EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

Størrelse: px
Starte visningen fra side:

Download "EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser"

Transkript

1 EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016

2 Indhold 1. Ledelsens udtalelse Uafhængig revisors erklæring med sikkerhed om beskrivelse af kontroller, deres udformning og funktionalitet Sikkerhedskrav, kontrolaktivitet, test og resultat heraf Andre oplysninger

3 1. Ledelsens udtalelse Denne beskrivelse og vurdering vedrører kontroller i relation til EG Cloud & Hostings overholdelse af persondataloven i forbindelse med EG Cloud & Hostings rolle som databehandler ved håndtering af personoplysninger i erhvervet som anden aktør. Beskrivelsen knytter sig til kontrollerne, som disse var udformet i perioden 1. juli december EG Cloud & Hosting er som databehandler af personhenførbare informationer bl.a. omfattet af: Lov om behandling af personoplysninger (persondataloven) Bekendtgørelse nr. 528 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen). Herved er EG Cloud & Hosting ansvarlig for, at sikre implementeringen og funktionen af kontroller med henblik på at forebygge og opdage fejl, herunder bevidste fejl, med henblik på overholdelse af lovgivningens krav. Med baggrund i ovenstående vurderer EG Cloud & Hosting, at vi i relation til persondataloven i alle væsentlige forhold har udformet og implementeret kontroller på et betryggende niveau i perioden 1. juli december 2015 i relation til applikationer, som opbevarer data omfattet af persondataloven og sikkerhedsbekendtgørelsen. Ballerup, den 31. januar 2016 EG Cloud & Hosting Leif Vestergaard Adm. direktør, Koncernen 3

4 2. Uafhængig revisors erklæring med sikkerhed om beskrivelse af kontroller, deres udformning og funktionalitet Til ledelsen i EG Cloud & Hosting Omfang Vi har gennemgået den af ledelsen hos EG Cloud & Hosting udarbejdede beskrivelse og vurdering vedrørende kontroller i relation til EG Cloud & Hostings overholdelse af persondataloven i forbindelse med EG Cloud & Hostings rolle som databehandler jf. de mellem EG Cloud & Hostings kunder og EG Cloud & Hosting indgåede databehandlingsaftaler i relation til deres service ydelser. Vores revision har omfattet relevante sikkerhedskrav for den databehandling, der foretages hos EG Cloud & Hosting i henhold til følgende regler: Lov om behandling af personoplysninger (Persondataloven Lov nr. 429 af 31. maj 2000, som senest er ændret ved lovbekendtgørelse (LBK) nr. 503 af 12. juni 2009), Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsbekendtgørelsen), som senest er ændret ved bekendtgørelse nr. 201 af 22. marts 2001, Vejledning nr. 37 af 2. februar 2001 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Vores revision omfatter ikke særlige forhold fra kundeaftaler, men omfatter relevante sikkerhedskrav, jf. indgåede databehandleraftaler. Sikkerhedskravene er oplistet i afsnit 3. Virksomhedens ledelse har ansvaret for, at sikkerhedskrav i relation til ovenstående regler er overholdt. Vores ansvar er, på grundlag af vores arbejde, at udtrykke en konklusion om, hvorvidt vi er enige i, at de etablerede kontroller er tilstrækkelige til at opfylde de relevante krav i persondataloven. Vores erklæring dækker perioden 1. juli december 2015 og er udelukkende udarbejdet til brug for EG Cloud & Hosting og EG Cloud & Hostings kunder. EG Cloud & Hostings ansvar EG Cloud & Hostings ledelse har ansvaret for, at sikkerhedskrav i relation til behandling af persondata er overholdt. Vores ansvar er på grundlag af vores arbejde at udtrykke en konklusion om, hvorvidt vi er enige i, at de etablerede kontroller er tilstrækkelige til at opfylde de relevante sikkerhedskrav. Vores uafhængighed og kvalitetsstyring Vi har overholdt kravene til uafhængighed og andre etiske krav i FSR danske revisorers retningslinjer for revisors etiske adfærd (Etiske regler for revisorer), der bygger på de grundlæggende principper om integritet, objektivitet, faglig kompetence og fornøden omhu, fortrolighed og professionel adfærd. PricewaterhouseCoopers er underlagt international standard om kvalitetsstyring, ISQC 1, og anvender og opretholder således et omfattende kvalitetsstyringssystem, herunder dokumenterede politikker og procedurer vedrørende overholdelse af etiske krav, faglige standarder og krav ifølge lov og øvrig regulering. Vores ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om udformningen og funktionen af kontroller, der knytter sig til de sikkerhedskrav, der er anført i afsnit 3. PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, Strandvejen 44, 2900 Hellerup CVR-nr

