LEVERANDØR TIL STAT, KOMMUNER, INTERNATIONALE ORGANISATIONER, SMÅ OG STORE VIRKSOMHEDER NATIONALT OG INTERNATIONALT
|
|
- Lise Østergaard
- 7 år siden
- Visninger:
Transkript
1 C-CURE ETABLERET I 1993 DANSKE OG INTERNATIONALE SAMARBEJDSPARTNERE OG IT SIKKERHEDSPECIALISTER LEVERANDØR TIL STAT, KOMMUNER, INTERNATIONALE ORGANISATIONER, SMÅ OG STORE VIRKSOMHEDER NATIONALT OG INTERNATIONALT MEDLEM AF DANSK INDUSTRI (DI), DI S DIGITALE MENTORKORPS OG SIKKERHEDSUDVALGET DER RÅDGIVER VED HØRINGER TIL EU KOMMISIONEN OG DEN DANSKE REGERING I ADVISORY BOARDET HOS POLITIETS NC3 SKYT, DER FACILITERER ET STYRKET SAMARBEJDE MELLEM POLITIET OG ERHVERVSLIVET
2 KONSULENTYDELSER Projektledelse efter Scrum eller Prince2 principper Vikariater Incident Respons Risk Management Risk Assessment Security Assesment Support Konsulentbistand i netværk Udarbejdelse af IT Politikker Security Baseline Fysisk sikkerhedsafprøvning ISO eftersyn og certificering
3 LØSNINGSOMRÅDER Vulnerability management Penetrationstest Sårbarhedstest Load Balancing Fibertapping beskyttelse DDoS Prevention Log management Netværksovervågning Sikker DNS Privileged Access Control Antivirus Patching Kryptering MDM Back-up Mailfiltering Autentificering Firewall Intrusion Prevention System Webfiltering
4 TJENESTER Firewall overvågning Antivirus overvågning t Portscanninger Penetrations tests Patch management Webapplication security tests Netværksovervågning Sårbarheds skanninger
5 AWARENESS UNDERVISNING AWARENESS TEST AF MEDARBEJDERE OG ORGANISATIONER. UDARBEJDELSE AF IT SIKKERHEDSPOLITIKKER M.M. Kæden er ikke stærkere end det svageste led
6 Udvalgte Producenter
7 IT IS NOT ONLY FOR WHAT WE DO THAT WE ARE HELD RESPONSIBLE, BUT ALSO FOR WHAT WE DO NOT DO / Moliere
8 Hvem er klogest? Juristerne: En opgave for jurister Der står meget lidt i reglerne om, hvordan man skal beskytte data. Der skal fokus på compliance med loven. Sikkerhedsfolk kender ikke den komplicerede retspraksis. Sikkerhedsfolk kan ikke foretage en vurdering af hvilke problematikker, som er relevante. Sikkerhedsfolk: Grundlæggende handler det om at beskytte personoplysningers fortrolighed og til dels deres integritet. Der er fokus på risikovurderinger, privatlivsimplikationsanalyser, dataklassifikation, sikringstiltag, design af IT-arkitektur Det er en sikkerhedsbrist i sig selv at overlade netop det til en jurist. VÆLG RÅDGIVNING FRA BEGGE PARTER OG LAD IKKE RÅDGIVERE REVIDERE DERES EGNE TILTAG!
9 Personhenførbare data Definitionen på personhenførbare data er: Informationer med løbenummer eller lignende, f.eks. udlånsnummer, medlemsnummer eller journalnummer. Hvis navn og adresse er erstattet af en kode (Pseudonymisering),som kan føres tilbage til en person, er der stadigvæk tale om en personoplysning. Krypterede data hører derfor også ind under begrebet personoplysninger. Følsomme personoplysninger : Race eller etnisk oprindelse Politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold Helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Behandling af genetiske- og biometriske data, med det formål entydigt identificere en fysisk person. KUN OPLYSNINGER OM REGISTREREDE DER ER ANONYMISERET/IKKE IDENTIFICERBARE FALDER UDEN FOR PERSONDATALOVEN.
10 Hvorfor privacy Individsynspunkt Individets kontrol med egne personoplysninger, selvbestemmelse. Risiko for anvendelse imod individets interesser Stigmatisering ud fra historisk og geografisk info eller holdninger Ytringsfrihed, demokrati Virksomhedssynspunkt God kundepleje, så kunden forbliver kunde og taler positivt om virksomheden herunder skabe tryghed når kunder med forskellige præferencer f.eks. videregiver personoplysninger Det gode ry, Corporate Social responsibility Overholdelse af loven Minimering af omkostninger
11 Trusler eks. Fra DK SE&HØR-sagen Tys-tys-kilden, der var It-specialist hos IBM tilgik og anvendte personoplysninger fra Nets Modtog betaling fra SE&HØR (10k/md, i alt 310k) Konsulenten havde også adgang til Nem ID Dansk Forsvars Management- og Ressourcestyringssystem, der samler og behandler oplysninger om økonomi, personel, materiel, projektledelse, ledelsesinformation, kurser, indkøb, arbejdstid, tjenesterejser m.m. Og flere andre steder Ofre: kongehuset, politikere, sportsfolk og kunstnere 12 sigtede, deraf 8 tiltaler bl.a. hos SE&HØR m.v. INSIDERPROBLEMATIK OG MANGLENDE FUNKTIONSADSKILLELSE
12 Trusler eks. Fra DK CSC-sagen Hack mod CSC gav adgang til data til og fra CPR-registret, kørekortregistret og Schengens informationssystem med oplysninger om efterlyste europæere. Der blev udnyttet en Zero-day sårbarhed, samt lokale administratorrettigheder En åben webserver med inddatering af pensioner kørte på samme server Man efterlevede ikke rettidigt IT revisionens henstillinger om patching. Konsekvenser: Hackeren Per Gottfrid Svartholm Warg blev dømt og en lang række borgeres kompromitteret,- uvist hvad de endelige konsekvenser er. MANGLENDE PATCHING, SEGMENTERING, LOGNING + LOKALE ADMINISTRATORRETTIGHEDER
13 Trusler eks. Fra DK Statens serum Institut-sagen SSI sendte med anbefalet brev (elektronisk) CPR-nummer og sundhedsoplysninger om borgere til Danmarks Statistik. Brevet blev fejlleveret og åbnet af Chinese Visa Application Centre Oplysningerne omfattede CPR-nummer og diagnoser vedrørende diabetespatienter, cancerpatienter og psykisk syge Datatilsynet havde allerede i 2013 henstillet til at SSI ændrede procedure Konsekvenser: Hvem ved hvad kineserne vil bruge det til,- SSI procedure er nu ændret, men det er ikke første gang SSI laver fejl. MANGLENDE FILDELING, KRYPTERING OG GENEREL SECURITY AWARENESS
14 Trusler DK Fejl i Rejsekortet for registrerede brugere Fejlen har gjort det muligt for brugere, der er logget ind via selvbetjeningsløsningen, at tilgå fakturaer, kreditnotaer og rykkere for andre brugere. Det har kunnet lade sig gøre ved at ændre i den url, som optræder i browserens adressefelt. PROGRAMMERINGSFEJL, PRIVACY BY DESIGN FEJL OG MANGL. BRUGERSEGMENTERING
15 Behandling af følsomme personoplysninger BEHANDLING ER SOM UDGANGSPUNKT FORBUDT Undtagelser: Eksplicit samtykke, med mindre national lovgivning fastslår at borgeren ikke har ret til at give et sådant samtykke Overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder med hjemmel i EU-ret, national ret eller kollektive overenskomster Vitale interesser Stiftelser, foreninger m.v. som led i legitime aktiviteter Offentliggjort af den registrerede selv Retskrav Væsentlige samfundsinteresser på grundlag af lov På sundhedsområdet (til dels med tavshedspligt) Videnskabelig eller historisk forskning og statistik
16 Integritet og fortrolighed Databehandlingen må kun ske, hvis der er foretaget fornødne sikkerhedsforanstaltninger og Databeskyttelsen skal bl.a. sikre mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse. Det fremgår af forordningen (artikel 32) at tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, bl.a. kan være: pseudonymisering og kryptering af personoplysninger
17 Samtykke Bekræftende handling, der er viser en fri, specifik, informeret og utvetydig accept af at data behandles til et eller flere specifikke formål For følsomme personoplysninger skal samtykket være eksplicit (dog ikke for fagforeninger). Det er den dataansvarlige, som har ansvaret for at påvise at der er afgivet samtykke Hvis samtykket er skriftligt skal det gives i en let tilgængelig form og være let at forstå
18 Samtykke Anvender I pseudonymisering og/eller kryptering? Har I elektroniske processer for indhentning af samtykke, som kan bruges til dokumentation?
