Notat. Notat om love og regler der unødigt vanskeliggør anvendelsen af cloud computing

Størrelse: px
Starte visningen fra side:

Download "Notat. Notat om love og regler der unødigt vanskeliggør anvendelsen af cloud computing"

Transkript

1 Notat Notat om love og regler der unødigt vanskeliggør anvendelsen af cloud computing Indholdsfortegnelse: 1. Indledning Definition af cloud computing og eksempler herpå Sikkerhed i cloud computing Gældende ret om behandling af personoplysninger mv Indledning Anvendelsesområde Tredjelande Behandlingsregler Rettigheder til den registrerede Behandlingssikkerhed mv Behandlingssikkerhed Nærmere om krigsreglen Relevante bestemmelser i sikkerhedsbekendtgørelsen Tilsyn EU-retlige initiativer Datatilsynets udtalelse af 3. februar Regnskabs- og bogføringsloven Arbejdsgruppens vurdering af love og regler der vanskeliggør brugen af cloud computing Indledning Kontrol med autorisationer Beskrivelse af reglen Udfordring Arbejdsgruppens overvejelser Kontrol med afviste adgangsforsøg Beskrivelse af reglen Udfordring Arbejdsgruppens overvejelser Logningskrav Beskrivelse af reglen Udfordring Arbejdsgruppens overvejelser Kontrol med databehandler, instrukskrav mv Beskrivelse af reglerne Udfordring Arbejdsgruppens overvejelser Krav til placering af data Beskrivelse af reglerne Udfordring...31

2 Arbejdsgruppens overvejelser Tilsyn og kontrol af data Beskrivelse af reglerne Udfordring Arbejdsgruppens overvejelser...34 Bilag...34 Side 2 af Indledning Regeringen har i den tværoffentlige digitaliseringsstrategi under fokusområdet digitaliseringsklar lovgivning besluttet at iværksætte et initiativ om tidssvarende regler for cloud computing (initiativ 11.4). Det fastslås, at cloud computing kan åbne nye muligheder for en mere effektiv it-drift og adgang til it-ydelser. Borgernes og virksomhedernes følsomme oplysninger skal beskyttes, men utidssvarende regler bør ikke være en unødig barriere for cloud computing. Målet er om nødvendigt at justere persondataloven og eventuelt andre love, der hindrer brugen af cloud computing. Det beskrives endvidere, at initiativet forankres i en arbejdsgruppe bestående af blandt andet Digitaliseringsstyrelsen og Justitsministeriet, og at arbejdsgruppen udarbejder forslag til eventuelt ændret regulering og andre tiltag, der kan fjerne unødige barrierer for anvendelsen af cloud computing. Initiativet om tidssvarende regler for cloud computing har sin baggrund i behandlingen af beslutningsforslag nr. B 83 af 15. marts 2011 om en national plan for cloud computing. I den forbindelse tilkendegav den daværende videnskabsminister, at regeringen ville nedsætte en tværministeriel arbejdsgruppe, der skulle stille forslag til eventuelle tilpasninger af persondataloven og øvrige relevante love og regler, der unødigt vanskeliggør anvendelsen af cloudteknologier. Der blev i forlængelse heraf nedsat en arbejdsgruppe med repræsentanter for Justitsministeriet, Økonomistyrelsen (nu Digitaliseringsstyrelsen) og IT- og Telestyrelsen (nu Digitaliseringsstyrelsen). På arbejdsgruppens første møde blev det besluttet desuden at anmode Datatilsynet om at deltage i arbejdsgruppen. Baggrunden for nedsættelsen af arbejdsgruppen var bl.a., at det må antages, at cloud computing i fremtiden vil blive mere og mere udbredt. Det er derfor vigtigt at sikre, at de love og regler, der danner det juridiske grundlag for databehandling i Danmark, i fornødent omfang tager højde herfor. Regeringen fandt, at der i den nuværende lovgivning eventuelt kunne være unødige barrierer for øget anvendelse af cloud computing. Det var ønsket at fastholde beskyttelsen af borgernes og virksomhedernes følsomme oplysninger uden, at der sættes unødige barrierer for anvendelsen af cloud-teknologi, som kan

3 give besparelser for dataansvarlige myndigheder og give en mere fleksibel service for borgere og virksomheder. Side 3 af 34 Når man behandler personoplysninger, herunder følsomme personoplysninger, er det selvsagt vigtigt, at dette sker med det fornødne høje sikkerhedsniveau. For offentlige myndigheder gælder det, at de har ansvaret for, at deres behandling af personoplysninger sker inden for de rammer, som følger af lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (persondataloven) og bestemmelser udstedt med hjemmel heri, jf. herom nærmere under afsnit 4 og nedenfor. Det anførte gælder også, når behandlingen af personoplysninger sker ved hjælp af cloud-teknologier. Det er en væsentlig forudsætning for arbejdsgruppen, at det gældende beskyttelsesniveau bevares, således at der fortsat kan være tillid til, at personoplysninger opbevares og behandles på betryggende vis. Hertil kommer, at det er nødvendigt at sikre, at reglerne om behandling af personoplysninger i Danmark, herunder ved brug af cloud-teknologier, er i overensstemmelse med den relevante EU-lovgivning, herunder navnlig Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (persondatadirektivet), der i dansk ret er gennemført ved persondataloven. 2. Definition af cloud computing og eksempler herpå Ved cloud computing forstås i almindelighed, at visse it-ydelser bliver leveret som en abonnementsordning, således at man som kunde overlader håndteringen af sine data til en leverandør af cloud computing. Kundens adgang til data og applikationer sker ved cloud computing udelukkende via internettet, og kunden har derfor ikke behov for at drive egne servere. Der er således tale om, at en dataansvarlig via internettet og ved brug af distribuerede og forbundne it-systemer lader en databehandler opbevare og behandle oplysninger, herunder personoplysninger. National Institute for Standards and Technology under Handelsministeriet i USA definerer i en publikation fra september 2011 cloud computing således: "[ ] a model for enabling ubiquitous convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction." Denne definition lægges til grund i det følgende. F.eks. udbydes software i en cloud-løsning som en service, der ikke skal installeres eller vedligeholdes på kundens egne systemer, men i stedet ligger hos leverandøren og tilgås via brugerens internetbrowser. Leverandøren vil placere