5 Vi har udført vores arbejde i overensstemmelse med ISAE 3000 DK, Andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger. Denne standard kræver, at vi planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. En erklæringsopgave med sikkerhed, hvor der afgives erklæring om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør, omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anses for nødvendige for at give høj grad af sikkerhed for, at de sikkerhedskrav, der er anført i beskrivelsen, blev nået. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør Kontroller hos en serviceleverandør vil som følge af deres art muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Det er vores opfattelse, at ledelsens beskrivelse og vurdering af kontroller i relation til deres service ydelser, som EG Cloud & Hosting har implementeret med henblik på at opnå en passende behandlingssikkerhed i relation til persondata, er retvisende, og at kontrollerne i perioden 1. juli december 2015 har været opretholdt på et betryggende niveau i overensstemmelse med aftale herom. I afsnit 3 har vi identificeret de sikkerhedskrav, som vores revision har omfattet. Aarhus, den 10. februar 2016 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab Jesper Parsberg Madsen statsautoriseret revisor Iraj Bastar senior manager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, Strandvejen 44, 2900 Hellerup CVR-nr

6 3. Sikkerhedskrav, kontrolaktivitet, test og resultat heraf Sikkerhedskrav jf. Persondataloven 1. Behandlingssikkerhed 1.1. Virksomheder der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, må kun behandle disse efter instruks fra den dataansvarlige. (Persondataloven 41, stk. 1). formaliserede processer til sikring af, at data behandles i overensstemmelse med kontrakt/tillæg fra dataansvarlig. Instruktion fra dataansvarlig er indarbejdet i EG Cloud & Hostings formaliserede forretningsgange (Itsikkerhedshåndbog). Vi har påset, at EG Cloud & Hosting har tilrettelagt formaliserede processer til sikring af, at data behandles i overensstemmelse med kontrakt/tillæg fra dataansvarlig. Vi har påset, at It-sikkerhedshåndbogen indeholder alle relevante instruktioner fra en dataansvarlig Databehandlere skal træffe tekniske og organisatoriske sikkerhedsforanstaltninger, som sikrer mod, at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger (Persondataloven 41, stk. 3, 3, stk. 1). formaliserede processer til sikring mod, at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Disse kontroller omfatter: Retningslinjer for bortskaffelse af medier og udstyr, Retningslinjer for sikkerhedskopiering, Lagrede kopier gemmes på en anden fysisk lokalitet som sikrer fortrolige eller følsomme per- Vi har påset, at EG Cloud & Hosting har tilrettelagt formaliserede procedurer der sikrer mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven om behandling af personoplysninger. Vi har stikprøvevist efterprøvet, at kontrollerne vedrørende lagring, ulovlig destruktion samt uautoriseret adgang er effektive. PwC 6

7 sonoplysninger mod uvedkommendes kendskab, misbrug eller øvrig behandling i strid med loven, Datamedier, der har indeholdt fortrolige eller følsomme personoplysninger, afleveres til destruktion Sikkerhedskopi af lokale data (midlertidige arbejdskopier), hvor dette omfatter fortrolige eller følsomme personoplysninger, opbevares på en forsvarlig måde, og sådanne backup medier destrueres Databehandlere skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. formaliserede processer til sikring af sikkerhedskopiering og restore af produktionsmiljøer som EG Cloud & Hosting har driftsansvaret for. EG Cloud & Hosting anvender ikke deciderede testsystemer og har ikke adgang til testdata. Vi har påset, at EG Cloud & Hosting har tilrettelagt formaliserede processer for, gennemgang af backup samt restore. Vi har stikprøvevist efterprøvet, at kontrollerne vedrørende lagring, restore samt uautoriseret adgang fungerer som beskrevet. (Sikkerhedsbekendtgørelsen 3 stk. 1) 1.4. For personoplysninger som er af særlig interesse for fremmede magter skal de dataansvarlige træffe foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. formaliserede processer til sikring af bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Vi har påset, at EG Cloud & Hosting har tilrettelagt formaliserede processer til sikring af bortskaffelse eller tilintetgørelse i tilfældet af krig. (Persondataloven 41, stk. 4, og sik- PwC 7