19 Datasubjektets rettigheder Mest bemærkelsesværdigt ER Retten til at få indsigt, muligheden for at trække samtykke tilbage, berigtige eller slette personoplysninger, begrænse behandling, gøre indsigelse mod behandling og retten til dataportabilitet. De registrerede har desuden ret til at få bekræftet behandling af personoplysninger f.eks.: Formål Kategorier af personoplysninger Modtagere Tidsrum for behandling Ret til berigtigelse, sletning, begrænsning og indsigelse Klage til tilsynsmyndighed Evt. kilde til personoplysninger Profilering Evt. overførsel til tredjeland Der skal udleveres kopi af personoplysninger (dog mod rimeligt gebyr)
20 Datasubjektets rettigheder De registrerede har ret til at få begrænset eller slettet data - retten til at blive glemt, (hvis det ikke er uforholdsmæssigt vanskeligt) når: Rigtigheden af personoplysningerne bestrides Behandlingen er ulovlig Data ikke længere er nødvendige for formålet Samtykke trækkes tilbage Der gøres Indsigelse og ikke findes legitime grunde til behandling Lovgivning tilsiger sletning Når det drejer sig om Informationssamfundstjenester rettet mod børn, kan der bedes om sletning.
21 Opbevaringsbegrænsning Data må kun lagres i en form, hvor den registrerede ikke kan identificeres i længere tid end nødvendigt Der er undtagelser for arkivering samt videnskabelige, historiske og statistiske formål Ukorrekte data skal slettes eller berigtiges
22 Opbevaringsbegrænsning Har I styr på back-up processer og datalagring,- kan data, i alle systemled slettes, rettes eller verificeres?
23 Dataansvarlig pligter Overordnet ansvarsplacering: PbDx2 Den dataansvarlige er OGSÅ ansvarlig for data placeret hos databehandlere. Den dataansvarlige skal designe og dokumentere passende tekniske og organisatoriske sikkerhedsforanstaltninger som understøtter principperne for behandling under hensyn til: Teknologiens udviklingsstadie Omkostningerne Behandlingens karakter, omfang, sammenhæng og formål Risici, sandsynlighed og alvor (konsekvens) for de registrerede Pseudonymisering og dataminimering Kun nødvendige personoplysninger behandles, som udgangspunkt (slået til som standard) Producenter opfordres til at indbygge disse tiltag, således at den dataansvarlige og databehandleren gøres i stand til at blive compliant.
24 Databehandlers pligter Databehandlere skal kun benyttes, når de kan garantere og dokumentere at der er implementeret de rette tekniske og organisatoriske foranstaltninger (f.eks. Separation of duties). Databehandlere må kun bruge underdatabehandlere efter samtykke fra den dataansvarlige. Igen skal dette dokumenteres Databehandler har pligt til at underrette dataansvarlig, hvis en instruktion vurderes at være ulovlig. Der kan anvendes Standard Contractual Clauses (SCC) ved overførsel til udlandet Der skal være en kontrakt/databehandleraftale baseret på EU eller national lov, som specificerer: Der må kun behandles personoplysninger efter instruktion fra den dataansvarlige Kun autoriseret personale Iværksættelse af nødvendige sikkerhedsforanstaltninger Opfylder betingelserne for anvendelse af underdatabehandlere Hjælpe den dataansvarlige med at opfylde sine pligter i forhold til de registreredes rettigheder Slette eller levere alle data til den dataansvarlige ved kontrakts ophør Tilvejebringe dokumentation til den dataansvarlige til compliance/revision, herunder hjælp med sikkerhed/sikkerhedsbrud, risikovurdering og evt. anmeldelse til tilsynsmyndighed
25 Dokumentation for behandling Den dataansvarlige har ansvar for at dokumentere efterlevelse af forordningen. Der kan til dette anvendes databeskyttelsespolitikker (og kontroller) og Code of Conducts samt certificeringsmekanismer. Fortegnelse over behandlingsaktiviteter Virksomheder med mindre end 250 ansatte er undtaget med mindre behandlingen udgør en særlig risiko for de registrerede Dataansvarlig og databehandler Navn og kontaktinformation på dataansvarlig Overførsler til tredjeland, hvor det er relevant Tekniske og organisatoriske sikkerhedsforanstaltninger Der skal samarbejdes med tilsynsmyndigheden Dataansvarlig Formål med behandling Kategorier af registrerede og personoplysninger Kategorier af modtagere Tidsperioder Databehandler Kategorier af behandlinger på vegne af de dataansvarlige
26 NIS direktivet Krav fra EU der bl.a. forpligter medlemsstater til at udpege en eller flere nationale tilsynsmyndigheder, ét nationalt kontaktpunkt Indføre sikkerhedskrav og underretningspligt for operatører af væsentlige tjenester og udbydere af digitale tjenester Udarbejde national strategi for sikkerheden i net- og informations systemer Samarbejde og udveksle informationer med myndigheder i andre medlems stater Hver medlemsstat skal senest 9. november 2018 have udarbejdet en liste over operatører der er omfattet. Brancher indbefatter: Energi, transport, bankvæsen, finansielle markedsinfrastrukturer, sundhed, drikkevandsforsyning og distribution samt digital infrastruktur væsentlige tjenester er i øvrigt såfremt tjenesten er kritisk for samfundet eller økonomiske aktiviteter Udbydere af digitale tjenester: online markedspladser, søgemaskiner, cloud tjenester Operatører der er indbefattet skal træffe passende forholdsmæssige tekniske og organisitoriske foranstaltninger for at styre risici i informations systemerne Forebygge og minimere konsekvenser af hændelser ned henblik på at sikre kontinuiteten n
27 Code of Conduct og Certificering CoC og Certificering Begge disse tiltag tillægges større vægt end i de nuværende regler Det er især foreninger der kan lave CoC EU's institutioner får til opgave at fremme certificeringsmekanismer og mærkningsordninger
28 Privacy Shield (ikke en del af forordningen) På papiret ser den nye Privacy Shield aftale flot ud. Hvis det amerikanske justitsministerium sætter Danmark på listen over lande, hvis borgere har ret til at sagsøge for privatlivskrænkelser, kan du sagsøge den amerikanske stat, hvis eksempelvis NSA eller CIA krænker dine private data. Senatorerne har dog tilføjet en bestemmelse om, at loven ikke kan stå i vejen for USA's nationale sikkerhedsinteresser. Det store spørgsmål er om vi i Europa kan stole på, at USA faktisk overholder aftalen og ikke lader NSA boltre sig i vores private data. Sådan som Edward Snowden afslørede, at det tidligere er foregået. Alle amerikanske virksomheder,- også de der hoster og tilbyder Privacy Shield i europæiske lande, er omfattet af amerikansk lovgivning,- således kan man som europæisk virksomhed ikke vide sig sikker for hvorvidt NSA får indsigt i virksomhedens data. Problematisk i forhold til konfidentialitet, følsomme personoplysninger, patenter m.m.