4 dataene, hvor dette til enhver tid er mest hensigtsmæssigt for leverandøren. I praksis kan dataene altså med mindre andet er aftalt placeres på og flyttes rundt mellem servere i hele verden. Side 4 af 34 Et eksempel på software leveret som en cloudservice er -tjenester som gmail og hotmail. Disse tjenester tilgås af brugeren via en internetbrowser. Ved brug af disse tjenester bliver data ikke gemt på brugerens egen computer, men på en server i det, der populært kaldes skyen (dvs. i et datacenter hos cloudleverandøren). Der udbydes også andre cloud-produkter som f.eks. regnekraft eller lagerkapacitet over internettet. For alle disse it-ydelser sker der normalt betaling baseret på det faktiske forbrug. Med cloud computing er infrastrukturen normalt tilgængelig for alle på markedsvilkår og er ejet af en kommerciel cloud computing-leverandør. Der findes også private skyer, hvor skyen drives for en enkelt organisation (offentlig eller privat). Her kan skyen være ejet af organisationen selv, og den er således ikke tilgængelig for alle på markedsvilkår. Fordelene ved cloud computing er for databehandleren bl.a., at databehandleren ikke skal anvende og vedligeholde eget hardware og software ud over it-udstyr med adgang til internettet. Forretningsmodellen for cloud computing er baseret på skalafordele og standardisering for at sikre produkternes rentabilitet. Udbyderen af cloud computing tilbyder således den samme standardydelse til alle sine kunder og kan derved holde sine omkostninger nede, hvilket afspejler sig i lave priser for kunderne. Den dataansvarlige kan opnå flere fordele ved at anvende cloud computing, herunder: Effektiviseringsgevinster. Cloud er ofte et konkurrencedygtigt alternativ, og hvor det passer ind i services og infrastruktur, kan der spares penge på drift og vedligehold af it, sammenlignet med udgifterne til, at en myndighed eller virksomhed selv opbygger og driver sit eget datacenter. Øget innovation og vækst. Cloud computing skaber helt nye perspektiver for vækst og innovation. Hvor omkostninger ved og adgang til itressourcer, såsom serverkapacitet, ofte er en stor barriere for opstart af nye projekter, kan cloud computing ofte gøre det hurtigere og billigere at komme i gang. Cloud computing adskiller sig fra traditionel outsourcing ved, at ekstern databehandling foregår over internettet, uden at det nødvendigvis er fastlagt på forhånd, hvor data skal eller kan placeres.

5 3. Sikkerhed i cloud computing Side 5 af 34 Sikkerhed omkring miljøer med cloud computing etableres grundlæggende på samme måde som ved traditionel it-drift, herunder gennem etablering af sikkerhedspolitikker, programmer for informationssikkerhed, klassificering af assets, personalesikkerhed, fysisk sikkerhed, adgangskontrol, andre logiske og tekniske kontroller, overvågning samt processer for sikker udvikling. Niveauet af sikkerhed må i praksis antages at variere fra leverandør til leverandør, ligesom det er tilfældet for traditionelle driftsleverandører. Derudover vil trusler og risici variere afhængig af, om man f.eks. benytter en standardiseret softwareløsning som et mail- eller dokumentprogram, eller om man benytter skyen til at drive (hoste) applikationer, som man selv har udviklet og derved selv er ansvarlig for at opbygge og vedligeholde, herunder i forhold til sikkerhed. Det er med andre ord af betydning, hvem der varetager det daglige sikkerhedsarbejde. Det bemærkes i forlængelse heraf, at en dataansvarlig myndighed altid er ansvarlig for, at behandling af oplysninger sker i overensstemmelse med de krav til behandling af personoplysninger, som følger af lovgivningen, også selvom behandlingen foretages af en privat databehandler. Ved en risikobaseret tilgang kan kunden konkret vurdere, om den enkelte løsning med cloud computing lever op til det sikkerhedsniveau, som aktuelt kræves. En dataansvarlig myndighed, der køber et cloud computing-produkt, bør i den forbindelse bl.a. sikre sig, at leverandøren har iværksat de fornødne sikkerhedsforanstaltninger til, at behandlingen af personoplysninger kan ske i overensstemmelse med lovgivningen. Det er herunder vigtigt, at leverandøren har indført de fornødne sikkerhedsprocedurer og kontrolforanstaltninger. Digitaliseringsstyrelsen har peget på, at der i datacentre under cloud computing anvendes teknologien virtualisering til at udnytte kapaciteten på serverne optimalt. I et virtualiseret datacenter skabes sikkerhed i højere grad af logiske kontrolforanstaltninger (såsom mekanismer til sikring mod tab af fortrolighed, integritet og tilgængelighed) frem for fysisk adskillelse. Logiske kontroller fungerer ifølge Digitaliseringsstyrelsen i princippet på samme måde som de mekanismer, der sørger for at én bankkundes data er logisk adskilte fra andre kunders data på bankernes servere, således at andre kunder i den samme bank ikke har mulighed for at tilgå disse oplysninger. Digitaliseringsstyrelsen har udarbejdet nedenstående model til illustration af, hvilke muligheder den dataansvarlige kan have for at kontrollere databehandleren.

6 Kontrol via revision. Revision foretages af akkrediterede revisorer (eks. SAS70). Side 6 af 34 Kontrol via logdata, autorisationer og andre sikkerhedsforanstaltninger. Revision: Fysisk inspektion på stedet. Sikkerhed (kontroller og procedurer) Fuldt virtualiseret cloud datacenter. Forskellige Kundedata kunders data - klart isolerede af teknikker og kontroller. (Virtualiseret A B cloud datacenter) C D Det er vigtigt, at skallen er hård nok til, at der ikke kan ske brud. Sletning af data. Det er Digitaliseringsstyrelsens vurdering, at det er teknisk muligt at opnå et sikkerhedsniveau i en løsning, hvor der anvendes cloud computing, der fuldt ud modsvarer det sikkerhedsniveau, der kan opnås hos traditionelle outsourcingleverandører, idet en leverandør af cloud computing principielt set kan indføre de samme kontroller i sine datacentre. Som modellen viser, er der ved brug af cloud computing flere muligheder for at føre kontrol med databehandleren. Der er imidlertid på en række punkter tvivl om forholdet mellem på den ene side løsninger med cloud computing og på den anden side persondatalovens (og persondatadirektivets) samt sikkerhedsbekendtgørelsens bestemmelser. Der henvises nærmere til afsnit 6 nedenfor. Det kan efter Digitaliseringsstyrelsens opfattelse anføres, at en dataansvarlig myndighed, der køber en cloud computing-løsning, kan opnå et beskyttelsesniveau, som lever op til kravene efter gældende ret ved bl.a. at: Søge dokumentation for, at kontroller er implementerede og effektive. Få adgang til den it-revision, som leverandøren har fået foretaget.