8 kerhedsbekendtgørelsen 3, stk. 2) Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige. (Persondataloven 42, stk. 2). formaliserede processer for aftaleindgåelser, til sikring af, at enhver databehandling, modtagelse og videregivelse af data sker i henhold til instruks fra en dataansvarlig i henhold til indgåede databehandlingsaftaler. Vi har påset, at EG Cloud & Hosting har tilrettelagt formaliserede processer for aftaleindgåelser, som sikrer, at EG Cloud & Hosting alene handler efter instruks fra dataansvarlig. Vi har stikprøvevist efterprøvet at der foreligger databehandleraftaler for EG Cloud & Hostings kunder Den dataansvarlige skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne (Sikkerhedsbekendtgørelsen 5). formaliserede processer, som sikrer, at de organisatoriske forhold understøtter sikkerhedsforanstaltningerne i Persondataloven. Alle medarbejdere underskriver hvert år en sikkerhedserklæring, hvori der gøres opmærksom på såvel politik som sikkerhedshåndbog med de gældende retningslinjer. tilrettelagt de organisatoriske forhold så sikkerhedsforanstaltningerne i Persondataloven understøttes. Vi har stikprøvevis testet, at medarbejderne hvert år underskriver en sikkerhedserklæring, hvori der gøres opmærksom på såvel politik som sikkerhedshåndbog med de gældende retningslinjer. Ved indgåelse af aftaler med eksterne parter sikres den fornødne information om it-sikkerhedsmæssige krav, indgåelser af tavshedserklæringer o. lign. Vi har desuden påset, at der er indhentet en revisionserklæring fra en underleverandør som sikrer, at tilsvarende krav overholdes på områder, hvor der er foretaget outsourcing. Vi har herudover drøftet underleverandørens setup i forhold til adgang til EG Cloud & Hostings data. PwC 8

9 1.7. Databehandlere skal fastlægge retningslinjer til sikring af fysisk sikkerhed kontroller til sikring af fysisk sikkerhed. tilrettelagt kontroller til sikring af den fysiske sikkerhed. (Sikkerhedsbekendtgørelsen 5, 8 og 10). Disse kontroller omfatter en række adgangskontroller i bygninger, hvor der behandles personoplysninger (adgangskort og adgangskode). Ved indgåelse af aftaler med eksterne parter sikres det, at den eksterne part modtager den fornødne information om de it-sikkerhedsmæssige krav. Vi har stikprøvevis testet, at de fysiske adgangskontroller fungerer som beskrevet. Vi har desuden påset, at der er indhentet en revisionserklæring fra en underleverandør som sikrer, at tilsvarende krav overholdes på områder, hvor der er foretaget outsourcing. Vi har herudover drøftet underleverandørens setup i forhold til adgang til EG Cloud & Hostings data Databehandlere skal fastlægge retningslinjer for sikkerhedsorganisationen. arbejdsgange for sikkerhedsorganisationen. tilrettelagt arbejdsgange for sikkerhedsorganisationen. (Sikkerhedsbekendtgørelsen 5) Databehandlere skal fastlægge interne retningslinjer for administration af og kontrol med autorisationer. processer for administration af, og kontrol med, autorisationer. tilrettelagt processer for administration af, og kontrol med, autorisationer. (Sikkerhedsbekendtgørelsen 5). Alle autorisationer godkendes af medarbejdernes nærmeste chef og autorisationen af medarbejderen fremsendes til EG Cloud & Hostings kunder. Vi har stikprøvevist testet, at der foreligger godkendelse fra nærmeste chef og fra EG Cloud & Hostings kunder med adgang til løsningen Databehandlere skal fastlægge interne retningslinjer for logisk sikker- foranstaltninger for logisk sikkerhed, tilrettelagt foranstaltninger for logisk PwC 9