29 Dokumentation for behandling Har I dokumentationen på plads, har jeres databehandlere og deres eventuelle underbehandlere deres dokumentation på plads? Har I for nyligt efter forordningens perspektiv efterprøvet om jeres krav til databehandler kan efterleves og har I gennemlæst eller forhandlet jeres databehandleraftaler?
30 Sikkerhedsforanstaltninger Tiltag skal baseres på en vurdering af risici hændelig eller ulovlig; tilintetgørelse, tab, ændring, uautoriseret videregivelse eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. Passende tekniske og organisatoriske sikkerhedstiltag: Pseudonymisering - overvej kryptering Sørg for fortrolighed, integritet, tilgængelighed og robusthed Tilgængelighed og adgang skal kunne genoprettes rettidigt i tilfælde af hændelse Regelmæssig afprøvning, vurdering og evaluering Den dataansvarlige må gerne behandle data med det formål at sikre sine netværks stabilitet og styrke til at modstå angreb Det er den dataansvarlige som bestemmer, hvilke data der må behandles hvordan Kort sagt: Følg ISO27001 og ISO27002
31 Data Protection Impact Assessment DPIA =Konsekvensanalyse DPIA skal indeholde: Beskrivelse af behandlinger, formål, Legitim interesse hos dataansvarlig, Vurdering af nødvendighed og proportionalitet af behandling i forhold til formål Vurdering af risici Beskrivelse af sikkerhedsforanstaltninger DPO'en skal inddrages Tilsynsmyndigheden skal inddrages ved højrisiko (se næste slide) og kan lave liste over behandlinger, hvor DPIA skal foretages (godkendes af European Data Protection Board- EDPB) og en liste hvor der ikke skal laves DPIA. Eventuel compliance med Code of Conduct De registrerede kan eventuelt inddrages i evaluering, om end det er tidskrævende
32 Data Protection Impact Assessment Den dataansvarlige skal gennemføre en DPIA - under hensyn til: Anvendelse af nye teknologier Behandlingens karakter, omfang, sammenhæng og formål Høje risici for de registrerede - især systematisk og bred evaluering af personer med henblik på profilering, store mængder (som er minimum større end enkelte praktiserede læger eller en advokat, minimum en region) følsomme og semifølsomme oplysninger og systematisk overvågning af offentlige områder.
33 Sikkerhedsforanstaltninger Har I lavet recovery plan og tilhørende øvelser også selvom det måske involverer hosting eller servicepartnere? Har I lavet en DPIA også selvom det måske involverer hosting eller servicepartnere?
34 Databeskyttelsesrådgiver, udpegning Der skal udpeges en DPO når: Behandling gennemføres af en offentlig myndighed Den dataansvarliges kerneaktiviteter består af behandlinger der gennem deres karakter, omfang eller formål kræver en regelmæssig og systematisk overvågning af de registrerede Den dataansvarliges kerneaktiviteter er baseret på større behandlinger af følsomme eller semifølsomme data DPO'en kan være intern eller ekstern og udføre sin opgave for en eller flere virksomheder herunder en koncern. Men samtidigt gælder at DPO'en ikke må udføre opgaver, som kan skabe en interessekonflikt DPO'en er underlagt fortrolighed Data Protection Officer
35 Data Protection Officer Databeskyttelsesrådgiver, opgaver Informere og rådgive dataansvarlig, databehandler og ansatte Overvåge compliance med lovgivningen og politikker hos den dataansvarlige og databehandleren. Rådgive om DPIA Samarbejde med tilsynsmyndighed Kontaktpunkt for tilsynsmyndighed Være særlig opmærksom på risici ved behandling, herunder behandlingens karakter, omfang, sammenhæng og formål
36 Overførsel til tredje lande Privacy Shield, SCC, BCR Kommissionen kan godkende lande, områder og sektorer (EDPB European Data protection Board kan udstede opinion, tilsyn kan underkende) Kommissionen skal især lægge vægt på: Forskellige former for lovgivning, menneskerettigheder, databeskyttelse, sikkerhedstiltag, videre overførsel, håndhævelse af regler, muligheder for domstolsprøvelse. Eksistens af tilsynsmyndighed med de rette beføjelser Internationale aftaler Løbende overvåge Dataansvarlig og databehandler kan overføre data i medfør af Retligt bindende instrument BCR (Binding Corporate rules) CC/SCC lavet af Kommissionen eller tilsynsmyndighed og godkendt af Kommissionen CoC eller Certificering Der må kun overføres data til et tredjelands domstol, hvis der foreligger en bilateral national aftale.
37 Overførsel til tredje lande BCR (binding corporate rules) Skal godkendes af national tilsynsmyndighed Skal indeholde: Struktur og kontaktinfo i koncern Kategorier af oplysninger, typer af behandling, formål, type af registrerede, tredjeland De juridisk bindende forhold (hjemmel) Overholdelse af principperne, PbDx2, retsgrundlag, foranstaltninger, overførsel Overholdelse af de registreredes rettigheder, samt domstolsprøvelse Ansvar for databrud Information til de registrerede DPO'ens opgaver Klageprocedurer Procedurer for verifikation af BCRs compliance (kontroller) Procedurer for ændringer, samarbejde og indberetning til tilsynsmyndighed Uddannelse af personale
38 Overførsel til tredje lande Andre måder at overføre data på (undtagelser) Samtykke Nødvendigt for overholdelse af en kontrakt, hvor den registrerede er den ene part Kontrakt i den registreredes interesse, uden den registrerede er part Vigtige samfundsinteresser Retskrav (lidt selvmodsigende, idet der skal være en bilateral aftale) Vital interesse Hvis der er særlig lovhjemmel Hvis overførslen er enkeltstående tilfælde, der ikke gentages og berører få registrerede
39 One-stop-shop Den dataansvarliges main establishment/ primære etableringsadresse er det sted, hvor der træffes beslutninger vedr. databehandling (evt. hovedkvarter og ikke nødvendigvis det sted hvor data faktisk behandles) Hvis ikke der er et decideret hovedkvarter eller hvis der ikke er et hovedkvarter indenfor EU så main establishment, det sted hvor behandlingen foregår i EU. Tilsynsmyndigheden har kompetencerne på sit eget territorie. Hvor den offentlige sektor er dataansvarlig, foretager den nationale tilsynsmyndighed alle afgørelser. Hvor den dataansvarlige befinder sig i den private sektor træder onestop-shop i kraft. I det land hvor main establishment ligger er tilsynsmyndigheden lead supervisory authority. De øvrige tilsynsmyndigheder kan være concerned supervisory authority (fordi virksomheden også er etableret i dette land, fordi landets borgere er væsentligt berørt eller sag er rejst i det land). Virksomhedens lead supervisory authority, skal behandle sager der rejses overfor virksomheden, også selv om sagen rejses i et andet EU-land overfor et anden concerned supervisory authority. Hvis concerned ikke er enig og ønsker ændringer og disse ikke efterkommes af lead, træder sammenhængsmekanismen i kraft og en afgørelse træffes herefter. Hvis tilsynsmyndighederne er enige meddeles afgørelsen fra lead til main establishment og fra concerned til klager.
40 Data breach notification Brud på datasikkerheden DA til Myndighed: 72 timer, ellers begrundelse DB til DA: straks Indhold i meddelelse: Type af databrud, kategorier af data, antal registrerede, antal registreringer, kontaktinfo (på DPO), konsekvenser, korrigerende foranstaltninger. Dokumentation/bevissikring af databruddet DA til registreret: ved høj risiko gives meddelelse uden unødig forsinkelse i klart sprog Indhold: kontaktinfo (på DPO), konsekvenser, korrigerende foranstaltninger Undtagelser: ulæselige data, ingen risiko, vanskeligt at give information Pligt til at have procedurer for at håndtere DBN
41 Administrative bøder Tilsynsmyndighed kan udstede advarsler og reprimander Tilsynsmyndighed kan udstede administrative bøder, som skal være effektive, proportionale og afskrækkende Der skal lægges vægt på: Karakteren, alvorligheden og varigheden Med vilje eller manglende fokus Korrigerende tiltag Graden af ansvar Tidligere forteelser Villigheden til at samarbejde med tilsynsmyndighed Kategorierne af personoplysninger Om der har været gevinster ved ikke at være lovmedholdende Der kan ikke udstedes administrative bøder i Danmark. Det afventes hvordan modellen bliver: ombudsmandsmodel eller bødeforlæg via anklagemyndighed. Vi forventer sidstnævnte, hvilket betyder at tilsynet med bødeanbefaling og angivelse af beløb, anmelder til politiet der forelægger det for anklagemyndigheden, som idømmer bøden.
42 Nationale Betragtninger Fortsat mangler national harmonisering på over 50 områder og justitsministeriet arbejder på nationale tilrettelser, som skal være færdig Q Derefter skal det behandles og fremsættes som lovforslag i oktober 2017, for vedtagelse januar EU forordningen træder i kraft d. 25. maj 2018, Virksomhederne får derved ca. 5 mdr. til at efterleve de danske bestemmelser i loven.
43 Bødeniveauer 2% af omsætningen eller EUR Manglende efterlevelse af dataansvarlig eller databehandlers pligter 4% af omsætningen eller EUR Brud på principperne Brud på de registreredes rettigheder Overførsel til tredje lande uden hjemmel Manglede efterlevelse af ordre fra tilsynsmyndighed Der kan nationalt fastsættes regler om hvorvidt og i hvilket omfang der kan udstedes administrative bøder til offentlige myndigheder
44 Vær i kontrol! Compliant kan du være ved et tilfælde!
45 Topledelsen Ledelsen skal gå forrest- Vær rollemodeller for at skabe en sikkerhedskultur (Hvis det ikke betyder noget for chefen, betyder det heller ikke noget for medarbejderen) Ledelsen har ansvar for: Bøder, image og konsekvenser for de registrerede Udpeg CISO og DPO Lyt til deres råd Få korte kvartalsvise statusopdateringer Organisatoriske anbefalinger Minimum årlig godkendelse af politikker og procedurer, risikovurderinger og system/dataklassifikation. Virksomheder vil markedsføringsmæssigt fremover kunne differentiere sig stærkt på privacy i kommunikation (Privacy per default)og Privacy By Design i løsninger
46 Organisatoriske anbefalinger CISO / DPO Lyt til organisationen Lav praktisk anvendelige skabeloner med spørgsmål Evt. Spørgsmålene/kontrollerne fra DI s vejledning Evt. DI s PIA skabelon Anvend f.eks. ISO Lav risikovurderinger, konsekvensanalyser og recoveryplaner Lav politikker og procedurer og få dem godkendt af topledelsen Dokumentér, kontrollér og vedligehold Lav ikke for lange beskrivelser Samarbejd med hinanden Få databehandlingsaftaler på plads, med råd fra IT sikkerhedsrådgivere og jurister
47 Organisatoriske anbefalinger System og dataansvarlige Følg vejledninger, politikker og procedurer Bøj ikke reglerne Hvis I har spørgsmål, så gå til CISO/DPO og tag altid dem med i et IT-projektforløb (allerede når det er på idé niveau) Det handler ikke bare om compliance eller teknik, men om forretningens overlevelse og positionering i markedet
48 Anbefalinger Overordnede værktøjer og fremgangsmåde Brug ISO27002 som kontroller for at se om virksomhedens egne mål og forordningen efterleves og følg evt. vores vejledninger og checklister. PIA- Privacy Impact Assessment Sørg for at datasubjektet er beskyttet og vurder påvirkning og mulig risiko for behandling af dennes data hos virksomheden. En PIA er en vurdering af påvirkning og mulig risiko, set fra datasubjektet individuelle synspunkt, ved behandling eller opbevaring hos en instans. Besvar overordnede spørgsmål Er informationerne, som virksomheden ønsker at behandle, omfattet af forordningen; er informationerne at betragte som personoplysninger? Hvilke behandlinger og hvilke kategorier af personoplysninger ønsker virksomheden at behandle? Spiller virksomheden en rolle som dataansvarlig eller databehandler i forhold til de konkrete behandlinger? Har virksomheden et retligt grundlag til at behandle de ønskede kategorier af personoplysninger? Opfylder virksomheden principperne for behandling af oplysningerne? Er behandlingen nødvendig (proportional)? Kan virksomheden behandle oplysningerne på en mindre indgribende måde og stadig opnå formålet? Opfylder virksomheden de registreredes rettigheder ved behandling af oplysningerne? Opfylder virksomheden sine forpligtelser (herunder vedrørende overførsel og sikkerhed) ved at behandle personoplysninger?
49 Konkrete tekniske anbefalinger Privacy by design og Privacy by default Allerede i opstartsfasen af et projekt eller ved tiltag, tag da udgangspunkt i at personfølsomdata beskyttes med teknologiske tiltag, softwaredesign og forretningsstrategier fra projekternes start. Fremadrettet skal Privacy by Design og Privacy by Default være indarbejdet som standard.