7 Føre kontrol ved inspektion af log-data. Indhente andre relevante oplysninger om iværksatte kontroller. Side 7 af 34 Selvom en løsning med cloud computing umiddelbart ikke på nogen væsentlig måde adskiller sig fra traditionelle it-hostingmiljøer, er der dog visse forskelle, man som kunde bør være opmærksom på. Det gælder særligt følgende: Deling af fysisk udstyr og infrastruktur. I løsninger med cloud computing deler mange kunder den samme infrastruktur. Det betyder, at det er vigtigt, at den dataansvarlige sikrer sig, at leverandører af cloud computing har implementeret de fornødne kontroller, så det sikres, at forskellige kunders data er klart isolerede, og at gældende ret overholdes. Det bemærkes dog, at deling af fysisk udstyr mellem flere kunder gennem anvendelse af virtualisering i høj grad er udbredt i moderne datacentre for traditionelle driftsleverandører, og at problemstillingen derfor ikke er særlig for cloud computing. Den fysiske kontrol er vanskeligere for en kunde hos en leverandør af cloud computing, fordi serverne er samlet i få meget store datacentre. I mange større cloud computing-løsninger vil data ofte befinde sig i datacentre i flere lande. Dette kan imidlertid efter omstændighederne også gøre sig gældende ved traditionel outsourcing. Ved cloud computing er der i praksis begrænset mulighed for individuel tilpasning af ydelse eller kontrakt. Dette skyldes, at leverandørerne tilbyder det samme standardprodukt til alle deres kunder med henblik på at opnå stordriftsfordele, som gør løsningen billig for kunden. Derfor bør kunden ved indgåelse af kontrakt være opmærksom på, om standardydelsen lever op til kundens sikkerhedskrav og gældende ret. 4. Gældende ret om behandling af personoplysninger mv Indledning Persondatadirektivet har overordnet bl.a. til formål at sikre den enkelte borgers integritet og privatliv ved, at der på fællesskabsniveau opstilles rammer for, hvornår behandling af personoplysninger kan finde sted. Persondatadirektivet er som nævnt under afsnit 1 gennemført i dansk ret med persondataloven. Persondataloven indeholder desuden bestemmelser, som ikke er en følge af direktivet, herunder bestemmelser, som viderefører gældende ret efter lov om offentlige myndigheders registre mv., som var gældende, før persondataloven trådte i kraft Anvendelsesområde Persondataloven finder bl.a. anvendelse på såvel offentlige som på private dataansvarliges behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og på ikke-elektronisk behandling af

8 personoplysninger, der er eller vil blive indeholdt i et register. Der henvises herved til lovens 1, stk. 1. Side 8 af 34 Ved personoplysninger forstås i persondatalovens forstand enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede), jf. 3, nr. 1. Udtrykket identificerbar person antages at dække enhver situation, hvor en person direkte eller indirekte kan identificeres ved hjælp af oplysningerne, uanset om dette for eksempel forudsætter kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer, og uanset at identifikationsoplysningen ikke er alment kendt eller umiddelbart tilgængelig. Oplysninger om enkeltmandsejede virksomheder er også omfattet af definitionen i persondatalovens 3, nr. 1. Endelig er oplysninger om juridiske personer, som kan henføres til fysiske personer f.eks. oplysninger om aktionærer eller andelshavere omfattet af bestemmelsen. Ved en behandling af en personoplysning forstås i persondataloven enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for, jf. 3, nr. 2. Dette omfatter bl.a. indsamling, registrering, opbevaring, brug og videregivelse af en oplysning. Det følger af det anførte, at persondataloven bl.a. gælder, når personoplysninger udveksles over internettet, herunder når en forvaltningsmyndighed f.eks. til brug for behandlingen af en konkret sag henter oplysninger fra myndighedens eget register, som drives i en løsning med cloud computing Tredjelande Persondataloven gælder ifølge lovens 4, stk. 1, for behandling af oplysninger, som udføres for en dataansvarlig, der er etableret i Danmark, hvis aktiviteterne finder sted inden for Det Europæiske Fællesskabs område. Loven gælder desuden efter 4, stk. 3, nr. 1, for en dataansvarlig, som er etableret i et tredjeland, hvis behandlingen af oplysninger sker under benyttelse af hjælpemidler, der befinder sig i Danmark, medmindre hjælpemidlerne kun benyttes med henblik på forsendelse af oplysninger gennem Det Europæiske Fællesskabs område. Loven gælder endvidere efter 4, stk. 3, nr. 2, for en dataansvarlig, som er etableret i et tredjeland, hvis indsamlingen af oplysninger i Danmark sker med henblik på behandling i et tredjeland. Det følger af persondatalovens 27, stk. 1, at der kun må overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau. Ved overførelse forstås bl.a. videregivelse af oplysninger til en databehandler. Ved tredjeland forstås ifølge persondatalovens 3, nr. 9, en stat, som ikke indgår i EU, og som ikke har gennemført aftaler, der er indgået med EU, og som indeholder regler svarende til persondatadirektivet. Bestemmelsens krav om, at tredjelandet skal sikre et tilstrækkeligt beskyttelsesniveau indebærer, at der ikke må ske overførelse, hvis det medfører en væsentlig forringelse af den beskyttelse af den registrerede, som persondataloven giver. I det pågældende tredjeland skal behandlingen i det væsentlige være undergivet en regulering som den, der følger af

9 persondataloven. Dette gælder både med hensyn til kravene til behandling af oplysninger, herunder reglerne om den registreredes rettigheder, og med hensyn til tilsyn, behandlingssikkerhed samt adgang til domstolskontrol af overholdelsen af reglerne mv. Datatilsynet fører på sin hjemmeside en fortegnelse over lande, der sikrer et tilstrækkeligt beskyttelsesniveau. Side 9 af 34 Det er i persondatalovens 27, stk. 3, fastsat, at der ud over de i stk. 1 nævnte tilfælde kan overføres oplysninger til et tredjeland i en række tilfælde. Det gælder herunder, hvis den registrerede har givet udtrykkeligt samtykke, hvis overførsel er nødvendig af hensyn til opfyldelsen af en aftale mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en sådan aftale, hvis overførsel er nødvendig af hensyn til indgåelsen eller udførelsen af en aftale, der i den registreredes interesse er indgået mellem den dataansvarlige og tredjemand, hvis overførsel er nødvendig eller følger af lov eller bestemmelser fastsat i henhold til lov for at beskytte en vigtig samfundsmæssig interesse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares, hvis overførsel er nødvendig for at beskytte den registreredes vitale interesser, eller hvis overførsel finder sted fra et register, der ifølge lov eller bestemmelser fastsat i henhold til lov er tilgængeligt for offentligheden eller for personer, der kan godtgøre at have en berettiget interesse heri, i det omfang de i lovgivningen fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde. Uden for de tilfælde, der er nævnt i 27, stk. 3, kan tilsynsmyndigheden ifølge 27, stk. 4, give tilladelse til, at der overføres oplysninger til tredjelande, som ikke opfylder stk. 1, såfremt den dataansvarlige yder tilstrækkelige garantier for beskyttelse af de registreredes rettigheder. Der kan fastsættes nærmere vilkår for overførslen. Tilsynsmyndigheden underretter Europa-Kommissionen og de øvrige medlemsstater om tilladelser meddelt i henhold til denne bestemmelse. Tilstrækkelige garantier i bestemmelsens forstand vil navnlig foreligge, hvis kontraktbestemmelser indebærer, at det beskyttelsesniveau, som loven tilsigter at sikre, ikke forringes væsentligt. Kontraktbestemmelser, som udarbejdes på baggrund af Kommissionens standardkontrakter vil altid opfylde kravet. Kravet kan imidlertid ifølge Datatilsynets praksis også baseres på virksomhedens egne bindende virksomhedsregler (Binding Corporate Rules). Det følger af persondatalovens 27, stk. 5, at persondataloven (herunder lovens behandlingsregler, jf. afsnit 4.4 nedenfor) i øvrigt finder anvendelse ved overførsel af oplysninger til tredjelande efter 27, stk. 1, 3 eller 4. Bestemmelsen i 27 har sin baggrund i persondatadirektivets artikel 25 og 26. Det må efter arbejdsgruppens opfattelse antages, at hvis personoplysninger som led i behandlingen under en løsning med cloud computing flyttes til en server, som fysisk er placeret i en stat, som ikke indgår i EU, og som ikke har gennemført aftaler, der er indgået med EU, der indeholder regler svarende til persondatadirektivet, vil der foreligge en videregivelse af personoplysninger til

10 tredjeland. Det samme er tilfældet, hvis backup af data eller standby-beredskab, der f.eks. benyttes ved driftsproblemer i det eller de primære datacentre eller ved kapacitetsknaphed, sker i et tredjeland. Side 10 af 34 For så vidt angår løsninger med cloud computing må den danske dataansvarlige via aftalen med udbyderen fastlægge, hvor databehandling kan foregå. Hvis datahandling helt eller delvist vil kunne ske i et tredjeland, må den dataansvarlige via aftalen med udbyderen sikre sig, at der kun sker tredjelandsoverførsel i det omfang, reglerne i persondatalovens 27 er opfyldt. Dette kan f.eks. være ved, at det aftales, at der kun sker behandling hos virksomheder i USA omfattet af den såkaldte Safe Harbour-ordning, eller ved brug af Kommissionens standardkontrakt for overførsel til databehandlere i tredjelande (jf. Kommissionens afgørelse af om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF) 1. Opfyldelse af persondatalovens 27 ved brug af Safe Harbour-ordningen fritager ikke den dataansvarlige fra at indgå databehandleraftaler efter persondatalovens 42 og sikkerhedsbekendtgørelsens 7, stk Hvis udbyderen af ydelsen med cloud computing (databehandleren) benytter underleverandører (underdatabehandlere), skal persondatalovens 27 også være iagttaget i forhold til overførslen af oplysninger til disse. Underdatabehandlerne kan f.eks. ligeledes være amerikanske firmaer omfattet af Safe Harbour-ordningen. Hvis man baserer sig på Safe Harbour-ordningen som grundlag for tredjelandsoverførslen, er der ikke krav om tilladelse fra Datatilsynet efter persondatalovens 27. (Private virksomheder skal imidlertid have tilladelse fra tilsynet efter lovens 50, hvis de overfører følsomme personoplysninger.) Hvis behandling af personoplysninger i et tredjeland ikke udelukkende vil ske hos virksomheder i USA omfattet af Safe Harbour-ordningen, er der brug for et andet grundlag for tredjelandsoverførslen. I praksis vil der være behov for indgåelse af en kontrakt svarende til Kommissionens standardkontrakt for overførsel til databehandlere i tredjelande. Efter den gældende regel i persondatalovens 27, stk. 4, skal der i alle tilfælde, hvor tredjelandsoverførslen baseres på Kommissionens standardkontrakt, indhentes tilladelse fra Datatilsynet Jf. U.S.-EU Safe Harbor Privacy Principles, Frequently Asked Questions (FAQs) pkt. 10:

11 Tilladelseskravet efter persondatalovens 27, stk. 4, gælder for overførsler af såvel følsomme som ikke følsomme personoplysninger og for såvel offentlige myndigheder som private virksomheder mv. Side 11 af Behandlingsregler Persondatalovens kapitel 4 ( 5-14), der i det væsentlige svarer til persondatadirektivets artikel 6-8, stiller nærmere krav til behandlingen af personoplysninger omfattet af loven, herunder til behandling af personoplysninger i løsninger med cloud computing. I persondatalovens 5 der må antages at svare til, hvad der følger af de forvaltningsretlige grundsætninger om saglighed og proportionalitet for almindelig forvaltningsvirksomhed er der fastsat nogle grundlæggende principper for behandling af oplysninger efter persondataloven. I 5 er det bl.a. fastsat, at enhver behandling skal være i overensstemmelse med god databehandlingsskik, hvorved i praksis navnlig forstås, at behandlingen skal være rimelig og lovlig. Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling af oplysningerne må ikke være uforenelig med disse formål. Behandlingen skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne, og der skal foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges. Endelig må de indsamlede oplysninger ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Behandling af følsomme personoplysninger er reguleret i persondatalovens 7 om oplysninger, der ifølge persondatadirektivet angår særligt følsomme forhold (oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold samt oplysninger om helbredsmæssige og seksuelle forhold), og i 8 om oplysninger om rent private forhold, som efter den danske persondatalov også skal anses for følsomme personoplysninger (oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end dem, der er nævnt i 7). Behandling af oplysninger af den omhandlede karakter må alene finde sted inden for rammerne af de (snævre) undtagelser, der findes i 7 og 8. Persondatalovens 6, stk. 1, fastsætter krav til behandlingen af ikke-fortrolige oplysninger og almindeligt fortrolige personoplysninger (det vil sige personoplysninger, der må betragtes som fortrolige uden at være følsomme og dermed omfattet af persondatalovens 7 eller 8). Hertil kommer, at der kan være tale om en særlig form for behandling af oplysninger, som falder ind under de særlige bestemmelser i persondatalovens 9-13.

12 4.5. Rettigheder til den registrerede Persondatalovens kapitel 8-10 ( 28-40) indeholder en række rettigheder for personer, som der hos offentlige myndigheder mv. er registreret oplysninger om. Det drejer sig bl.a. om oplysningspligt over for den registrerede, den registreredes indsigtsret og den registreredes ret til at gøre indsigelse mod behandlingen af personoplysninger. Side 12 af 34 Det er desuden i 37, stk. 1, fastsat, at den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person anmoder herom. I 37, stk. 2, er det endvidere fastsat, at den dataansvarlige skal underrette den tredjemand, hvortil oplysningerne er videregivet, om, at de videregivne oplysninger er berigtiget, slettet eller blokeret i henhold til stk. 1, hvis en registreret person anmoder herom. Dette gælder dog ikke, hvis underretningen viser sig umulig eller er uforholdsmæssigt vanskelig. Med persondatalovens 37 implementeres persondatadirektivets artikel 12, litra b og c Behandlingssikkerhed mv Behandlingssikkerhed Persondatalovens kapitel 11 ( 41-42) indeholder regler om behandlingssikkerhed. De pågældende bestemmelser har følgende ordlyd: 41. Personer, virksomheder m.v., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, må kun behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov. Stk. 2. Den i stk. 1 nævnte instruks må ikke begrænse den journalistiske frihed eller være til hinder for tilvejebringelsen af et kunstnerisk eller litterært produkt. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger. 42. Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Stk. 2. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. Persondatalovens 41 og 42 udspringer i det væsentlige af persondatadirektivets artikel 16 og 17.

13 Nærmere om krigsreglen Den såkaldte krigsregel i 41, stk. 4, følger ikke af direktivet, men svarer til, hvad der fulgte af 12, stk. 3, i lov om offentlige myndigheders registre. Bestemmelsen i 41, stk. 4, indebærer, at der lovligt vil kunne træffes beslutning om destruktion af de omfattede registre, når betingelserne i bestemmelsen er opfyldt. Side 13 af 34 Bestemmelsen omfatter behandlinger af oplysninger, som en besættelsesmagt vil have særlig interesse i, bl.a. for derved hurtigt og effektivt at kunne overtage den almindelige administration. Det antages, at bestemmelsen navnlig omfatter de større landsdækkende systemer som f.eks. Det Centrale Kriminalregister. Ifølge forarbejderne til bestemmelsen er også centrale skattesystemer samt visse specialregistre, som kan benyttes til at finde frem til bestemte personer, som en fremmed magt f.eks. på grund af den pågældendes særlige uddannelse ønsker at disponere over. 41, stk. 4, indebærer ikke, at oplysninger i registrene nødvendigvis skal bortskaffes eller destrueres i tilfælde af krig mv. Bestemmelsen sikrer ifølge dens forarbejder blot, at der lovligt vil kunne træffes beslutning om destruktion mv., hvis det skulle vise sig nødvendigt. Det påhviler ifølge forarbejder den dataansvarlige at træffe de foranstaltninger, som muliggør destruktion mv. Som en konsekvens af bestemmelsen i 41, stk. 4, vil de omfattede registre ikke kunne føres uden for Danmarks grænser. Dette har været en forudsætning i forbindelse med Folketingets behandling af forslag til persondataloven, jf. herved bl.a. Justitsministeriets samlede besvarelse af spørgsmål nr. 25, 27, 64 og 69 vedrørende lovforslag L 44 (FT ), der svarer til lovforslag L 429 (FT ), som førte til vedtagelsen af persondataloven. De nævnte spørgsmål angik bl.a., om ministeren havde overvejet at indsætte en bestemmelse om, at særligt følsomme registre, f.eks. kriminalregistret, skal føres af en offentlig myndighed og fysisk skal føres i Danmark. I Justitsministeriets besvarelse af de fire spørgsmål er der bl.a. anført følgende: Lovforslaget bygger på den ordning, at en dataansvarlig myndighed selv afgør, om det bør overlades til en databehandler (edb-servicebureau) at behandle personoplysninger, herunder personfølsomme oplysninger på myndighedens vegne. Hvis den dataansvarlige myndighed beslutter, at behandlingen af personoplysninger skal foretages af et edb-servicebureau, vil det pågældende edb-servicebureau som udgangspunkt kunne lade opgaven udføre i et andet EU-land. Det gælder dog ikke, hvis behandlingen f.eks. vedrører oplysninger af særlig interesse for fremmede magter, og hvis der såfremt behandlingen finder sted i et andet EU-land ikke kan træffes foranstaltninger, der gør det muligt at bortskaffe eller tilintetgøre oplysningerne i tilfælde af krig eller lignende forhold, jf. lovforslagets 41, stk. 2 [som svarer til den gældende bestemmelse i 41, stk. 4]. Bestemmelsen i lovforslagets 41, stk. 2 [ 41, stk. 4] indebærer efter Justitsministeriets opfattelse, at det Centrale Kriminalregister ikke må føres i udlandet. [ ]

14 På den baggrund findes Justitsministeriet ikke, at der er grund til at indsætte en udtrykkelig bestemmelse i lovforslaget om, at visse følsomme registre ikke må føres i udlandet Side 14 af 34 Hvis en udførelse af en behandling ved en databehandler, der er etableret i et andet land, indebærer, at dette ikke kan iagttages, vil behandlingen ikke kunne overlades til den pågældende. Det anførte gælder også, hvis databehandleren er placeret i et andet EU-land. Arbejdsgruppen har i den forbindelse overvejet, om bestemmelsen kunne udgøre et EU-retligt problem i forhold til den fri bevægelighed af cloud computingydelser, jf. princippet om fri bevægelighed for tjenesteydelser (EUF-Traktatens artikel 56, stk. 1.). Det er arbejdsgruppens vurdering, at bestemmelsen ikke strider mod EU-retten. Det bemærkes, at CPR-registeret også er et af de registre, som vil være omfattet af persondatalovens 41, stk. 4. Det er imidlertid desuden i 55 i Lov om Det Centrale Personregister (CPR-loven), jf. lovbekendtgørelse nr. 878 af 14. september 2009, udtrykkeligt fastsat, at Indenrigsministeriet træffer foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse af CPR-registeret i tilfælde af krig eller lignende forhold. Bestemmelsen blev indsat i CPR-loven ved lov nr. 426 af 31. maj 2000 om Det Centrale Personregister og fandtes ikke i den tidligere gældende lov om folkeregistrering Relevante bestemmelser i sikkerhedsbekendtgørelsen Med hjemmel i persondatalovens 41, stk. 5, har Justitsministeriet udstedt bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001 (sikkerhedsbekendtgørelsen). Bekendtgørelsen indeholder bl.a. følgende bestemmelser: 3. Den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Stk. 2. For personoplysninger, som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. [ ] 7. Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. Stk. 2. Hvis behandling af personoplysninger finder sted på en pc-arbejdsplads uden for den dataansvarlige myndigheds lokaliteter, skal myndigheden fastsætte særlige retningslinier herfor, således at det sikres, at bestemmelserne om sikkerhedsforanstaltninger iagttages. 8. På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne.

15 Side 15 af 34 [ ] 11. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles. Stk. 2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Stk. 3. Der må endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. 12. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til. [ ] 14. Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. [ ] 17 Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne i 11, stk. 2 og 3, og 16. Stk. 2. Kontrol heraf skal foretages mindst en gang hvert halve år. [ ] 18. Der skal foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Der skal løbende ske opfølgning i myndigheden. [ ] 19. Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse for personoplysninger, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for en af den dataansvarlige myndighed nærmere fastsat kortere frist. Stk. 3. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis behandlingen af personoplysninger udelukkende sker ved afvikling af programmer, som foretager en forud defineret massebehandling af personoplysninger (»batch»-kørsler). Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen. Stk. 4. Bestemmelsen i stk. 1 finder endvidere ikke anvendelse, hvis behandlingen af personoplysningerne udelukkende sker med henblik på statistiske eller videnskabelige undersøgelser, og identifikationsoplysningerne forinden enten er krypteret eller erstattet med et kodenummer eller lignende. Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen. Stk. 5. Bestemmelsen i stk. 1 finder endelig ikke anvendelse for personoplysninger, som i form af måle- eller analyseresultater automatisk lagres i medicoteknisk udstyr. Undtagelsen omfatter tillige personoplysninger, som manuelt registreres i medicoteknisk udstyr til supplering af automatisk lagrede oplysninger. Datatilsynet har udstedt vejledning nr. 37 af 2. april 2001, som omhandler sikkerhedsbekendtgørelsen.

16 4.7. Tilsyn Persondatadirektivets artikel 28, stk. 1, stiller krav om, at hver medlemsstat skal oprette en eller flere offentlige myndigheder, som skal påse overholdelsen af de nationale regler, der gennemfører direktivet, og at disse myndigheder udøver deres funktioner i fuld uafhængighed. Artikel 28, stk. 2-7, indeholder forskellige regler og krav vedrørende tilsynsmyndighedens opgaver, beføjelser og pligter. Side 16 af 34 Persondatalovens kapitel 16 ( 55-66) indeholder på denne baggrund regler om tilsyn ved Datatilsynet. Datatilsynet er således den centrale uafhængige statslige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes i Danmark, jf. persondatalovens 55. I forhold til domstolene ligger kompetencen dog hos Domstolsstyrelsen, jf. 67, stk. 1. Det fremgår af persondataloven, at Datatilsynet består af et råd og et sekretariat, der ledes af en direktør. Det pågældende råd benævnt Datarådet består af en formand, der skal være dommer, og yderligere 6 medlemmer. Datatilsynet udøver sine funktioner i fuld uafhængighed, jf. persondatalovens 56. Datatilsynet har en finanslovsmæssig og personalemæssig tilknytning til Justitsministeriet, men er funktionelt uafhængigt. Justitsministeriet eller andre myndigheder har således ingen instruktionsbeføjelser over for Datatilsynet. Datatilsynet er tillagt en række beføjelser i forbindelse med udøvelsen af sit tilsyn. Datatilsynet kan herunder kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser, jf. persondatalovens 62, stk. 1. Tilsynets medlemmer og personale har desuden til enhver tid mod behørig legitimation uden retskendelse adgang til alle lokaler, hvorfra en behandling, som foretages for den offentlige forvaltning, administreres, eller hvorfra der er adgang til de oplysninger, som behandles, samt til lokaler, hvor oplysningerne eller tekniske hjælpemidler opbevares eller anvendes, jf. 62, stk EU-retlige initiativer Datatilsynet og Digitaliseringsstyrelsen har oplyst, at der i forhold til anvendelse af cloud computing i andre EU-lande (hvor anvendelsen også skal ske inden for rammerne af persondatadirektivet) findes eksempler fra Sverige og Norge, hvor myndigheder har taget cloud computing-tjenester i brug. Datatilsynene i de to lande har ikke foretaget endelige vurderinger af, om anvendelsen af de pågældende tjenester lever op til gældende regler. I Sverige har en kommune taget en online kontorpakke i brug med , kalender og dokumenthåndtering. Det svenske datatilsyn har indtil videre udtalt, at brugen af denne kontorpakke ikke lever op til gældende regler, og at det særligt er den kontrakt, som kommunen har indgået med tjenesteyderen, der er mangelfuld. 3 Tilsynet har bedt kommunen om at rette op på en række forhold, som beskrives i udtalelsen. Kommunen har efter 3 Datainspektionens udtalelse af 28. september 2011:

17 arbejdsgruppens oplysninger endnu ikke adresseret disse forhold overfor det svenske datatilsyn. Side 17 af 34 Det bemærkes, at der i EU er igangsat et arbejde med en revision af fællesskabsrettens persondataregler. Europa-Kommissionen har således den 25. januar 2012 fremlagt to forslag om nye regler om databeskyttelse i EU. Det ene forslag er et forordningsforslag, der tilsigter generelt at regulere behandlingen af personoplysninger i den private og offentlige sektor. Dette forslag har til formål at afløse det gældende persondatadirektiv fra 1995, der er gennemført i dansk ret ved persondataloven. Det andet forslag er et direktivforslag, der tilsigter at regulere den behandling af personoplysninger, som finder sted hos medlemsstaternes politi og anklagemyndigheder. Dette forslag har til formål at afløse en rammeafgørelse fra 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager. Det må antages, at den endelige forordning, som måtte blive vedtaget på baggrund af det nævnte forslag, vil indeholde elementer, som vil have betydning for muligheden for at etablere løsninger med cloud computing. Spørgsmål vedrørende cloud computing er således også udførligt adresseret i Kommissionens arbejdspapirer vedrørende forslaget til en ny forordning. I et såkaldt fact sheet til brug for præsentationen af forslaget har kommissionen anført følgende: In particular, cloud computing where individuals access computer resources remotely, rather than owning them locally poses new challenges for data protection authorities, as data can and does move from one jurisdiction to another, including outside the EU, in an instant. In order to ensure a continuity of data protection, the rules need to be brought in line with technological developments. Når en sådan forordning måtte blive vedtaget, vil det samme regelsæt desuden gælde fuldt ud i hele EU, hvilket må antages at indebære, at det vil blive attraktivt for udbydere af løsninger med cloud computing at udforme standardkontrakter, som opfylder forordningens krav, og dermed gøre det billigere for danske myndigheder mv. at finde udbydere af løsninger med cloud computing, som ligger inden for rammerne af gældende ret. Det må imidlertid forventes, at der vil gå adskillige år, før forhandlingerne om forordningsforslaget er afsluttet, og nye regler kan træde i kraft. Der er derfor fortsat behov for at overveje, om der i den mellemliggende periode bør ske en ændring af de nationale regler, som vurderes unødigt at vanskeliggøre anvendelsen af cloud computing. Derudover har Kommissionen som led i arbejdet med en digital dagsorden afholdt en høring om, hvordan man bedst udnytter cloud computing i Europa. Resultaterne af høringen skal bidrage til en egentlig EU-strategi for cloud

18 computing, som Kommissionen vil fremlægge i Målet for strategien er bl.a. at skabe klare retlige vilkår for udbredelse af cloud computing i Europa. Side 18 af 34 Den såkaldte artikel 29-gruppe ses i denne forbindelse ikke at have behandlet spørgsmålet om datasikkerhed ved cloud computing særskilt, men har i en pressemeddelelse af 20. oktober i forbindelse med revisionen af persondatadirektivet understreget, at en ensartet anvendelse af databeskyttelsesreglerne i Europa kun kan sikres ved en ensartet regulering af området Datatilsynets udtalelse af 3. februar 2011 Datatilsynet har efter forelæggelse for Datarådet den 3. februar 2011 afgivet en foreløbig udtalelse om en kommunes anvendelse af en løsning med cloud computing. Der var tale om anvendelse af en online kontorpakke med kalender og dokumenthåndtering for kommunens lærere bl.a. til at registrere oplysninger om planlægning og evaluering af undervisningen og de enkelte elevers faglige udvikling. Desuden skulle lærerne gøre notater om klassers og elevers samarbejde og udarbejde skrivelser til forældre mv. Datatilsynet rejser i den foreløbige udtalelse en række spørgsmål i forhold til, om anvendelsen af den omhandlede løsning er i overensstemmelse med persondataloven og sikkerhedsbekendtgørelsen. Datatilsynet tilkendegiver i udtalelsen, at tilsynet gerne modtager sagen til fornyet udtalelse. Sagen beror på, at kommunen vender tilbage til Datatilsynet med en fornyet anmeldelse. Nedenfor under afsnit 6 redegøres der bl.a. på baggrund af Datatilsynets foreløbige udtalelse i den nævnte sag nærmere for arbejdsgruppens vurdering af love og regler, der vanskeliggør brugen af cloud computing. 5. Regnskabs- og bogføringsloven Det følger af bogføringsloven og regnskabsloven, at regnskabsmateriale fra private virksomheder og offentlige myndigheder skal opbevares på betryggende vis i 5 år fra udgangen af det regnskabsår, materialet vedrører. Dette indebærer efter reglerne bl.a., at regnskabsmateriale som udgangspunkt skal opbevares i Danmark, jf. bogføringslovens 12 og regnskabsbekendtgørelsens 45. Udgangspunktet efter de nævnte bestemmelser er, at alt regnskabsmateriale skal opbevares i Danmark eller de nordiske lande. Der er imidlertid ikke noget til hinder for at opbevare regnskabsmaterialet i udlandet, såfremt der som minimum 4

19 hver måned downloades eller tages en fysisk kopi af al materialet, som placeres på en server i Danmark eller placeres i Danmark i papirbaseret form. Side 19 af 34 Hensigten med reglerne er blandt andet at sikre, at de relevante kontrolmyndigheder altid kan få adgang til regnskabsmaterialet. På baggrund af det anførte er det arbejdsgruppens vurdering, at reglerne ikke kan siges unødigt at vanskeliggøre cloud computing, fordi det efter reglerne er tilladt, at opbevare regnskabsmateriale i udlandet. 6. Arbejdsgruppens vurdering af love og regler der vanskeliggør brugen af cloud computing 6.1. Indledning I afsnit redegøres der for en række regler, der efter arbejdsgruppens umiddelbare opfattelse vanskeliggør brugen af cloud computing. Det vurderes i den forbindelse, om de pågældende regler eventuelt er unødige i forhold til cloud computing. Hvor dette vurderes at være tilfældet, overvejes det, hvordan de pågældende regler kan tilpasses løsninger med cloud computing. I lyset af Datatilsynets særlige uafhængighed, jf. afsnit 4.7 ovenfor, har arbejdsgruppen dog fundet det rigtigst, at Datatilsynets medlem af arbejdsgruppen ikke medvirker til at fremkomme med indstillinger til eventuelle ændringer af gældende ret. Det bemærkes, at der er visse regler i dansk ret, som kan siges at vanskeliggøre anvendelsen af cloud computing, men som følger af persondatadirektivet, jf. afsnit 4 ovenfor. Eventuelle barrierer, der følger af sådan direktivbestemte regler, kan ikke betegnes som unødige og vil ikke blive behandlet i det følgende. I forhold til de danske regler, som følger af direktivet, er det arbejdsgruppens overordnede indstilling, at Danmark bør afvente de initiativer i EU, der er omtalt under afsnit 4.8 ovenfor. Arbejdsgruppen finder det i den forbindelse hensigtsmæssigt, hvis der ved udformningen af den ny persondataregulering så vidt muligt tages højde for, at det i praksis bliver muligt at anvende løsninger med cloud computing i videre omfang end i dag. Det bemærkes desuden, at en vurdering af bl.a. persondatalovens regler om retten til indsigt og retten til sletning, jf. afsnit 4.5 ovenfor, efter arbejdsgruppens opfattelse bør afvente afslutningen af den sag, der som nævnt under afsnit 4.9 for tiden verserer hos Datatilsynet. Da der i øvrigt er tale om regler, der følger af persondatadirektivet, der således som nævnt umiddelbart overfor ikke kan karakteriseres som unødige, finder arbejdsgruppen, at spørgsmål om forholdet til disse regler i forbindelse med cloud computing må håndteres i aftalen mellem den

20 dataansvarlige myndighed og leverandøren af en ordning med cloud computing. Disse regler omtales således ikke yderligere i det følgende. Side 20 af 34 Ligeledes er det arbejdsgruppens opfattelse, at kravene i persondatalovens 27 om overførelse af oplysninger til et tredjeland, jf. afsnit 4.3 ovenfor, efter gældende ret må håndteres på baggrund af en aftale (f.eks. Kommissionens standardkontrakt) med databehandleren, ved brug af Safe harbour-ordningen eller ved, at der alene sker overførsel til tredjelande, der sikrer et tilstrækkeligt beskyttelsesniveau. Disse regler omtales således heller ikke yderligere i det følgende. Endelig bemærker arbejdsgruppen særskilt, at det er den dataansvarlige myndigheds ansvar, at følsomme personoplysninger omfattet af persondatalovens 7 og 8, jf. afsnit 4.4 ovenfor, håndteres i overensstemmelse med de regler, der gælder herfor, også når behandlingen sker for den dataansvarlige i en løsning med cloud computing. Disse regler er også berørt i den udtalelse fra Datatilsynet, der er omtalt under afsnit 4.8. Arbejdsgruppen har på denne baggrund heller ikke fundet anledning til i øvrigt at omtale disse regler nærmere. I de følgende afsnit behandles de regler, som arbejdsgruppen har vurderet udgør en unødig barriere for brugen af cloud computing, og som ikke følger direkte af direktivet og derfor kan ændres i dansk ret Kontrol med autorisationer Beskrivelse af reglen Det følger af sikkerhedsbekendtgørelsens 17, stk. 2, at det mindst en gang hvert halve år skal sikres, at personer, der er autoriserede til at behandle persondata, fortsat opfylder betingelserne for den opnåede autorisation, jf. afsnit 4.6 ovenfor. Hensigten med bestemmelsen er at tilvejebringe sikkerhed i dataopbevaring og databehandling, konkret ved f.eks. at sikre, at der ikke er udstedte autorisationer, som ikke anvendes, og som derfor bør inddrages, jf. Datatilsynets vejledning til sikkerhedsbekendtgørelsen Udfordring Arbejdsgruppen er bekendt med, at sikkerhedsbekendtgørelsen kan stille højere krav til kontrol med autorisationer (stille krav om hyppigere kontrol) end de interne sikkerhedsprocedurer fastsat hos en leverandør af en ydelse med cloud computing. En sådan leverandør må antages ofte at have fastlagt faste interne sikkerhedsprocedurer baseret på deres forretningsmodel med en høj grad af standardisering. Kravene i lovgivningen til intervallerne for sådanne kontroller kan imidlertid ofte variere fra land til land, hvilket gør det vanskeligt for cloud-

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland Lovafdelingen Dato: Kontor: Databeskyttelseskontoret Sagsbeh: André Dybdal Pape/ Marcus Nymand Sagsnr.: 2016-766-0019 Dok.: 2104838 Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse

Læs mere

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Side 1 af 8 Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Kapitel 1 Lovens område 1. Stk. 7. Loven gælder for enhver form for behandling af personoplysninger i forbindelse

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] !"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Uddrag af lov om behandling af personoplysninger

Uddrag af lov om behandling af personoplysninger Myndighed: Justitsministeriet Udskriftsdato: 7. oktober 2016 (Gældende) Uddrag af lov om behandling af personoplysninger 1-4. (Udelades) Afsnit II Behandlingsregler Kapitel 4 Behandling af oplysninger

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

Uddrag af persondataloven

Uddrag af persondataloven Uddrag af persondataloven Behandling af oplysninger 5. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

Europaudvalget 2012 KOM (2012) 0011 Bilag 18 Offentligt

Europaudvalget 2012 KOM (2012) 0011 Bilag 18 Offentligt Europaudvalget 2012 KOM (2012) 0011 Bilag 18 Offentligt Folketinget Grønlandsudvalget Christiansborg 1240 København K Lovafdelingen Dato: 21. marts 2016 Kontor: Databeskyttelseskontoret Sagsbeh: André

Læs mere

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)

Læs mere

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk Brevdato: 23. maj 2006 Modtager: Scandinavian Airlines Danmark (SAS) J.nr. 2006-219-0370 Stikord: Fingeraftryk, personoplysninger, saglighed og proportionalitet, alternativ løsning, oplysningspligt, datasikkerhed.

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Privat virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger om rent private forhold der foreta- ges for en privat dataansvarlig. Felter markeret

Læs mere

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. om [Indsæt navn på aftale] Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]

Læs mere

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Customer Managed Hvorfor vælger man som kunde Cloud? Customer Customer No cloud (On-Premise)

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Stillingsbesættende virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere

Dansk Supermarked Administration A/S CVR-nr Bjødstrupvej 18, Holme 8270 Højbjerg

Dansk Supermarked Administration A/S CVR-nr Bjødstrupvej 18, Holme 8270 Højbjerg Dansk Supermarked Administration A/S CVR-nr. 89-49-29-12 Bjødstrupvej 18, Holme 8270 Højbjerg 3. juni 2002 Vedrørende tv-overvågning Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Sikkerhedsregler for Kalundborg Kommune

Sikkerhedsregler for Kalundborg Kommune Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Advarselsregister Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at advare andre

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

Journalisering af samlede svar førte til behandling af personoplysninger i strid med persondataloven.

Journalisering af samlede svar førte til behandling af personoplysninger i strid med persondataloven. 2015-32 Journalisering af samlede svar førte til behandling af personoplysninger i strid med persondataloven. Kommune burde derfor have adskilt sine svar 15. juni 2015 En mand havde en omfattende korrespondance

Læs mere

Vejledning om informationssikkerhed

Vejledning om informationssikkerhed Vejledning om informationssikkerhed Birgitte Drewes, afdelingschef, Sundhedsdatastyrelsen Marchen Lyngby, fuldmægtig, Sundhedsdatastyrelsen Vejledningen kan downloades her: http://sundhedsdatastyrelsen.dk/da/rammer-og-retningslinjer/om-informationssikkerhed

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes, Rammer og vilkår for brug af data 25. oktober 2016 Afdelingschef Birgitte Drewes, bidr@sundhedsdata.dk Lovgivning - sundhedsdata Sundhedsloven Persondataloven I sundhedsloven fastlægges reglerne for indhentning/videregivelse

Læs mere

Jura og brug af testdata med personoplysninger

Jura og brug af testdata med personoplysninger 12. september 2016 Jura og brug af testdata med personoplysninger KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 1/10 Indholdsfortegnelse 1.

Læs mere

Rigsarkivets konference 2. november 2016

Rigsarkivets konference 2. november 2016 Pligten til at huske retten til at blive glemt Rigsarkivets konference 2. november 2016 Birgit Kleis, kommitteret i Datatilsynet Persondatabeskyttelse: afvejning af hensyn Privatlivets fred Informations-

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Lov om behandling af personoplysninger 1)

Lov om behandling af personoplysninger 1) Lov om behandling af personoplysninger 1) VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt: Folketinget har vedtaget og Vi ved Vort samtykke stadfæstet følgende lov: Afsnit I Indledende

Læs mere

(Fremtidens) Regulering af cloud computing

(Fremtidens) Regulering af cloud computing (Fremtidens) Regulering af cloud computing Dansk Automationsselskab 2012 Jacob Voetmann Kont. for it-arkitektur og standardisering Digitaliseringsstyrelsen javoe@digst.dk Digitaliseringsstyrelsen og cloud

Læs mere

Bilag 11 - Databehandleraftale

Bilag 11 - Databehandleraftale Bilag 11 - Databehandleraftale [Vejledning til tilbudsgiver: Bilaget skal ikke udfyldes af tilbudsgiver. Bilaget er i sin helhed at betragte som et mindstekrav (MK), jf. udbudsbetingelsernes punkt 3.2.3.2

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) Databehandleraftale mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) og Hedensted Kommune Horsens Kommune Odder Kommune Niels Espes Vej 8 Rådhustorvet 4 Rådhusgade

Læs mere

Incest, samleje eller anden kønslig omgang med børn under 15 år

Incest, samleje eller anden kønslig omgang med børn under 15 år [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]!"#!"$! % &&&$!"$! Du har fra Rigspolitiet modtaget en positiv børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

Loven indebærer ændringer i både persondataloven 4 og tv-overvågningsloven

Loven indebærer ændringer i både persondataloven 4 og tv-overvågningsloven Til samtlige kommuner, regioner og ministerier (underliggende myndigheder og institutioner bedes venligst orienteret) 28. juni 2007 Orientering til offentlige myndigheder om de nye regler i persondataloven

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Kreditoplysning Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig videregivelse

Læs mere

Persondataforordningen. Henrik Aslund Pedersen Partner

Persondataforordningen. Henrik Aslund Pedersen Partner www.pwc.dk Persondataforordningen Morgenmøde Henrik Aslund Pedersen Partner Revision. Skat. Rådgivning. Hvorfor en ny Persondataforordning? EU persondataforordning - Morgenmøde Hillerød 2 Hvorfor en ny

Læs mere

om L 72 Forslag til lov om kommunale borgerservicecentre

om L 72 Forslag til lov om kommunale borgerservicecentre Kommunaludvalget, Retsudvalget L 72 - Bilag 2,REU alm. del - Bilag 60 Offentlig Folketingets Administration Lovsekretariatet 15. marts 2005 J.nr. 17 OMTRYKT (15/3 2005) (rettelse af eksempel markeret med

Læs mere

PERSONDATALOVEN OG SUNDHEDSLOVEN

PERSONDATALOVEN OG SUNDHEDSLOVEN KIROPRAKTIK 2014 PERSONDATALOVEN OG SUNDHEDSLOVEN Kort om Persondataloven og Sundhedsloven Sundhedsloven 'Hovedloven' på området Relevant i ft. oplysninger er særligt:» Tavshedspligt, indhentelse og videregivelse

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen ) 25. november 2016 Versionshistorik Versionsnr. Dato Beskrivelse 0.8 25.11.2016 Høringsudkast til kombit.dk DATABEHANDLERAFTALE Mellem [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen

Læs mere

IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø. jahs@itst.dk

IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø. jahs@itst.dk IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø Sendt til: hvs@itst.dk og jahs@itst.dk 17. marts 2011 Vedrørende høring over udkast til bekendtgørelse om krav til information og samtykke ved lagring

Læs mere

Datatilsynet har besluttet at undersøge sagen af egen drift.

Datatilsynet har besluttet at undersøge sagen af egen drift. KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet

Læs mere

Persondataloven - regler og praksis for god databehandlingsskik. Forskning med personoplysninger

Persondataloven - regler og praksis for god databehandlingsskik. