IT-sikkerhedsrapport 2012
|
|
- Olaf Brøgger
- 7 år siden
- Visninger:
Transkript
1 IT-sikkerhedsrapport 2012 I henhold til Randers kommunes IT-sikkerhedspolitik gennemføres mindst én gang årligt, samt ved større tekniske eller organisatoriske ændringer, en sikkerhedsvurdering og kommunens ledelse orienteres om det aktuelle risikobillede. Status Generelt er it-sikkerheden højt prioriteret i Randers kommune, hvilket også afspejler sig i den udvidede itsikkerhedsrevision, samt i antallet af henvendelser fra medarbejdere om it-sikkerhedsmæssige spørgsmål og hændelser. Af hensyn til it-sikkerhedslederens organisatoriske placering har Randers kommune rekvireret udvidet itsikkerhedsrevision hos BDO/KR. Denne blev gennemført i november 2012 og har som den helt overordnede konklusion: Gennemgangen har vist, at Randers Kommunes administration af it-sikkerheden på de udvalgte områder er betryggende set ud fra et revisionsmæssigt synspunkt samt god it-skik. Endvidere, at der generelt er en fornuftig sammenhæng mellem kommunens retningslinjer (it-sikkerhedshåndbogen og bilag) og itafdelingens efterlevelse i praksis. De svagheder vi konstaterede ved sidste gennemgang, i foråret 2012, er rettet op eller er under udbedring. Hvor de er under udbedring, vil vi naturligt følge op på dette arbejde ved en kommende gennemgang. Vi har ved denne gennemgang ikke konstateret nye svagheder. Kommunens etablerede tilsyn med efterlevelse af it-sikkerheden i kommunen er udført som forudsat og har ikke ført til kritik fra vores side. I sidste halvdel af 2012 og primo 2013 blev Sb-Sys, SD-Løn og KMD-Sag EDH taget i anvendelse. Hermed har Randers kommune grundlaget for at overholde Sikkerhedsbekendtgørelsens krav om logning af elektronisk behandling af personfølsomme data. Den 7. november 2012 aflagde Datatilsynet besøg i Randers kommune. Inspektionens tema var Randers Kommunes ESDH-system (elektronisk sags- og dokumenthåndtering) med særlig fokus på tildeling og kontrol af autorisationer samt adgangen til personoplysninger i ESDH-systemet. Inspektionen gav anledning til bemærkninger, som der arbejdes på at få løst. I 2012 blev der gennemført 12 anmeldte og et mindre antal uanmeldte kontrolbesøg. Anmeldte kontrolbesøg foretages enten på baggrund af et uanmeldt tidligere besøg eller ved tilfældig udvælgelse. Her gennemgås en række it-sikkerhedspunkter ud fra et forud fremsendt skema. Uanmeldte kontrolbesøg foretages jævnligt tilfældigt eller på baggrund af konkrete hændelser, som f.eks. it-support har registreret. Herudover er der lagt vægt på mange spontane besøg uden et egentligt kontrolformål. Generelt er bevidstheden om it-sikkerhed og nødvendigheden heraf meget høj, hvilket giver sig udtryk i mange henvendelser om mulige og aktuelle trusler de enkelte brugere har observeret. Tilsvarende bekræfter trafikken på vores it-sikkerhedsportal også denne tendens. I løbet af året har it-brugere således været inde på it-sikkerhedsportalen. Statusrapport pr. 1/ marts 2013
2 Sikkerhedshændelser Der er ikke registreret egentlige sikkerhedshændelser i denne kategori i Der er forekommet hændelser, som kunne have udviklet sig til dette, men hvor det kunne løses med uddannelse og omlægning af arbejdsmetode. Trusler Antallet af forsøg på at ramme it-systemerne eller enkelte brugere er generelt steget betydeligt på internationalt plan. Således også mod Randers Kommune. I januar måned 2012 registrerede/fangede kommunens firewall (Ironport) 983 angreb. I januar måned 2013 udgjorde tallet DKCERT 2 har jfr. deres årsrapport konstateret en stigning i antallet af sikkerhedshændelser på 45 % i forhold til 2011 og forventer at denne stigning fortsætter. Såvel hackerforsøg som i særdeleshed port scanninger er ifølge DKCERT steget voldsomt. It-afdelingen har opgraderet it-sikkerheden generelt og har udvidet brugen af ekstern sårbarhedsscanning af vores it-systemer. Seneste scanning i februar måned af en række udvalgte kritiske systemer viste kun få og mindre sårbarheder, som lader sig rette. Der blev således hverken fundet høje eller kritiske sårbarheder. Sårbarheder i Java, som bl.a. anvendes til at logge ind på netbank, Skat m.fl., har fyldt meget det sidste halve år, fordi hackere har kunnet udnytte disse sårbarheder til at få adgang til brugernes pc, hvis de kunne lokke brugeren til at klikke på et link, som derefter kunne placere forskellige hackerfiler på pc