50 Konkrete anbefalinger Arbejd med virksomhedens sikkerhedskultur Arbejd med Security awareness; Test viden om IT sikkerhed, politikker og processer på alle niveauer i virksomheden Foretag stikprøver f.eks. : Simulerede phishingforsøg Tailgating Planting af f.eks. USB nøgler eller Raspberry Pi s Social Engineering - chokolade eller vin mod oplysninger
51 Tekniske anbefalinger Udvælg og etabler kontakt til Forensic specialister, før I får brug for dem I computer forensics og efterforskning af hændelser i et IT miljø, er det vigtigt at bevissikre, på den rigtige måde, bl.a. ved at følge Chain of custody. Politiet og særlige IT sikkerhedsfirmaer vil kunne være behjælpelige med at bevissikre på en ubestridelig måde, der kan bruges i en retssag. Opsæt fysiske og logiske adgangskontroller - sættes i værk for at sikre autoriseret adgang Digital signatur. Til samtykkeerklæringer og bindende aftaler, for digital underskrift. (Kan også benyttes af f.eks. websteder til at verificere webstedets identitet og / eller til at kryptere data )
52 Tekniske anbefalinger Password politikker - sørg for efterlevelse. Endpointsikkerhed (også mobile enheder): Antimalware Personlig firewall (IDS og IPS) Browsersikkerhed Applikationssikkerhed Authentificering Patching Lokale administratorrettigheder Registrering af systemændringer Password management Kryptering- filer, diske og devices (uddybes)
53 Tekniske anbefalinger Backup teknologi Kan nuværende løsning leve op til slettefrister og registreredes ret til indsigt? (Nogle backup er fungerer kun hvis de installeres og man kan ikke søge i specifikke data på backup en). Sørg for at der forefindes en backup til genskabelse af data inden for estimeret tidsramme. Data kan i nogle løsninger krypteres. I tilfælde af opbevaring hos ekstern tredjepart, skal det tilsikres at den del af backupppen der rummer personhenførbare data eller personfølsomme data, kun vil være tilgængelig for den data ansvarlige. Nogle backupløsninger til Cloud eller on-premise kan effektivisere og automatisere og det vil være muligt at definere adgange og praktisere separation of duties. Nogle backup løsninger giver kun mulighed for en fuld genskabelse af data, ikke en delvis genskabelse. En udfordring hvis et datasubjekt beder om at data slettes, og det ikke teknisk er muligt at slette eller identificere enkelte data inde i backuppen.
54 Tekniske anbefalinger Patch Management på netværksniveau Next generation firewalls - Med Intrusion Prevention System og Advanced Persistent Threat. Således har man har taget et nødvendigt skridt for at sikre mod ulovlig indtrængen. Webfiltrering Sikker DNS opslag Data Leakage Prevention til hindring af at følsomme data forlader virksomheden. Der findes adskillige løsninger på markedet, såsom contentfiltre, firewalls, kryptering osv. der kan hjælpe virksomheden med at kontrollere hvilke data der forlader virksomheden forsætligt eller ved en fejl. (I filtrene kan der opsættes politikker, som forhindrer medarbejdere i f.eks. at inkluderer CPR-numre, årsregnskaber, databaser m.m. i udgående mails).
55 Tekniske anbefalinger Multi faktor autentificering, for at sikre at den korrekte person får adgang - også via VPN Privileged Access Management og Identity Management, til styring af rettigheder, tilgange og identiteter på systemniveau Sikker fildeling- hvem holder nøglerne? Application whitelisting kan sikre, at kun de ønskede applikationer og versionsnumreafvikles i virksomheden. Shadow IT Discovery- til afdækning af tilsluttede enheder Log og netværks monitorering (både til overvågning og til bevisførelse) Threat og security assessment i sikkerhedsproducenternes løsninger, såvel som I jeres egne
56 Tekniske anbefalinger Anonymizers Der findes open source tools der bruger statistiske og matematiske modeler og principper til at anonymisere datasæt, incl. risiko analyser for muligheden for at genskabe data / identificere det oprindelige data subjekt. F.eks. Navn fjernes, og alder sættes i et interval, samtidigt med at det kan bruges til statistiske formål. Der findes kommercielle løsninger til data masking, baseret på standarder indenfor PCI og HIPAA. De tilbyder bl.a. en learning proxy, der baserer masking ud fra specifikke søgninger foretaget i databasen med datasæt. Understøtter alle enterprise databaser og en række yderligere (MySQL, Hadoop m.fl.) Feature i visse databaser, bl.a. Oracle, der har indbyggede værktøjer til data masking. Formatet og hvad der skal skjules skal dog defineres af brugerne, gøres via scripting
57 Tekniske anbefalinger Hindring af tredieparts indsigt -Enhver server eller workstation kan få bypasset login hvis der er fysisk adgang til maskinen (boot og reset af SAM databasen i Windows = fuld administrator rettigheder) Enhver virtuel gæst kan tilgås af dem der har adgang til den virtuelle host, da den virtuelle server blot er en fil på hosten. (Boot og bypass, eller kopi af serveren og derefter boot). Man bør derfor overveje at sikre hindring i at 3. part (f.eks. hosting provider med fysisk eller logisk adgang) kan få indsigt i selve data. Det kan løses med: Kryptering af data Obfuscering af data pseudonymisering Anonymisering
58 Konkrete tekniske anbefalinger Kryptering (For Separation of duties og confidentiality) Harddiske- fuldisk virker til fysiske hosts, ikke virtuelle Filer -(vigtigt at nøglen ikke opbevares på selve serveren). Der findes løsninger både med private nøgler der indtastes pr. gang eller løsninger der integrerer med AD (single sign on) det kan anvendes for automatisering Kommunikation- SMS, mail og internet kommunikation Adgange; F.eks. VPN til medarbejder der arbejder fra usikre netværk, kryptering af kunde eller leverandøradgange (også datasuppliers adgange) Datalagring, HDD/USBdisk eller backup instanser Fildeling i skyen eller on premise VOIP Databaser- er en standarddel af de gængse enterprise databaser, MS SQL, DB2, Oracle m.fl.). Enkelte databaser kan have deres egen nøgle, foruden en master key. Både synkron og asynkron kryptering kan bruges i database krypteringer
59 Konkrete tekniske anbefalinger Separation of duties og confidentiality Kryptering af filer efter typer (f.eks. alle word filer) kan ske transparent for brugeren, med mulighed for at dele dokumenter med alle på samme domæne, eller med specifikke brugere, defineret i AD (F.eks. alle HR medarbejdere og ledelsen, men ellers ingen!), eller med en nøgle defineret af brugeren, så dokumenter kan gemmes og deles eksternt. Kan også anvendes i Cloud og hostede løsninger hvor cloududbyder ikke kan tilgå data. Det kan kombineres med anti malware løsninger, så kompromitterede systemer får fjernet nøgleadgangen indtil systemet er rent igen.
60 Konkrete tekniske anbefalinger Data destruktion og Data redaction Logisk Værktøjer kan anvendes i forbindelse med data destruktion, hvor man fremadrettet ønsker at anvende hardwaren i andre henseender. Teknologier kan slette og overskrive data sikkert, så tidligere data sættes i en ubrugelig stand, der ikke kan genskabes også kaldet value recovery. Fysisk For endegyldig sikring mod at data kan genskabes, kan det være nødvendigt at destruere harddisk og hardware. Det er derfor ikke nok at anvende en hammer, - komponenterne skal også være i den dårligste forfatning muligt. Redaction Sletning af specifikke dele af data f.eks CPR numre findes bl.a. mail gatewayløsninger, baseret på mønster genkendelse i datasæt sendt på mail
61 Konkrete tekniske anbefalinger Datastyring Kontrol af virksomhedens data samtidig med en funktionel bevægelig arbejdsstyrke. Ved flytning, opbevaring og deling af data mellem medarbejdere, f.eks. på mobilen, fildeling og flytbare-enheder, findes der centralt administrerede løsninger, der kan begrænse virksomhedens arbejdsbelastning, ved at implementere politikker om slettefrister, kryptering, adgange, deling m.m. Fysisk adgangsbegrænsning. Dæm op for fysisk adgang for uvedkommende til virksomhedens data og IT udstyr. Har virksomheden implementeret fysisk perimeter sikkerhed, som brug af adgangskort, medarbejder awareness, definerede fysiske arbejdsområder, aflåst server & kommunikations område, lås på vinduer og døre ved pauser osv. Få eksterne konsulentvirksomheder til implementering og vurdering af jeres fysiske sikkerhed.
62 Find løsninger og ydelser på og inspiration på i
63 Vejledning om persondata forordningen med bilag Tjekliste til persondata forordningen Persondataforordningen formuleret som kontroller Nationale bestemmelser der skal forhandles Privatlivs fremmende teknologier Metoder til beskyttelse af personoplysninger og ordforklaring i
64 Kontakt info Mette Nikander Support: Tlf Tlf
Vær i kontrol! Compliantkan du være ved et tilfælde!
Vær i kontrol! Compliantkan du være ved et tilfælde! ETABLERET I 1993 SPECIALISERET I IT SIKKERHED MED DANSKE OG INTERNATIONALE SAMARBEJDSPARTNERE OG IT SIKKERHEDSPECIALISTER KONSULENTYDELSER, SIKKERHEDSTJENESTER
Læs mereVandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker
Vandforsyningens håndtering af den kommende persondataforordning Danske Vandværker Praktiske spørgsmål vi modtog Hvem har ansvaret for beskyttelse af forbrugernes persondata? Er medlemslister i ringbindsmapper
Læs mereForordningen: Data Protection Officer, jura og sikkerhed. Lars Boye, Dubex A/S ESL-efteruddannelsen, den 9. marts 2016
Forordningen: Data Protection Officer, jura og sikkerhed Lars Boye, Dubex A/S ESL-efteruddannelsen, den 9. marts 2016 Præsentation Dubex A/S Specialister i og laver kun IT-sikkerhed siden 1997 60 medarbejdere
Læs merePersondataforordningen. Konsekvenser for virksomheder
Persondataforordningen Konsekvenser for virksomheder Sikkerhedsforanstaltninger (A32) Sikkerhedsforanstaltninger Der skal iværksættes passende tekniske og organisatoriske sikkerhedstiltag Psedonymisering
Læs mereIntroduktion til persondataforordning
Introduktion til persondataforordning Lektor Dorte Høilund Anvendelse fra 25. maj 2018 Direktiv contra forordning Mange muligheder for nationale særregler Opbygning og struktur Forslag til Databeskyttelseslov
Læs mereDatabehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD
INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel
Læs mereOVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.
OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106. INDHOLDSFO RTEGNELSE: 1. Generelt 3 2. Om nærværende Persondatapolitik 3 3. Definitioner 4 4. Persondataprincipper
Læs mere! Databehandleraftale
! Databehandleraftale Indledning 1.1. Denne aftale vedrørende behandling af personoplysninger ( Databehandleraftalen ) regulerer Pensopay APS CVR-nr. 36410876 (databehandleren) og Kunden (den Dataansvarlige
Læs mereEcofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager
Ecofleet Persondataforordningen Kort fortalt Del 1 Peter Dam Nordic Project Manager Del 1: Hvad er Persondataforordningen? Hvilke rettigheder har den registrerede? Del 2: Hvilke data behandler Ecofleet
Læs mereCC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Aftalen foreligger mellem Adresse Post nr. og By CVR. nr. xx xx xx xx (i det følgende betegnet Dataansvarlig ) og CC GROUP DENMARK Møllebugtvej 5 7000 Fredericia Att: CVR. nr. 27415032
Læs mereNy persondataforordning
Ny persondataforordning GUIDE Hvorfor? Ny persondataforordning Den eksisterende persondatalov gennemfører direktiver fra 1995 en tid, som digitaliseringen for længst har overhalet. En ny persondataforordning
Læs mereAftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )
Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) og Steuermann ApS Flæsketorvet 68 1711 København V CVR. nr. 35809422 (i det følgende betegnet Databehandler ) (herefter samlet
Læs mereBehandling af personoplysninger
Behandling af personoplysninger Orientering til kunder om Zibo Athene A/S behandling af personoplysninger. Nærværende dokument er en information til dig som kunde hos Zibo Athene A/S (herefter Zibo Athene)
Læs mereCuranet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Åstvej 10, B 7190 Billund CVR. nr. 30 56 13 17 (i det følgende betegnet Dataansvarlig ) og Curanet A/S Højvangen 4 8660 Skanderborg CVR. nr. 29
Læs mereN. Zahles Skole Persondatapolitik
N. Zahles Skole Persondatapolitik Indholdsfortegnelse Side 1. Baggrund for persondatapolitikken 3 2. Formål med persondatapolitikken 3 3. Definitioner 3 4. Ansvarsfordeling 4 5. Ansvarlighed 5 6. Lovlighed,
Læs merePERSONDATAPOLITIK 1. INTRODUKTION
PERSONDATAPOLITIK 1. INTRODUKTION 1.1. Personoplysninger er alle typer oplysninger, som kan bruges til at identificere dig som person. Frandsen El A/S (fremover betegnet som FE) opfordrer dig derfor til
Læs mereOverblik over persondataforordningen
Overblik over persondataforordningen November 2016 2 Sanktioner Overtrædelsestype: Indhentning af samtykke ift. børn Behandlinger, som ikke kræver identifikation Data protection by Design/Default Delt
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:
Databehandleraftale Mellem Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: og Databehandleren Virksomhed: OnlineFox CVR: 38687794 Adresse: Pilagervej 32 Postnummer & By: 4200 Slagelse
Læs mereOVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2
OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I DANSK FORENING FOR OSTEOGENEIS IMPERFECTA (DFOI) INDHOLDSFORTEGNELSE: 1. Generelt... 2 2. Om nærværende persondatapolitik...
Læs merePersondataforordningen. Henrik Aslund Pedersen Partner
www.pwc.dk Persondataforordningen Morgenmøde Henrik Aslund Pedersen Partner Revision. Skat. Rådgivning. Hvorfor en ny Persondataforordning? EU persondataforordning - Morgenmøde Hillerød 2 Hvorfor en ny
Læs mereSletteregler. v/rami Chr. Sørensen
Sletteregler v/rami Chr. Sørensen 1 Generelt om retten til berigtigelse og sletning efter artikel 16-17 Efter begæring (artikel 5, stk. 1, litra d) Skal angå den registrerede selv Ingen formkrav Den dataansvarlige
Læs mereJeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )
DATABEHANDLERAFTALEN Databehandleraftale ( Aftalen ) mellem: Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK-36726350 ( Leverandøren ) A: OMFANG A.1 Databehandleraftale
Læs mereBEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen
BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni 2019 Ministerium: Undervisningsministeriet Journalnummer: Undervisningsmin., Styrelsen for It og Læring, j.nr. 18/13045 Senere ændringer til
Læs merePer Løkken, Partner. CAMPUS November 2018
1 Per Løkken, Partner CAMPUS 2018 21. November 2018 2 Tilgange til Persondataforordningen Usikkerhed og iver efter at få styr på det. Organisationer som også ser en værdi i at have styr på data og processer
Læs mereBilag A Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (Beierholms kunde) indgåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandleren (Beierholm)
Læs mereStandardvilkår. Databehandleraftale
Standardvilkår Databehandleraftale 1 Indhold 2 Vilkårenes status... 2 3 Baggrund for databehandleraftalen... 2 4 Formål med databehandlingen... 2 5 Personoplysninger omfattet af databehandleraftalen...
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs merePersondataforordningen
Klik for at tilføje en undertiteltitel Persondataforordningen Ved adv.fm. Kasper Hendrup Andersen Persondataretten: Før og nu Data Protection Directive General Data Protection Regulation (GDPR) Lighed
Læs mereBilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner
Bilag 8 Retningslinje om brud på persondatasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereData protection impact assessment
Data protection impact assessment Data protection impact assessment DPIA Den dataansvarlige skal gennemføres en DPIA under forudsætning af: Anvendelse af nye teknologier Betydeligt omfang, formålets karakter,
Læs merePERSONDATAPOLITIK FOR Dansk forening for Williams Syndrom
PERSONDATAPOLITIK FOR Dansk forening for Williams Syndrom 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige af de oplysninger, som du giver til os, og/eller som vi indsamler om
Læs merePersondatapolitik for Landsforeningen for Marfan Syndrom i Danmark
Persondatapolitik for Landsforeningen for Marfan Syndrom i Danmark 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige af de oplysninger, som du giver til os, og som vi indsamler
Læs mereSurftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.
Surftown A/S Regionsgolf-Danmark 08-05-2018 DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Regionsgolf-Danmark Michael Hansen Søndermarkvej, 60 4200 Slagelse CVR. nr. 34759316 (i det følgende
Læs mereFormål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde
ø Retningslinjer om brud på datasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU)
Læs mereSeptember Indledning
September 2016 Eksempel fra KOMBIT: Vejledning til gennemførelse af indledende overordnet kortlægning af it-løsningers parathed i forhold til efterlevelse af kendte krav i Databeskyttelsesforordningen
Læs merePERSONDATAPOLITIK FOR DANSK TOURETTE FORENING
PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som
Læs mere1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og
PERSONDATAPOLITIK FOR Dansk Forening for Tuberøs Sclerose 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og som vi indsamler om dig, enten
Læs merePersondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].
Baggrund for persondatapolitikken Nykøbing Katedralskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereEU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse
EU s persondataforordning Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse Disposition Kort om forordningen Implementering - Processen i Justitsministeriet og UVM i forhold
Læs mereDanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Vilhelm Thomsens plads 1 8900 Randers CVR. nr. 35 58 90 31 (i det følgende betegnet Dataansvarlig ) og DanDomain A/S Normansvej 1 8920 Randers
Læs mereBrud på datasikkerheden
Brud på datasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april
Læs merePersondatapolitik for Ehlers-Danlos Foreningen i Danmark
Persondatapolitik for Ehlers-Danlos Foreningen i Danmark 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige af de oplysninger, som du giver til os, og som vi indsamler om dig,
Læs merePersondata politik for GHP Gildhøj Privathospital
Persondata politik for GHP Gildhøj Privathospital Baggrund for persondatapolitikken Denne persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU)
Læs merePERSONDATAPOLITIK FOR AXIS
PERSONDATAPOLITIK FOR AXIS 1. Generelt 1.1. Denne Persondatapolitik er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som led i et medlems-/ eller bidragyderforhold
Læs mereDatabeskyttelse i den almene sektor en digital fremtid. 30. august 2018
Databeskyttelse i den almene sektor en digital fremtid 30. august 2018 2 Corporate Compliance & Investigations Vi er eksperter indenfor Vi hjælper din virksomhed med at få et overblik og identificere væsentlige
Læs mereBilag B Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (s kunde) indgåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren () behandling af personoplysninger,
Læs mereBilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner
Bilag 7 Retningslinje om behandlingssikkerhed Anvendelsesområde Retningslinje om behandlingssikkerhed er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.
Databehandleraftale Mellem Den dataansvarlige og Databehandleren ErhvervsHjemmesider.dk ApS CVR 36944293 Haslegårdsvej 8 8210 Aarhus V DK 1 Indhold 2 Baggrund for databehandleraftalen... 3 3 Den dataansvarliges
Læs mereDATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:
DATABEHANDLERAFTALE Mellem undertegnede og medundertegnede Johnsen Graphic Solutions A/S Bakkehegnet 1-3 DK-8500 Grenaa CVR-nr.: 18624141 (herefter Databehandleren ) [Indsæt navn] [Indsæt adresse] [Indsæt
Læs merePersondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016
Persondataforordningen Overblik over initiativer og ansvar Dubex Summit - Rasmus Lund november 2016 Rasmus Lund Advokat, partner Leder af persondata team Agenda Henning Mortensen, DI har givet overblik
Læs mereopfylde vores kontraktuelle forpligtelser over for dig, samt at
PRIVATLIVSPOLITIK Det er vigtigt for FloodFrame A/S ( FloodFrame ), at du føler dig tryg ved at overlade persondata til os. Det er derfor også vigtigt, at du er oplyst om, hvilke oplysninger FloodFrame
Læs merePersondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.
Persondatapolitik for Horsens HF & VUC Baggrund for persondatapolitikken Horsens HF & VUCs persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU)
Læs mereEN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017
EN DAG OM PERSONDATAFORORDNINGEN STU Foreningen 7. december 2017 Oplæg v/ Peter Sindal Lundsberg Advokat, underviser, fast værge Hovedvagtsgade 6, 4. sal 1103 København K T: 3311 3636 M: 5373 2100 E: psl@petersindal.dk
Læs mereRigsarkivets konference 2. november 2016
Pligten til at huske retten til at blive glemt Rigsarkivets konference 2. november 2016 Birgit Kleis, kommitteret i Datatilsynet Persondatabeskyttelse: afvejning af hensyn Privatlivets fred Informations-
Læs mereDatabehandleraftale (v.1.1)
Denne databehandleraftale er et tillæg til gældende Nordcad salgs og leveringsbetingelser mellem Kunden og Nordcad Systems A/S. Databehandleraftalens underbilag B opdateres løbende for at sikre korrekt
Læs mereDATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde
DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde sig til indholdet evt.
Læs mere1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du
PERSONDATAPOLITIK FOR FORENINGEN EVENTYRJUL 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs merePersondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den
Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den 25.05.2018 Indholdsfortegnelse 1 Baggrund... 3 2 Formål... 3 3 Omfang... 3 4 Roller og ansvar...
Læs mereKontraktbilag 3. Databehandleraftale
Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i
Læs mereRetningslinjer om brud på persondatasikkerheden
Retningslinjer om brud på persondatasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereEU Persondataforordning GDPR
EU Persondataforordning GDPR 14. juni 2018 Agenda Persondataforordningen - GDPR Hvad går forordningen grundlæggende ud på og hvorfor? Hvad stiller forordningen af krav til nødvendig indsats? Hvordan sikrer
Læs merePersondatapolitik for Aabenraa Statsskole
Persondatapolitik for Aabenraa Statsskole Baggrund for persondatapolitikken s persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
Læs merePræsentation Tid +/- 25 minutter i praktik
Præsentation Tid +/- 25 minutter i praktik # # God grund Ikke luske/rode # Ansvarlig & troværdig # Samtykke Interesseafvej. Legitimt # Dokumentation # Træning # Databeskyttelsesrådgiver # Det komplekse
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereINTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.
INTERN HR PERSONDATAPOLITIK FOR LIONS MD106 Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106. INDHOLDSFO RTEGNELSE: Generelt 3 2 Definitioner 3 3 Formål med Behandlingen af dine
Læs merePERSONDATAPOLITIK FOR FANCONI ANÆMI DANMARK
PERSONDATAPOLITIK FOR FANCONI ANÆMI DANMARK 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som
Læs mereMidtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner
Retningslinje om brud på persondatasikkerheden HolmehiEijvej 4 5750 Ringe Tlf. 6262 2577 e-mail: post@mfg. dk www.mfg. dk Juni, 2018 Anvendelsesområde Retningslinje om brud på persondatasikkerheden er
Læs mereDATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )
DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs merePersondatapolitik Vordingborg Gymnasium & HF
Persondatapolitik Vordingborg Gymnasium & HF Indholdsfortegnelse Indhold Baggrund for persondatapolitikken... 3 Formål... 3 Definitioner... 3 Ansvarsfordeling... 4 Ansvarlighed... 4 Lovlighed, rimelighed
Læs mereIT-Ansvar God skik og ansvarlighed. Persondataforordningen. Jørgen Granborg
IT-Ansvar God skik og ansvarlighed Persondataforordningen Jørgen Granborg Hvem er jeg Direktør i A-Data Bestyrelses formand i DMDD A/S Nasure A/S PLSP A/S Formand for PL-Forum - og hvorfor beskæftiger
Læs mereDansk Selskab for GCP. Persondatareglerne
Dansk Selskab for GCP Persondatareglerne Jan Bjerrum Bach & Martin Binzer Lind Advokater Jusmedico Advokatfirma - Hvem er Jan & Martin? Medicinmænd med biotek-, pharma og device-fokus; Rundet af industri
Læs mere1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du
PERSONDATAPOLITIK FOR UniqueDanmark 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og som vi indsamler om dig, enten som led i et medlems-
Læs mereTønder Kommune BILAG 10
Tønder Kommune BILAG 10 Databehandleraftale mellem Tønder kommuner og Leverandør Side 1/14 DATABEHANDLERAFTALE Mellem Tønder Kommune Wegners Plads 2 6270 Tønder CVR. nr.: 29189781 (herefter Kommunen )
Læs merePersondatapolitik for Tørring Gymnasium 2018
Persondatapolitik for Tørring Gymnasium 2018 Baggrund for persondatapolitikken Tørring Gymnasiums persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mere- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataforordningen (GDPR) pr. 25-05-2018 ISAE 3000-I CVR-nr.: 33 07 66 49 Maj 2018 REVI-IT A/S statsautoriseret
Læs merePersondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017
Persondataforordningen fra Dansk Energis perspektiv Xellent inspirationsdag, 1. juni 2017 Brancheorganisationen Mathilde Øelund Jensen Konsulent cand. Jur. Direkte: 35 300 422 msj@danskenergi.dk Agenda
Læs mereBILAG 14: DATABEHANDLERAFTALE
BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav
Læs mereFormålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.
Baggrund for persondatapolitikken Ribe Katedralskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereDatabehandlingsaftale
Databehandlingsaftale Dataansvarlig: Kunde lokaliseret inden for EU (den dataansvarlige ) og Databehandler: Europæisk repræsentant Virksomhed: ONE.COM (B-one FZ-LLC) One.com A/S Reg.nr. Reg.nr. 19.958
Læs mereVelkommen til seminar om Persondataforordningen. Den 16. maj 2018.
Velkommen til seminar om Persondataforordningen Den 16. maj 2018. CFSA udvikler frivilligheden Rådgivning Kurser Se mere på frivillighed.dk Netværk Analyse Evaluering Undersøgelse Nyheder Konferencer Konsulentbistand
Læs mereRetningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2
Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium Indholdsfortegnelse ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 HVORDAN HÅNDTERER VI ET BRUD PÅ PERSONDATASIKKERHEDEN?... 3 NÅR
Læs mere1.1 Denne privatlivspolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver
PRIVATLIVSPOLITIK FOR DIABETESFORENINGEN 1 Generelt 1.1 Denne privatlivspolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som led
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs merePERSONDATAPOLITIK 1. INTRODUKTION
PERSONDATAPOLITIK 1. INTRODUKTION 1.1. Personoplysninger er alle typer oplysninger, som kan bruges til at identificere dig som person. Byens Netværk opfordrer dig derfor til at udvise agtpågivenhed med,
Læs mereWinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:
Databehandleraftale Mellem Den Dataansvarlige: Kunden og Databehandleren: WinWinWeb CVR: 35 62 15 20 Odinsvej 9 2800 Kgs. Lyngby Danmark Side 1 af 12 1 Baggrund for databehandleraftalen 1. Denne aftale
Læs merePERSONDATAPOLITIK FOR BAPTISTERNES BØRNE- OG UNGDOMSFORBUND
PERSONDATAPOLITIK FOR BAPTISTERNES BØRNE- OG UNGDOMSFORBUND 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om
Læs mereDATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf
DATABEHANDLERAFTALE Conscia A/S Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf. +45 7020 7780 www.conscia.com 1 INDHOLDSFORTEGNELSE 1. BAGGRUND OG FORMÅL... 3 2. OMFANG... 3 3. VARIGHED... 3 4. DEN
Læs merePersondatapolitik. for Social- og Sundhedsskolen Esbjerg
Persondatapolitik for Social- og Sundhedsskolen Esbjerg Indhold Baggrund for persondatapolitikken... 2 Formål... 2 Definitioner... 2 Ansvarsfordeling... 3 Øverste ledelse (bestyrelsen)... 3 Daglig ledelse
Læs mereDen Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".
DATABEHANDLERAFTALE mellem KUNDEN (som defineret i punkt 2 nedenfor) (den "Dataansvarlige") og TECHEM DANMARK A/S CVR-nr. 29 41 69 82 Trindsøvej 7 A-B 8000 Aarhus C ("Databehandleren") Den Dataansvarlige
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Friskolen og Idrætsefterskolen UBBY Overordnet organisering af personoplysninger Friskolen og Idrætsefterskolen UBBY ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs merePersondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.
Baggrund for persondatapolitikken Kolding Gymnasiums persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereAftale omkring behandling af persondata.
Databehandleraftale Aftale omkring behandling af persondata. Aftalen Denne databehandleraftale er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig) og ApS (Databehandler), og er gældende
Læs merePersondatapolitik på Gentofte Studenterkursus
Persondatapolitik på Gentofte Studenterkursus Baggrund for persondatapolitikken Gentofte Studenterkursus persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets
Læs mereMetoder til beskyttelse af personoplysninger og ordforklaring
Metoder til beskyttelse af personoplysninger og ordforklaring Beskyttelse i lagring og transit kan ske via kryptering. Beskyttelse kan også være i form af adgangskontroller, fysiske såvel som logiske adgangsbegrænsninger
Læs mereDATABEHANDLERAFTALE
DATABEHANDLERAFTALE 24-05-2018 21-07-2019 n foreligger mellem Indtast Mr. Beef.dk kunde ApS Adresse Vingevej 6 Post 6950 nr. Ringkøbing og By CVR. nr. 40536035 xx xx xx xx (i det følgende betegnet Dataansvarlig
Læs mereDatabehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S
Databehandleraftale vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj 2018 Storhaven 12 / 7100 Vejle / +45 7879 7575 / www.dmdd.dk INDHOLD 1. BAGGRUND FOR DATABEHANDLERAFTALEN... 3 2. FORPLIGTELSER
Læs mereBilag 1 Databehandler aftale (v.1.2)
Denne databehandleraftale er et tillæg til gældende rammeaftale mellem Kunden og Telefonmøder ApS. Databehandleraftalens underbilag B opdateres løbende for at sikre korrekt overblik over vores underdatabehandlere.
Læs mere