVR nr.: 74 78

Læs mere

Bilag A Databehandleraftale pr

Bilag A Databehandleraftale pr 1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (Beierholms kunde) indgåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandleren (Beierholm)

Læs mere

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) Databehandleraftale mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) og Hedensted Kommune Horsens Kommune Odder Kommune Niels Espes Vej 8 Rådhustorvet 4 Rådhusgade

Læs mere

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer Borgerrådgiveren Socialforvaltningen Brev er d.d. fremsendt pr. e-mail. 16-11-2012 Sagsnr. 2012-98616 Dokumentnr. 2012-900691 Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling

Læs mere

Tønder Kommune BILAG 10

Tønder Kommune BILAG 10 Tønder Kommune BILAG 10 Databehandleraftale mellem Tønder kommuner og Leverandør Side 1/14 DATABEHANDLERAFTALE Mellem Tønder Kommune Wegners Plads 2 6270 Tønder CVR. nr.: 29189781 (herefter Kommunen )

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Skatteministeriet Nicolai Eigtveds Gade 28 1402 København K

Skatteministeriet Nicolai Eigtveds Gade 28 1402 København K Skatteministeriet Nicolai Eigtveds Gade 28 1402 København K Sendt til: js@skat.dk 4. oktober 2010 Vedrørende høring over forslag til lov om ændring af skattekontrolloven Datatilsynet Borgergade 28, 5.

Læs mere

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] !"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

Vejledning til udfyldelse af anmeldelsesskema til Datatilsynet

Vejledning til udfyldelse af anmeldelsesskema til Datatilsynet Afdeling: Direktionssekretariatet Udarbejdet af: Dorte Riskjær Larsen Sagsnr.: 13/1121 E-mail: dorte.riskjaer.larsen @ouh.regionsyddanmark.dk Dato: 26. september 2013 Telefon: 2128 4616 Vejledning til

Læs mere

Bilag B Databehandleraftale pr

Bilag B Databehandleraftale pr 1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (s kunde) indgåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren () behandling af personoplysninger,

Læs mere

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Vejledning om ergoterapeuters ordnede optegnelser (journalføring)

Vejledning om ergoterapeuters ordnede optegnelser (journalføring) 16. marts 2006 Vejledning om ergoterapeuters ordnede optegnelser (journalføring) 1 Indledning I medfør af lovbekendtgørelse nr. 631 af 30. august 1991 om Terapiassistenter (fysioterapeuter og ergoterapeuter)

Læs mere

Driftskontrakt. Databehandleraftale. Bilag 14

Driftskontrakt. Databehandleraftale. Bilag 14 Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

I arkivloven, jf. lovbekendtgørelse nr. 1035 af 21. august 2007, som ændret ved lov nr. 1170 af 10. december 2008, foretages følgende ændringer:

I arkivloven, jf. lovbekendtgørelse nr. 1035 af 21. august 2007, som ændret ved lov nr. 1170 af 10. december 2008, foretages følgende ændringer: Lovforslag (udkast) 17. februar 2015 Forslag til lov om ændring af arkivloven I arkivloven, jf. lovbekendtgørelse nr. 1035 af 21. august 2007, som ændret ved lov nr. 1170 af 10. december 2008, foretages

Læs mere

Jeg skrev blandt andet følgende til Beskæftigelses- og Integrationsforvaltningen:

Jeg skrev blandt andet følgende til Beskæftigelses- og Integrationsforvaltningen: Borgerrådgiveren Beskæftigelses- og Integrationsforvaltningen Center for Driftsunderstøttelse Fremsendt dags dato med e-mail til: bif@bif.kk.dk og cduklagesager@bif.kk.dk 12-10-2012 Sagsnr. 2012-91002

Læs mere

Datatilsynets inspektionsrapport

Datatilsynets inspektionsrapport Side 1 af 28 Datatilsynets inspektionsrapport Version 1.0 af Datatilsynets inspektionsskema i SurveyXact Dette skema anvendes på Datatilsynets inspektioner hos myndigheder. Tilsynet udfylder skemaet med

Læs mere

Iagttagelse af Datatilsynets vilkår, databehandleraftaler, og den dataansvarliges kontrol med databehandlere.

Iagttagelse af Datatilsynets vilkår, databehandleraftaler, og den dataansvarliges kontrol med databehandlere. Dato Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail dt@datatilsynet.dk www.datatilsynet.dk J.nr. 2015-019-0014 Sagsbehandler Camilla Knutsdotter

Læs mere

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde sig til indholdet evt.