10 hed, herunder logning og kontrol af afviste adgangsforsøg. herunder logning og kontrol af afviste adgangsforsøg. sikkerhed, herunder logning og kontrol af afviste adgangsforsøg. (Sikkerhedsbekendtgørelsen 5, 12 og 18). Disse kontroller omfatter: Kvalitetskrav til password Kontrol af afviste adgangsforsøg Log og opfølgning over afviste adgangsforsøg. Vi har stikprøvevis testet opsætningen af Windows domæne kontroller og påset, at Kvalitetskravene til password lever op til kravene i Datatilsynets anbefalinger til god skik Der foretages lockout af brugere efter 3 afviste adgangsforsøg ved forkert password. Vi har desuden påset, at der foretages opfølgning på eventuelle afviste adgangsforsøg Databehandleren skal sikre, at kun autoriserede brugere har adgang til personfølsomme data, og at de tildelte brugeradgange er i overensstemmelse med arbejdsmæssigt betingede behov. (Sikkerhedsbekendtgørelsen 11 og 16, autorisation og adgangskontrol). formaliserede processer som sikrer, at tildelte brugeradgange er i overensstemmelse med arbejdsmæssigt betingede behov. Alle autorisationer godkendes af medarbejdernes nærmeste chef og indeholder begrundelse for det ønskede adgang til Løsningen. Vi har påset, at EG Cloud & Hosting har tilrettelagt formaliserede processer for brugeradministration og rettighedsstyring. Vi har stikprøvevist testet, at der for tildelte autorisationer foreligger begrundelse for den ønskede adgang og godkendelse fra nærmeste chef Tildelte brugeradgange revurderes mindst en gang hvert halve år for at sikre, at de autoriserede personer fortsat opfylder betingelserne. formaliserede processer som sikrer, at egne autorisationer revurderes mindst én gang hvert halve år. Vi har påset, at der er tilrettelagt formaliserede processer for brugeradministration og rettighedsstyring. Vi har stikprøvevis testet, at bruger- Vi har observeret, at der ikke kan påvises, at regelmæssig gennemgang af adgangsrettigheder, jf. EG Cloud & Hostings sikkerhedshåndbog afsnit PwC 10

11 (Sikkerhedsbekendtgørelsen 17). For så vidt angår autorisationer til testmiljøet udstedes disse for en begrænset periode på seks måneder, og der kræves nye autorisationer ved forlængelse. adgange revurderes mindst én gang hvert halve år. 3.2, er gennemført. Vi har fået oplyst, at EG Cloud & Hosting foretager løbende gennemgang af rettigheder, men dette er ikke dokumenteret. Derudover har vi fået oplyst, at en ny procedure er indført ultimo 2015 der sikrer, at den beskrevne kontrol udføres på samtlige miljøer i det kommende år. Vi har igennem vores stikprøver ikke observeret nogle uregelmæssigheder i forhold til adgangsrettigheder Databehandlere skal fastlægge interne retningslinjer for om behandling og destruktion af ind- og uddatamateriale. formaliserede processer for behandling og destruktion af ind- og uddatamateriale. Vi har påset, at EG Cloud & Hosting har tilrettelagt formaliserede processer for behandling og destruktion af indog uddatamateriale. (Sikkerhedsbekendtgørelsen 5). Disse kontroller omfatter: Valideringskontroller for inddatamateriale Retningslinjer for sikker destruktion af uddatamateriale. Vi har stikprøvevis testet, at kontrollerne vedrørende valideringskontroller for inddatamateriale samt retningslinjer for sikker destruktion af uddatamateriale udføres Databehandlere skal fastlægge interne retningslinjer for anvendelsen EG Cloud & Hosting har udarbejdet retningslinjer, som beskriver anven- Vi har påset, at EG Cloud & Hostings retningslinjer for anvendelse af it- PwC 11