en. Bl.a. en keylogger som f.eks. aflæser brugerens password. Firmaet Oracle har imidlertid opgraderet vedligeholdelsen af denne applikation, så det er blevet vanskeligere for hackeren at udnytte Java til kriminelle aktiviteter. DanId arbejder også på at udvikle et alternativ til Java, men foreløbig taler de om en tidshorisont på 1 år. Udfordringer EU-forordning om persondatabeskyttelse: Et aktuelt udkast til en EU-Forordning om persondatabeskyttelse er udsendt til medlemslandene til udtalelse. I modsætning til et Direktiv tilsidesætter en Forordning de love og bestemmelser medlemslandet har på området. Med andre ord vil vores nuværende Persondatalov med tilhørende bekendtgørelser m.fl. udgå og blive erstattet af en fælles EU-lov. I forslaget skelnes der i øvrigt som udgangspunkt ikke mellem kommercielle virksomheder og offentlige myndigheder, og såvel kommuner som virksomheder med mere end 250 ansatte skal udpege en datasikkerhedsansvarlig som bl.a. skal indberette persondatatab til en myndighed. Ud fra en vurdering af tab og årsag vil der kunne idømmes bøde på en størrelsesorden op til 7,5 mill. Kr. Forslaget handler om at sikre ensartet og bedre beskyttelse af EU-borgernes data og databehandlinger, fordi der indsamles enorme mængder data om borgerne. 1 En sikkerhedshændelse kan eksempelvis være tab af data, servernedbrud eller kriminel handling mod Randers kommunes IT eller brug heraf. 2 DKCERT (Computer Emergency Response Team) er en tjeneste fra DeIC, DTU. DKCERT fungerer som CERT for Forskningsnettet. DKCERT varsler om akutte trusler mod it-sikkerheden på internettet. Statusrapport pr. 1/ marts 2013
3 Der er udvidede krav til udformning af Work flow, blanketter m.m., som kommunen skal anvende fremover. Disse krav fastsættes af EU. Et af kravene er eksempelvis, at borgeren aktivt skal tilkendegive, at han/hun er bekendt med hvilke data der indsamles og hvorfor. I dag er der kun krav om dokumentation af, at borgeren er orienteret herom, hvilket typisk sker i en fodnote i et brev til borgeren. I sit høringssvar til udkastet forudser KL store ressourcemæssige og økonomiske omkostninger for kommunerne til udviklingen af de selvbetjeningsløsninger, som er planlagt/planlægges i forbindelse med digitaliseringsplanen. På it-sikkerhedsområdet vil udfordringen være opfyldelse af udvidede kontrolkrav og regulær sagsbehandling i forhold til den enkelte borgers ønske om indsigt og sletning af egne data, jfr. nye rettigheder i forordningsudkastet. Det er endnu uklart, hvorledes disse rettigheder om sletning af egne data skal udmøntes, hvor sletning/arkivering i dag reguleres i Persondatalov og Arkivlov. Mobilitet Ønske om at kunne tilgå sine data fra hvor som helst og på mobile enheder er stærkt stigende, men de tekniske muligheder for at kunne imødekomme dette er også blevet bedre. Således kan IT-afdelingen i dag tilbyde løsninger som gør det muligt at tilgå Randers kommunes netværk på en sikker og betryggende måde fra eksempelvis skolernes elevnet eller et hvert andet netværk, som brugeren kan få adgang til. Ligeså kan gæster også hos os få adgang til internettet fra medbragt udstyr via vores gæstenet. De øgede muligheder for mobile adgange er netop reguleret i et nyt sikkerhedsbilag om distance- og mobile arbejdspladser, fordi brugen heraf også kræver at brugeren er særligt opmærksom på sikkerhedskrav og risici. Området kræver fortsat megen opmærksomhed. Brugen af ipad er øget betydeligt og ideerne til, hvad de kan bruges til ligeså. Dette har krævet et ikke ubetydeligt ressourceforbrug i årets løb og gør det fortsat, fordi det ofte handler om særdeles personfølsomme data, som kræver en høj grad af sikkerhed, logning m.m.. Ekstern databehandling Brug af Cloudløsninger 3 er ikke steget væsentligt og kun godkendt i tilfælde, hvor der er tale om data som hverken er personfølsom eller fortrolig. Brugen af Cloud er reguleret i et internt bilag som findes på itsikkerhedsportalen. Derimod er antallet af systemer, hvor data befinder sig på servere uden for Randers kommune, ændret fra få til flere databehandlere. KMD var og er stadig en af de store databehandlere, men også forhandlerne af SD- Løn, Prisme, E-dagsorden, Sb-sys m.fl. er kommet på banen. Udfordringen er at der indgås databehandleraftaler med leverandørerne, og at der årligt føres kontrol med, at disse overholder de gældende sikkerhedsbestemmelser i forhold til Randers Kommunes data. 3 Lagring af data på internettet hos eksterne udbydere. Statusrapport pr. 1/ marts 2013
4 Video Møder og kommunikation Ønsker og behov for løsninger på dette område er stigende. Især fordi der kan spares mange penge og tid på transport. Eksempel herpå er tolkebistand, der med brugen af video/audio kan ydes, selv om tolken sidder på en adresse et andet sted i landet. It-udfordringen er sikkerhed, når disse systemer anvendes til regulær sagsbehandling og/eller behandling af personfølsomme eller fortrolige data. Der skal være sikkerhed for, at kommunikationen foregår krypteret og sikkert mellem og kun mellem de berørte parter, ligesom logningskravet jfr. sikkerhedsbekendtgørelsen ikke er mindre blot fordi der er tale om video/audio, der på lige fod med det skrevne er data, som skal bevares. Ikke mindst for at vi kan dokumentere sagsbehandlingen. Også sagspartens ret til indsigt er væsentlig i den henseende. Når der anvendes ekstern udbyder, som eksempelvis et tolkebistandskontor er der også en særlig udfordring i at sikre at deres sagsbehandling og behandling af data er i overensstemmelse med en databehandleraftale, hvis de bånder møderne. Endelig er der også en udfordring i opbevaringen af videooptagelserne fordi de fylder utroligt meget. Video-optagelser Der laves en del video-optagelser på især børn- og unge området. Disse bruges f.eks. til dokumentation af et barns udvikling. Også her gælder at disse optagelser skal opbevares i et system som kan opfylde krav om kryptering og logning, ligesom en anmodning om aktindsigt skal kunne behandles efter gældende lov. Problemet er blot, at de gængse systemer, som f.eks. KMD Sag Edh, ikke kan håndtere så store filer. It-afdelingen arbejder på at finde løsninger også på dette område. Digitaliseringen Den 1. november 2013 skal alle virksomheder i Danmark kommunikere digitalt med det offentlige og 1. november 2014 skal 80 procent af danskere over 15 år kunne kommunikere digitalt med det offentlige. Digital kommunikation med det offentlige stiller især krav om kryptering, verificering, lagring og dokumentation. Det stiller ikke blot store krav digitale postløsninger, men også til selvbetjeningsløsninger hvor borgere og virksomheder kan skaffe sig adgang til egne og relevante data. Det betyder at kommunen skal have øget opmærksomhed på adgangskontroller. Altså at man er sikker på, at den rette borger eller virksomhed får adgang til de rette data, ligesom man, som hidtil, skal være sikker på, at kommunens medarbejdere ikke får adgang til data, som de ikke har lov til at se. Altså kun data som de har brug for arbejdsmæssigt og for at kunne foretage den konkrete sagsbehandling.. Statusrapport pr. 1/ marts 2013
5 Også logningskravene skal være overholdt, så kommunen kan dokumentere misbrug eller modbevise det modsatte. Hele dette område skal vægtes højt. Sikkerhedsstandard DS484, som Randers Kommunes it-sikkerhedspolitik læner sig op ad, er som sådan udgået og vedligeholdes ikke mere af Dansk Standard, som i stedet anbefaler ISO m.fl. herefter omtalt som 2700-standarden og er den nye internationale sikkerhedsstandard for informationssikkerhed. Den største forskel mellem de to standarder er især udgangspunktet for ansvar, hvor ISO 2700-standarden tager udgangspunkt i, at it-sikkerheden er ledelsens ansvar, mens DS484 tager udgangspunkt i de enkelte sikkerheds områder. Staten og flere andre myndigheder samt mange kommercielle og private virksomheder er gået over til standarden, mens kommunerne er ret tilbageholdende indtil videre. Formentlig fordi det vil kræve en del ressourcer at omlægge til 2700-standarden, eller at man skønner, at DS484-standarden er god nok endnu. I hvert fald er der ikke formelt krav om, at kommunerne skal overholde en bestemt standard. Sammenholdt med tidligere omtalte EU-forordning og de krav der stilles heri vil det være hensigtsmæssigt at skifte til 2700-standarden før eller senest samtidig med. Statusrapport pr. 1/ marts 2013
Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.
IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens
Læs mereSammenfattende kan Datatilsynet konkludere
Odense Kommune Flakhaven 2 5000 Odense C Att.: John Bonnerup Sendt med Digital Post 11. november 2016 Vedrørende tilsyn med behandling af personoplysninger Datatilsynet Borgergade 28, 5. 1300 København
Læs mereNORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER
NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i
Læs mereProcedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Læs mereDATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )
DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:
Læs merelov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).
Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.
Læs mereDatabehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.
Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke Herefter benævnt Dataansvarlig Og Leverandør navn Adresse Herefter benævnt Databehandler side 1 af 5 Generelt Databehandleren
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereDatabehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)
Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at
Læs mereKontraktbilag 7: Databehandleraftale
Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør
Læs mereDATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem
vedr. Indkøbsordning til visiterede borgere i eget hjem Mellem Hvidovre Kommune Hvidovrevej 278 2650 Hvidovre Glostrup Kommune Rådhusparken 2 2600 Glostrup (CVR nr. 65120119) Rødovre Kommune Rødovre Parkvej
Læs mereRetningsgivende databehandlervejledning:
Retningsgivende databehandlervejledning: 1. Databehandleren handler alene efter vejledning af den dataansvarlige og vedrører de opgaver, datahandleren har i henhold til bilag 1 til databehandleraftalen
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs mereDATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx
DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående
Læs mereSikkerhedsregler for Kalundborg Kommune
Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til
Læs mereEksempel på KOMBITs instruks til ISAE 3000 revisionserklæring
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,
Læs mereDATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]
DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE Flakhaven 2, 5000 Odense C OG [INDSÆT NAVN CVR xxxxxxxx Adresse ] 1. INDLEDNING... 3 2. ALMINDELIGE BESTEMMELSER... 3 3. SUPPLERENDE KRAV... 4 4. UNDERSKRIFTER...
Læs mereTilladelsen gives på følgende vilkår:
Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,
Læs mere> DKCERT og Danskernes informationssikkerhed
> DKCERT og Danskernes informationssikkerhed Fujitsu Security Event, 29. januar 2019 Henrik Larsen 28 January, 2019 S 1 > Hvem er DKCERT? > Grundlagt 1991 efter en af de første store hackersager i Danmark
Læs mereUnderbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]
Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] DATABEHANDLERAFTALE Der er dags dato indgået følgende Databehandleraftale mellem
Læs mereDriftskontrakt. Databehandleraftale. Bilag 14
Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]
Læs mereSIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT
SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING 4 3. KONSEKVENSER 6 4. FORSLAG, HENSTILLINGER
Læs mereDatabehandlerinstruks
1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren
Læs merehos statslige myndigheder
IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet
Læs mereDragør Kommune Borgmestersekretariat, IT og Personale Marts
Bilag 5 Databehandleraftale 1. Overholdelse af gældende regler og forskrifter Databehandleren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten,
Læs mereDATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr
DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr. 29189668 (herefter Kommunen ) og Firmanavn Adresse Postnr. og by CVR.nr. (herefter Leverandøren ) er der indgået nedenstående
Læs mereDATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren )
Læs mereHillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav
IT-sikkerhedspolitik Bilag 2 November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3 2.3 Ledere, fagchefer mv...3 2.4 It gruppen, It
Læs merePersondata på Københavns Universitet
Persondata på Københavns Universitet En data-generals arbejde Lisa Ibenfeldt Schultz Databeskyttelsesrådgiver 08/11/2018 2 Principper 1. Levedygtig forvaltning af reglerne 2. Ansvar følger ansvar for hovedopgaven
Læs mereDatabehandleraftale. Dags dato er indgået nedenstående aftale mellem
Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer
Læs merePolitikken beskrivelser hvordan vi behandler persondata om vores medlemmer og netværk.
Vi tager beskyttelse af dine persondata alvorligt Business Lolland-Falster er en erhvervsorganisation med et lokalt, regionalt, nationalt og internationalt netværk. Business Lolland-Falster er ansvarlig
Læs mereDatabehandleraftale. om [Indsæt navn på aftale]
Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereTønder Kommune BILAG 10
Tønder Kommune BILAG 10 Databehandleraftale mellem Tønder kommuner og Leverandør Side 1/14 DATABEHANDLERAFTALE Mellem Tønder Kommune Wegners Plads 2 6270 Tønder CVR. nr.: 29189781 (herefter Kommunen )
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs mereEG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser
www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...
Læs mereSikkerhed i cloud computing
Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter
Læs merePERSONDATAPOLITIK FOR DANMARKS LÆRERFORENING. Vedtaget af styregruppen 21. februar 2018
PERSONDATAPOLITIK FOR DANMARKS LÆRERFORENING Vedtaget af styregruppen 21. februar 2018 INDHOLDSFORTEGNELSE 1. DANMARKS LÆRERFORENING TAGER DATABESKYTTELSE ALVORLIGT 3 2. ANSVAR FOR POLITIKKEN 3 3. IT-SIKKERHED
Læs mereDatabehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )
#BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]
Læs mereDK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen
DK CERT COMPUTER EMERGENCY RESPONSE TEAM Chefkonsulent Preben Andersen DK CERT Analyse og beskyttelsescenter Primær opgave: Gennem samarbejdet i CERT FIRST åbne kilder, at opbygge en samlet viden, der
Læs mereDATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )
DATABEHANDLERAFTALE Mellem Furesø Kommune Stiager 2 3500 Værløse CVR. nr.: 29188327 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er der
Læs mereBeretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb
Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 1 Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 2 Introduktion til de 2 beretninger
Læs mereDokumentation af sikkerhed i forbindelse med databehandling
- Dokumentation af sikkerhed i forbindelse med databehandling Al databehandling, der er underlagt persondataloven, skal overholde de tekniske krav, der er opstillet i Datatilsynets bekendtgørelse 528 (sikkerhedsbekendtgørelsen).
Læs mereDatatilsynets inspektionsrapport
Side 1 af 28 Datatilsynets inspektionsrapport Version 1.0 af Datatilsynets inspektionsskema i SurveyXact Dette skema anvendes på Datatilsynets inspektioner hos myndigheder. Tilsynet udfylder skemaet med
Læs mereDatabehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:
Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter
Læs mereVedrørende tilsyn med behandling af personoplysninger
Att.: Kommunaldirektøren Sendt med Digital Post Dato Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail dt@datatilsynet.dk www.datatilsynet.dk J.nr.
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs mereHvordan styrer vi leverandørerne?
Hvordan styrer vi leverandørerne? DI Digital 26. September 2016 DKCERT www.cert.dk Henrik Larsen Email: henrik.larsen@cert.dk Agenda Hvem er jeg? DKCERT Hvem er vi og hvad gør vi? Hvordan styrer universitetssektoren
Læs merePia Conradsen, 25. april 2017 Finder anvendelse pr. d. 25. maj 2018 i Danmark Baggrund, formål og anvendelse Interessenter Databehandler Persondata Sonlincs aktiviteter og overordnet plan Anbefalinger
Læs mereDatabehandleraftale. Dags dato er indgået nedenstående aftale mellem
Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereBilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS
Side: 1 DATABEHANDLERAFTALE Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS 1. Baggrund 1.1 Den Dataansvarlige er den juridiske enhed/kunde som har indgået
Læs merePrivatlivspolitik for medarbejdere
UNIVERSITY COLLEGE LILLEBÆLT Privatlivspolitik for medarbejdere Retningslinjer for registrering, håndtering og anvendelse af data om medarbejdere hos UCL Vedtaget på HSU den 16. november 2015 Indhold 1.
Læs merePERSONDATAPOLITIK FOR ÅRHUS LÆRERFORENING Revideret 17. januar 2019
PERSONDATAPOLITIK FOR ÅRHUS LÆRERFORENING Revideret 17. januar 2019 INDHOLDSFORTEGNELSE 1. ÅRHUS LÆRERFORENING TAGER DATABESKYTTELSE ALVORLIGT 3 2. ANSVAR FOR POLITIKKEN 3 3. IT-SIKKERHED 4 4. PERSONDATA
Læs mereDATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]
DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] Tekst markeret med GRØN, udfyldes inden udsendelse til leverandøren Tekst markeret med TURKIS, udfyldes af leverandøren Side 1/16 Side 2/16 DATABEHANDLERAFTALE
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Friskolen og Idrætsefterskolen UBBY Overordnet organisering af personoplysninger Friskolen og Idrætsefterskolen UBBY ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs merePrivatlivspolitik for studerende
UNIVERSITY COLLEGE LILLEBÆLT Privatlivspolitik for studerende Retningslinjer for registrering, håndtering og anvendelse af data om studerende hos UCL Vedtaget på HSU den 16. november 2015 Indhold 1. Formål...
Læs mereDe første 350 dage med den nye databeskyttelsesforordning
Baggrund Beskyttelse af data og informationssikkerhed er med EUs nye forordning om databeskyttelse blevet et væsentligt emne for mange virksomheder og organisationer. I forvejen har de statslige myndigheder
Læs mereIt-sikkerhed i Dansk Supermarked
It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores
Læs mereProjektets titel. Projektets formål
Projektets titel Projektets formål Projektansvarlig inkl. kontaktoplysninger i RN Den projektansvarlige er den forsker eller forskergruppe, der skal bruge de indsamlede personoplysninger til forskning,
Læs mereIT-SIKKERHED HOS MOBILIZE ME APS
IT-SIKKERHED HOS MOBILIZE ME APS En gennemgang til kommuner Mobilize Me ApS, Åbogade 15, 8200 Aarhus N Side 1 af 7 Indholdsfortegnelse INDLEDNING 3 IT-SIKKERHED HOS MOBILIZE ME APS - FAQ 3 BRUGERSTYRING
Læs mereDATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde
DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde sig til indholdet evt.
Læs mere(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )
Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter
Læs mereDATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )
DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren
Læs mereNetic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.
www.pwc.dk Netic A/S Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser Juni 2018 Indhold 1. Ledelsens udtalelse 2 2. Uafhængig revisors
Læs mereCloud Computing De juridiske aspekter
Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed
Læs merePERSONDATAPOLITIK FOR LÆRERSTUDERENDES LANDSKREDS
PERSONDATAPOLITIK FOR LÆRERSTUDERENDES LANDSKREDS 1 INDHOLDSFORTEGNELSE 1. LÆRERSTUDERENDES LANDSKREDS TAGER DATABESKYTTEL- SE ALVORLIGT 3 2. ANSVAR FOR POLITIKKEN 3 3. IT-SIKKERHED 4 4. PERSONDATA 4 5.
Læs mereOPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE
OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE Bilag 14, IT-sikkerhed og databehandleraftale v.1.0 / Option til RM og RN INSTRUKTION TIL LEVERANDØREN VED UDNYTTELSE
Læs mereDatabehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )
#BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]
Læs mereTorben Waage www.kromannreumert.com/insights. Partner
Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.
Læs mereLOGNING AF ELEKTRONISK SAGSBEHANDLING OG BORGERES ADGANG TIL INDSIGT I OPLYSNINGER
LOGNING AF ELEKTRONISK SAGSBEHANDLING OG BORGERES ADGANG TIL INDSIGT I OPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING
Læs mereAFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN
AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør
Læs mereFor så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende:
Statsrevisorernes Sekretariat Christiansborg 1240 København K Justitsministeren Dato: 9. december 2014 Sagsnr.: 2014-0284-0164 Dok.: 1378944 Kære statsrevisorer Ved brev af 2. oktober 2014 har Statsrevisorernes
Læs mereVersion: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium
Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...
Læs mereFællesregional Informationssikkerhedspolitik
Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6
Læs mereRetsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt
Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning
Læs mereDatabehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem
Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")
Læs mereEG Cloud & Hosting
www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017
Læs mereAgenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)
IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag
Læs mereIT-sikkerhedsbestemmelser for anvendelse af e-post
Bilag 8 IT-sikkerhedsbestemmelser for anvendelse af e-post Formålet med sikkerhedsbestemmelserne er at beskrive, hvordan medarbejdere i Randers Kommune, som anvender e-post via kommunens udstyr og e-postadresser,
Læs merepersondataforordningen
ASPECT4 HRM og persondataforordningen v. Maria Sewohl og Poul Rabjerg Persondataforordningen GDPR (General Data Protection Regulation) Træder i kraft den 25. maj 2018 1.-behandling i Folketinget den 16.
Læs mereFaaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009
1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor
Læs mere! Databehandleraftale
! Databehandleraftale Indledning 1.1. Denne aftale vedrørende behandling af personoplysninger ( Databehandleraftalen ) regulerer Pensopay APS CVR-nr. 36410876 (databehandleren) og Kunden (den Dataansvarlige
Læs mereDatabehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )
Databehandleraftale Virksomhed [Adresse] [Adresse] CVR-nr.: (den Dataansvarlige ) og Net & Data ApS Hollands Gaard 8 4800 Nykøbing F CVR-nr.: 27216609 ( Databehandleren ) (den Dataansvarlige og Databehandleren
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mere1. Ledelsens udtalelse
www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens
Læs mereArbejdsgange og retningslinier vedr. brug af KMD-SAG-EDH
FAABORG-MIDTFYN KOMMUNE Arbejdsgange og retningslinier vedr. brug af KMD-SAG-EDH KMD-sag-edh Side 1 af 10 MÅL MED ELEKTRONISK DOKUMENTHÅNDTERING 4 AFGRÆNSNING 4 SIKKERHED 4 DOKUMENTER 5 Dokumentdefinition
Læs mereDatabehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes
Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn
Læs mereDatabehandleraftale. Dags dato er indgået nedenstående aftale mellem
Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:
Læs mere1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?
Her finder I 12 spørgsmål, som I, der er dataansvarlige, med fordel kan forholde jer til allerede nu for at forberede jer på den nye databeskyttelsesforordning, som finder anvendelse fra den 25. maj 2018.
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereorigo Databehandleraftale
Databehandleraftale MED ORIGO SYSTEMS APS Baseret på Kombits skabelon version 1.0 af 3. april 2017 Side! 1/! DATABEHANDLERAFTALE Mellem CVR. nr.: (herefter Kunden ) og Origo Systems ApS Sjællandsgade 72
Læs mereDatabeskyttelsespolitik
Databeskyttelsespolitik Overordnet organisering af personoplysninger Den Miljøterapeutiske Organisation herunder Dagbehandlingsstilbuddet Hjembækskolen (herefter tilsammen benævnt som Den Miljøterapeutiske
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs merePERSONDATAPOLITIK (EKSTERN)
PERSONDATAPOLITIK (EKSTERN) INDSAMLING OG ANVENDELSE AF PERSONOPLYSNINGER HOS FREDERIKSHAVN HAVN Denne politik er en del af Frederikshavn Havns samlede dokumentation for, at virksomheden overholder den
Læs mereRammeaftalebilag 5 - Databehandleraftale
Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)
Læs mereKÆRE MEDARBEJDER OG LEDER
Region Hovedstaden 1 KÆRE MEDARBEJDER OG LEDER Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen.
Læs mereBilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018
Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr. 85249 18. juni 2018 MedComs styring af SDN Vi har undersøgt, om ledelsen har etableret en effektiv styring af
Læs mere