Læs mere

DATABEHANDLERAFTALE Version 1.1a

DATABEHANDLERAFTALE Version 1.1a DATABEHANDLERAFTALE Version 1.1a Mellem Institutionens navn Institutions nr. Adresse Kommune Institutions CVR. nr. og WEBTJENESTEN LÆRIT.DK ApS Ellehammersvej 93 7500 Holstebro CVR: 35862056 (herefter

Læs mere

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Side 1 af 8 Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Kapitel 1 Lovens område 1. Stk. 7. Loven gælder for enhver form for behandling af personoplysninger i forbindelse

Læs mere

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet Om Datatilsynet Datatilsynet er den statslige myndighed, der fører tilsyn med lov om behandling af personoplysninger

Læs mere

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt Parterne og hver for sig Part) DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Vilhelm Thomsens plads 1 8900 Randers CVR. nr. 35 58 90 31 (i det følgende betegnet Dataansvarlig ) og DanDomain A/S Normansvej 1 8920 Randers

Læs mere

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS DATABEHANDLERAFTALE General aftale omkring behandling af persondata Udarbejdet af: ZISPA ApS Aftalen Denne databehandleraftale (Aftalen) er ZISPA s generelle databehandler aftale til den indgåede samhandelsaftale

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

Persondata Behandlingssikkerhed. v/rami Chr. Sørensen

Persondata Behandlingssikkerhed. v/rami Chr. Sørensen Persondata Behandlingssikkerhed v/rami Chr. Sørensen Behandlingssikkerhed Artikel 32 2 Behandlingssikkerhed art. 32 Henset til det aktuelle tekniske niveau og omkostningerne og i betragtning af behandlingens

Læs mere

Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig

Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig Gældende fra 2. marts 2015 og erstatter tidligere vejledninger Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig forskning i Region Syddanmark Generelt om anmeldelse Alle forskningsprojekter

Læs mere

Bilag X Databehandleraftale

Bilag X Databehandleraftale Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN

Læs mere

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk Brevdato: 23. maj 2006 Modtager: Scandinavian Airlines Danmark (SAS) J.nr. 2006-219-0370 Stikord: Fingeraftryk, personoplysninger, saglighed og proportionalitet, alternativ løsning, oplysningspligt, datasikkerhed.

Læs mere

Sammenfattende kan Datatilsynet konkludere

Sammenfattende kan Datatilsynet konkludere Odense Kommune Flakhaven 2 5000 Odense C Att.: John Bonnerup Sendt med Digital Post 11. november 2016 Vedrørende tilsyn med behandling af personoplysninger Datatilsynet Borgergade 28, 5. 1300 København

Læs mere

Tid og sted: Fredag den 28. juni

Tid og sted: Fredag den 28. juni Kommunaludvalget 2012-13 KOU Alm.del endeligt svar på spørgsmål 141 Offentligt Økonomi- og indenrigsminister Margrethe Vestagers talepapir Det talte ord gælder Anledning: Samråd Y Tid og sted: Fredag den

Læs mere

Notat om tilbagekaldelse af samtykke til fremtidige betalinger 1. INDLEDNING

Notat om tilbagekaldelse af samtykke til fremtidige betalinger 1. INDLEDNING Dato: 10. juli 2014 Sag: FO-13/02950-2 Sagsbehandler: /evs Notat om tilbagekaldelse af samtykke til fremtidige betalinger 1. INDLEDNING Forbrugerombudsmanden ser i stigende grad, at forbrugere har problemer

Læs mere

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] Tekst markeret med GRØN, udfyldes inden udsendelse til leverandøren Tekst markeret med TURKIS, udfyldes af leverandøren Side 1/16 Side 2/16 DATABEHANDLERAFTALE

Læs mere

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE INSTRUKTION TIL BESVARELSE AF BILAGET: Teksten i dette afsnit er ikke en del af Kontrakten og vil blive fjernet ved kontraktindgåelse.

Læs mere

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR. IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens

Læs mere

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark. Surftown A/S Regionsgolf-Danmark 08-05-2018 DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Regionsgolf-Danmark Michael Hansen Søndermarkvej, 60 4200 Slagelse CVR. nr. 34759316 (i det følgende

Læs mere

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr. 29189668 (herefter Kommunen ) og Firmanavn Adresse Postnr. og by CVR.nr. (herefter Leverandøren ) er der indgået nedenstående

Læs mere

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part ) Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter

Læs mere

Aftale omkring behandling af persondata.

Aftale omkring behandling af persondata. Databehandleraftale Aftale omkring behandling af persondata. Aftalen Denne databehandleraftale er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig) og ApS (Databehandler), og er gældende

Læs mere

DATABEHANDLERAFTALE

DATABEHANDLERAFTALE DATABEHANDLERAFTALE 24-05-2018 21-07-2019 n foreligger mellem Indtast Mr. Beef.dk kunde ApS Adresse Vingevej 6 Post 6950 nr. Ringkøbing og By CVR. nr. 40536035 xx xx xx xx (i det følgende betegnet Dataansvarlig

Læs mere

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) DATABEHANDLERAFTALE Mellem [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren )

Læs mere

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. om [Indsæt navn på aftale] Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune

Læs mere

Digitale boligstøtteansøgninger. En administrativ fordel med voksende effekt for både borgere og administration

Digitale boligstøtteansøgninger. En administrativ fordel med voksende effekt for både borgere og administration Digitale boligstøtteansøgninger En administrativ fordel med voksende effekt for både borgere og administration JUNI 2003 1 Titel: Digitale boligstøtteansøgninger En administrativ fordel med voksende effekt

Læs mere

Retningsgivende databehandlervejledning:

Retningsgivende databehandlervejledning: Retningsgivende databehandlervejledning: 1. Databehandleren handler alene efter vejledning af den dataansvarlige og vedrører de opgaver, datahandleren har i henhold til bilag 1 til databehandleraftalen

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

DATABEHANDLERAFTALE [LEVERANDØR]

DATABEHANDLERAFTALE [LEVERANDØR] DATABEHANDLERAFTALE Mellem [KUNDE] og [LEVERANDØR] Der er den [dato] indgået følgende databehandleraftale ("Aftalen") mellem: (A) (B) [VIRKSOMHEDEN], [ADRESSE] et selskab registreret under CVR-nr. [ ]

Læs mere

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration Side 1 af 2 Forside / Erhverv / Personaleadministration / Krav om datasikkerhed i forbindelse med personaleadministration Opdateret: 06.05.15 Krav om datasikkerhed i forbindelse med personaleadministration

Læs mere

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden. Aftalens omfang 1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden. 1.2 Personoplysninger, der behandles af Leverandøren,

Læs mere

Datatilsynet har besluttet at undersøge sagen af egen drift.

Datatilsynet har besluttet at undersøge sagen af egen drift. KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata Persondata og IT-sikkerhed Vejledning i sikker anvendelse og opbevaring af persondata December 2015 Indledning Denne vejledning har til formål, at hjælpe ansatte på IT-Center Fyns partnerskoler med at

Læs mere

Persondataloven - regler og praksis for god databehandlingsskik. Forskning med personoplysninger

Persondataloven - regler og praksis for god databehandlingsskik. Forskning med personoplysninger Artikel til METODE & DATA november 2008 Persondataloven - regler og praksis for god databehandlingsskik Forskning med personoplysninger Specialkonsulent, mag. art. Camilla Daasnes, Datatilsynet Artiklen

Læs mere

Bekendtgørelse om digital kommunikation i arbejdsløshedsforsikringen

Bekendtgørelse om digital kommunikation i arbejdsløshedsforsikringen BEK nr 1644 af 27/12/2013 (Gældende) Udskriftsdato: 17. juni 2016 Ministerium: Beskæftigelsesministeriet Journalnummer: Beskæftigelsesmin., Arbejdsmarkedsstyrelsen, j.nr. 2013-0015364 Senere ændringer

Læs mere

! Databehandleraftale

! Databehandleraftale ! Databehandleraftale Indledning 1.1. Denne aftale vedrørende behandling af personoplysninger ( Databehandleraftalen ) regulerer Pensopay APS CVR-nr. 36410876 (databehandleren) og Kunden (den Dataansvarlige

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Dragør Kommune Borgmestersekretariat, IT og Personale Marts Bilag 5 Databehandleraftale 1. Overholdelse af gældende regler og forskrifter Databehandleren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten,

Læs mere

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Furesø Kommune Stiager 2 3500 Værløse CVR. nr.: 29188327 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er der

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

Databehandleraftale

Databehandleraftale Databehandleraftale 25.04.2018 DATABEHANDLERAFTALE Aftalen foreligger mellem Navn (Dataansvarlig) Adresse By og Graungaard Solution Aps (Databehandler) Lykkesholm 2 2690 Karlslunde CVR. nr. 36738367 Ovennævnte

Læs mere

Kontraktbilag 7: Databehandleraftale

Kontraktbilag 7: Databehandleraftale Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør

Læs mere

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata DATABEHANDLERAFTALE Aftale omkring behandling af persondata Denne databehandleraftale (Aftalen) er er et tillæg til den indga ede samtykke mellem kunden (Dataansvarlig) og GSGroup Esbjerg (Databehandler)

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner Bilag 7 Retningslinje om behandlingssikkerhed Anvendelsesområde Retningslinje om behandlingssikkerhed er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Privat virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger om rent private forhold der foreta- ges for en privat dataansvarlig. Felter markeret

Læs mere

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ] DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE Flakhaven 2, 5000 Odense C OG [INDSÆT NAVN CVR xxxxxxxx Adresse ] 1. INDLEDNING... 3 2. ALMINDELIGE BESTEMMELSER... 3 3. SUPPLERENDE KRAV... 4 4. UNDERSKRIFTER...

Læs mere

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN) DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: By: (i det følgende benævnt KUNDEN) MICO ApS CVR 29220646 Bådehavnsgade 42 2450 København SV (i det følgende benævnt MICO) INDLEDNING Nærværende

Læs mere

Europaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt

Europaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt Europaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt Bilag til brev til Europaudvalget af 19. november 2008 19. november 2008 Martin Salamon Dok. 66500/ps Telekom-pakken Rådet har indledt

Læs mere

KUNDEADMINISTRATION PRIVATLIVSPOLITIK

KUNDEADMINISTRATION PRIVATLIVSPOLITIK KUNDEADMINISTRATION PRIVATLIVSPOLITIK Formålene med og retsgrundlaget for FynBus behandling af dine personoplysninger FYNBUS BEHANDLER DINE PERSONOPLYSNINGER FynBus behandler personoplysninger om dig (den

Læs mere

Bilag 1 - Tilslutningsinstruks

Bilag 1 - Tilslutningsinstruks Bilag 1 - Tilslutningsinstruks INDHOLDSFORTEGNELSE 1. INTRODUKTION TIL INSTRUKSEN... 3 2. ET KORT OVERBLIK OVER LØSNINGEN... 3 3. TILSLUTNINGSPROCESSEN... 4 4. REGLER FOR ANVENDELSE AF DIGITAL POST LØSNINGEN...

Læs mere

IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø. jahs@itst.dk

IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø. jahs@itst.dk IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø Sendt til: hvs@itst.dk og jahs@itst.dk 17. marts 2011 Vedrørende høring over udkast til bekendtgørelse om krav til information og samtykke ved lagring

Læs mere

Bilag 1 Databehandlerinstruks

Bilag 1 Databehandlerinstruks Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum

Læs mere

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] DATABEHANDLERAFTALE Der er dags dato indgået følgende Databehandleraftale mellem

Læs mere

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden ) DATABEHANDLERAFTALE Databahandleraftale #00014207_2018-05-23 Mellem Navn Adresse Postnr og by CVR: 12345678 (I det følgende benævnt Kunden ) og Corpital P/S Tobaksvejen 23B 2860 Søborg CVR: 28133391 (I

Læs mere

Kontraktbilag 3. Databehandleraftale

Kontraktbilag 3. Databehandleraftale Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i

Læs mere

IT-sikkerhedspanelets anbefalinger vedrørende privacy

IT-sikkerhedspanelets anbefalinger vedrørende privacy Anbefalinger vedr. privacy IT-sikkerhedspanelet under Ministeriet for Videnskab, Teknologi og Udvikling har i løbet af de seneste møder drøftet nødvendigheden af at forbedre borgere og virksomheders privacy

Læs mere

Persondatapolitik Vordingborg Gymnasium & HF

Persondatapolitik Vordingborg Gymnasium & HF Persondatapolitik Vordingborg Gymnasium & HF Indholdsfortegnelse Indhold Baggrund for persondatapolitikken... 3 Formål... 3 Definitioner... 3 Ansvarsfordeling... 4 Ansvarlighed... 4 Lovlighed, rimelighed

Læs mere

OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE Bilag 14, IT-sikkerhed og databehandleraftale v.1.0 / Option til RM og RN INSTRUKTION TIL LEVERANDØREN VED UDNYTTELSE

Læs mere

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 Side 1/19 Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med gul er aftaletekst,

Læs mere