12 af edb-udstyr. (Sikkerhedsbekendtgørelsen 5). delsen af it-udstyr. udstyr indeholder alle relevante kontroller, og vi har påset at de indeholder alle, for Sikkerhedsbekendtgørelsen 5, relevante retningslinjer. Vi har desuden påset, at disse retningslinjer omtales i den årlige sikkerhedserklæring som underskrives af medarbejderne Databehandlere skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. EG Cloud & Hosting har fastsat regler for uddannelse, træning og oplysninger om informationssikkerhed. Vi har gennemgået EG Cloud & Hostings regler for kurser om informationssikkerhed. (Sikkerhedsbekendtgørelsen 6). Den enkelte medarbejder underskriver en sikkerhedserklæring hvert år. Vi har påset, at undervisningsmaterialet er tilstrækkeligt til, at afdække sikkerhedskravene. Vi har testet, at der foreligger underskrevne sikkerhedserklæringer fra alle medarbejdere Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren. Der foreligger en skriftlig aftale med den dataansvarlige, hvori det fremgår, at behandling af personoplysninger skal foregå i overensstemmelse med reglerne i Sikkerhedsbekendtgørelsen. Vi har påset, at der foreligger en skriftlig aftale mellem EG Cloud & Hostings kunder og EG Cloud & Hosting, som henviser til reglerne i Sikkerhedsbekendtgørelsen. (Sikkerhedsbekendtgørelsen 7, stk. 1) Databehandlere skal fastlægge interne retningslinjer for sikkerhedsreglerne i forbindelse med anvendelse EG Cloud & Hosting har udarbejdet retningslinjer for overholdelse af sikkerhedsreglerne i forbindelse med Vi har påset, at der foreligger retningslinjer for overholdelse af sikkerhedsreglerne i forbindelse med anvendelse PwC 12

13 af hjemmearbejdspladser. anvendelse af hjemmearbejdspladser. af hjemmearbejdspladser (Sikkerhedsbekendtgørelsen 7, stk. 2). Disse kontroller omfatter: Krav til opkobling via en sikker VPN-forbindelse Forbud mod at etablere andre kommunikationsforbindelser på PC en Retningslinjer for behandling af data, herunder forbud mod at gemme data lokalt Den enkelte medarbejder bekræfter i den årlige sikkerhedserklæring, at ovenstående retningslinjer overholdes. Vi har stikprøvevis testet EG Cloud & Hostings adgangskontroller via VPN og vurderet, at disse overholder de sikkerhedsmæssige krav i Persondataloven. Vi har desuden påset, at de årlige sikkerhedserklæringer som underskrives af medarbejderne indeholder omtale af retningslinjerne for brug af hjemmearbejdspladser, herunder forbud mod at downloade personfølsomme oplysninger på Pc er som anvendes ved hjemmearbejdspladser Databehandlere skal fastlægge interne retningslinjer for bortskaffelse, salg, kassation, reparation og service af it- udstyr med persondata (Sikkerhedsbekendtgørelsen 9). EG Cloud & Hosting har udarbejdet retningslinjer for bortskaffelse, salg, kassation, reparation og service af itudstyr indeholdende persondata. udarbejdet retningslinjer for bortskaffelse, salg, kassation, reparation og service af it-udstyr indeholdende persondata. Vi har stikprøvevis testet at udstyr med persondata bortskaffes i henhold til retningslinjerne Databehandlere skal fastlægge interne retningslinjer for behandling af inddata. EG Cloud & Hosting har udarbejdet retningslinjer for behandling af inddata. Vi har påset, at EG Cloud & Hosting har udarbejdet retningslinjer for behandling af inddata. (Sikkerhedsbekendtgørelsen 10). Den enkelte medarbejder underskriver en sikkerhedserklæring hvert år, hvor der kvitteres for, at retningslinjerne for Vi har stikprøvevis testet, at de årlige sikkerhedserklæringer, indeholder omtale af retningslinjerne for inddata, og underskrives hvert år af medarbej- PwC 13

14 behandling af inddata overholdes. derne Databehandlere skal fastlægge interne retningslinjer for behandling af uddatamaterialer. EG Cloud & Hosting har udarbejdet retningslinjer for behandling af uddatamaterialer. udarbejdet retningslinjer for behandling af uddatamaterialer. (Sikkerhedsbekendtgørelsen 13). Den enkelte medarbejder underskriver en sikkerhedserklæring hvert år, hvor der kvitteres for, at retningslinjerne for behandling af uddata overholdes. Vi har stikprøvevis testet, at de årlige sikkerhedserklæringer, indeholder omtale af retningslinjerne for uddata, og underskrives hvert år af medarbejderne Databehandlerens skal udarbejde retningslinjer for sikring af eksterne kommunikationslinjer og træffe foranstaltninger, der sikrer, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger (Sikkerhedsbekendtgørelsen 14). EG Cloud & Hosting har udarbejdet retningslinjer for sikring af eksterne kommunikationslinjer, og EG Cloud & Hosting har tilrettelagt formaliserede processer som sikrer, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Disse kontroller omfatter: Retningslinjer for netværksadgang, Stærk kryptering af kommunikationslinjer udarbejdet retningslinjer for sikring af eksterne kommunikationslinjer. Vi har foretaget gennemgang af netværksopsætningen og testet, at kommunikationslinjerne er stærkt krypteret Databehandleren skal sikre, at der foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger en række formaliserede processer til logning og håndtering af log-oplysninger. Loggen opbevares i henhold til aftale med EG Cloud & Hostings kunder i fem år, hvorefter den destrueres. tilrettelagt formaliserede processer for logning og håndtering af log-oplysninger. Vi har ydermere foretaget inspektion af EG Cloud & Hostings egenkontrol af PwC 14

15 vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. (Sikkerhedsbekendtgørelsen 19) De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold hos databehandleren. EG Cloud & Hostings procedurer omfatter: Alle medarbejderes adgang til systemerne logges med de nødvendige oplysninger om, hvilken bruger der har tilgået systemet, samt hvilke personer der er tilgået. Stikprøvekontrol af brugernes systemanvendelse. formaliserede processer som sikrer, at alle retningslinjer gennemgås mindst én gang årligt, og at ændringer til retningslinjerne dokumenteres i en log. brugernes adgange til,- og anvendelse af systemerne. Vi har påset at der foreligger dokumentation for EG Cloud & Hostings itsikkerhedspolitik, og vi har testet, at håndbogen revurderes og opdateres mindst én gang årligt. (Sikkerhedsbekendtgørelsen 5, stk. 2). PwC 15

16 4. Andre oplysninger Det er kundernes ansvar at skabe sammenhæng mellem kravene i Persondataloven og kundernes egne processer, herunder: At administrere egne medarbejderes adgang til de forskellige funktioner (roller), At tilrettelægge de kontroller omkring annullering af uddelte certifikater til fratrådte medarbejdere, At tilrettelægge de kontroller omkring håndtering af produktionsmiljøet hos driftsleverandøren der er nødvendige i forhold til overholdelse af persondataloven og sikkerhedsbekendtgørelsens krav. PwC 16

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland Lovafdelingen Dato: Kontor: Databeskyttelseskontoret Sagsbeh: André Dybdal Pape/ Marcus Nymand Sagsnr.: 2016-766-0019 Dok.: 2104838 Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Bilag 9 Databehandleraftale

Bilag 9 Databehandleraftale Bilag 9 Databehandleraftale Aftale om databehandling mellem Trafik-, Bygge- og Boligstyrelsen Edvard Thomsens Vej 14 2300 København S (i det følgende betegnet som den Dataansvarlige) og XXX XX XX (i det

Læs mere

Kontraktbilag 7: Databehandleraftale

Kontraktbilag 7: Databehandleraftale Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

Sikkerhedsregler for Kalundborg Kommune

Sikkerhedsregler for Kalundborg Kommune Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Pr. 31. december 2014

Pr. 31. december 2014 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Emini A/S Uafhængig revisors

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS 1. Vedrørende Databehandlerens ansvar 1.1. Databehandleren må alene behandle personoplysninger omfattet af Databehandleraftalen efter instruks fra den Dataansvarlige

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Dragør Kommune Borgmestersekretariat, IT og Personale Marts Bilag 5 Databehandleraftale 1. Overholdelse af gældende regler og forskrifter Databehandleren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten,

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

Driftskontrakt. Databehandleraftale. Bilag 14

Driftskontrakt. Databehandleraftale. Bilag 14 Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]

Læs mere

1. Indledende bestemmelser Formål. Område

1. Indledende bestemmelser Formål. Område 1. Indledende bestemmelser Formål 1.1 Formålet med bestemmelserne er, at den enkelte persons retsbeskyttelse og integritet ikke krænkes ved behandling af personoplysninger i Region Hovedstaden og på Steno

Læs mere

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. om [Indsæt navn på aftale] Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune

Læs mere

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

PERSONDATALOVEN OG SUNDHEDSLOVEN

PERSONDATALOVEN OG SUNDHEDSLOVEN KIROPRAKTIK 2014 PERSONDATALOVEN OG SUNDHEDSLOVEN Kort om Persondataloven og Sundhedsloven Sundhedsloven 'Hovedloven' på området Relevant i ft. oplysninger er særligt:» Tavshedspligt, indhentelse og videregivelse

Læs mere

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 Side 1/19 Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med gul er aftaletekst,

Læs mere

Bekendtgørelse om tilsynet med de anerkendte arbejdsløshedskassers administration

Bekendtgørelse om tilsynet med de anerkendte arbejdsløshedskassers administration BEK nr 370 af 28/04/2011 (Gældende) Udskriftsdato: 23. januar 2017 Ministerium: Beskæftigelsesministeriet Journalnummer: Beskæftigelsesmin., Pensionsstyrelsen, j.nr. 10-22-0024 Senere ændringer til forskriften

Læs mere

Kontraktbilag 3. Databehandleraftale

Kontraktbilag 3. Databehandleraftale Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) Databehandleraftale mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) og Hedensted Kommune Horsens Kommune Odder Kommune Niels Espes Vej 8 Rådhustorvet 4 Rådhusgade

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma 647-192717 JNA/jna 26.09.2016 DATABEHANDLERAFTALE mellem herningcentret (Dataansvarlig) og Emplate ApS (Databehandler) Advokatfirma Indholdsfortegnelse 1. Parterne... 3 2. De juridiske rammer... 3 3. Pligt

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part ) Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup

DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup 24. september 2010 Vedrørende sikkerhedsforanstaltningerne omkring udstedelse af NemID Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Dokumentation af sikkerhed i forbindelse med databehandling

Dokumentation af sikkerhed i forbindelse med databehandling - Dokumentation af sikkerhed i forbindelse med databehandling Al databehandling, der er underlagt persondataloven, skal overholde de tekniske krav, der er opstillet i Datatilsynets bekendtgørelse 528 (sikkerhedsbekendtgørelsen).

Læs mere

Oversigt (indholdsfortegnelse)

Oversigt (indholdsfortegnelse) Oversigt (indholdsfortegnelse) Kapitel 1 - Almindelige bestemmelser Kapitel 2 - Generelle sikkerhedsbestemmelser Kapitel 3 - Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

Hvordan styrer vi leverandørerne?

Hvordan styrer vi leverandørerne? Hvordan styrer vi leverandørerne? DI Digital 26. September 2016 DKCERT www.cert.dk Henrik Larsen Email: henrik.larsen@cert.dk Agenda Hvem er jeg? DKCERT Hvem er vi og hvad gør vi? Hvordan styrer universitetssektoren

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Anmeldelse af offentlige videnskabelige forskningsprojekter

Anmeldelse af offentlige videnskabelige forskningsprojekter Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 7841 0000 kontakt@rm.dk www.rm.dk Anmeldelse af offentlige videnskabelige forskningsprojekter VEJLEDNING om anmeldelse

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Deltagelse i indkøbsdatasamarbejdet:

Deltagelse i indkøbsdatasamarbejdet: Bilag 1 til Tilmeldingsskemaet til Deltagelse i indkøbsdatasamarbejdet: Databehandleraftale Dags dato er indgået nedenstående aftale mellem (Kommunenavn) (CVR nr.) (Adresse) (Postnummer og by) (Herefter

Læs mere

Disse forretningsbetingelser gælder for alle CERTA s opdrag, medmindre andet er aftalt med klienten.

Disse forretningsbetingelser gælder for alle CERTA s opdrag, medmindre andet er aftalt med klienten. CERTA S FORRETNINGSBETINGELSER Disse forretningsbetingelser gælder for alle CERTA s opdrag, medmindre andet er aftalt med klienten. Opdraget CERTA s opdrag omfatter bistand i forbindelse med sikkerhedsmæssige

Læs mere

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet Om Datatilsynet Datatilsynet er den statslige myndighed, der fører tilsyn med lov om behandling af personoplysninger

Læs mere

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] !"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

Bekendtgørelse om krav til a-kassernes kontrol og administration.

Bekendtgørelse om krav til a-kassernes kontrol og administration. Den fulde tekst UDKAST 11. maj 2016 Bekendtgørelse om krav til a-kassernes kontrol og administration. I medfør af 88, stk. 4-6, 90 a, stk. 3, 91, stk. 3, 4 og 10 og 100 a, stk. 3, i lov om arbejdsløshedsforsikring

Læs mere

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer Borgerrådgiveren Socialforvaltningen Brev er d.d. fremsendt pr. e-mail. 16-11-2012 Sagsnr. 2012-98616 Dokumentnr. 2012-900691 Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling

Læs mere

o o o En dataansvarlig kan vælge at overlade det til en anden at udføre selve den praktiske behandling af personoplysninger på den dataansvarliges vegne. Den, der herefter udfører databehandlingen,

Læs mere

Bilag 11 - Databehandleraftale

Bilag 11 - Databehandleraftale Bilag 11 - Databehandleraftale [Vejledning til tilbudsgiver: Bilaget skal ikke udfyldes af tilbudsgiver. Bilaget er i sin helhed at betragte som et mindstekrav (MK), jf. udbudsbetingelsernes punkt 3.2.3.2

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen ) 25. november 2016 Versionshistorik Versionsnr. Dato Beskrivelse 0.8 25.11.2016 Høringsudkast til kombit.dk DATABEHANDLERAFTALE Mellem [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen

Læs mere

Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning

Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning N O T A T Retningslinjer 26-10-2010 Sag nr. 09/2825 Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning i regionerne. Datatilsynet skelner ved anmeldelse af forskningsprojekter

Læs mere

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker Vandforsyningens håndtering af den kommende persondataforordning Danske Vandværker Praktiske spørgsmål vi modtog Hvem har ansvaret for beskyttelse af forbrugernes persondata? Er medlemslister i ringbindsmapper

Læs mere

Jura og brug af testdata med personoplysninger

Jura og brug af testdata med personoplysninger 12. september 2016 Jura og brug af testdata med personoplysninger KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 1/10 Indholdsfortegnelse 1.

Læs mere

Vedrørende tilsyn med behandling af personoplysninger

Vedrørende tilsyn med behandling af personoplysninger Att.: Kommunaldirektøren Sendt med Digital Post Dato Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail dt@datatilsynet.dk www.datatilsynet.dk J.nr.

Læs mere

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål

Læs mere

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Side 1 af 8 Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Kapitel 1 Lovens område 1. Stk. 7. Loven gælder for enhver form for behandling af personoplysninger i forbindelse

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

TVovervågning. Struer Kommune Retningslinjer for anvendelse og indkøb af. TV-overvågning

TVovervågning. Struer Kommune Retningslinjer for anvendelse og indkøb af. TV-overvågning TVovervågning Struer Kommune Retningslinjer for anvendelse og indkøb af TV-overvågning Formål TV-overvågning i Struer Kommune benyttes for at bekæmpe, forebygge og opklare kriminelle handlinger som hærværk,

Læs mere

It-sikkerhedstekst ST11

It-sikkerhedstekst ST11 It-sikkerhedstekst ST11 Fælles login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST11 Version 1 September 2016 Fælles login Udtrykket "Login" anvendes om den proces, der giver

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik Informationssikkerhedspolitik Er informationssikkerhed aktuel? Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet Hvorfor

Læs mere

Bilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler

Bilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler Acadrenr. 15/27563 Bilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler og persondataloven for Helsingør Kommune Indledning / Introduktion It-sikkerhedsaftale med ekstern part som følger af

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder

Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder Den 12. november 2014 J.nr. 2014103514 Ref.: kj Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder Sundhedsstyrelsens opfølgning på Rigsrevisionens beretning af 5.

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Datatilsynet har besluttet at undersøge sagen af egen drift.

Datatilsynet har besluttet at undersøge sagen af egen drift. KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet

Læs mere

EU-udbud af WAN infrastruktur. Bilag 11 - Databehandleraftale

EU-udbud af WAN infrastruktur. Bilag 11 - Databehandleraftale EU-udbud af WAN infrastruktur Bilag 11 - Databehandleraftale INDHOLD 1. DATABEHANDLERENS ANSVAR... 4 2. DATABEHANDLERENS OPGAVE... 4 3. SIKKERHEDSFORANSTALTNINGER... 4 4. DATABEHANDLERS BRUG AF UNDERDATABEHANDLER...

Læs mere

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 1 Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 2 Introduktion til de 2 beretninger

Læs mere

Kontrakt om IT-infrastruktur-services 2017

Kontrakt om IT-infrastruktur-services 2017 Kontrakt om IT-infrastruktur-services 2017 Sikkerhed og persondata 16. marts 2017 Sikkerhed Hvad siger kontrakten om sikkerhed Leverandøren skal iagttage de sikkerhedsforanstaltninger, der følger af Bilag

Læs mere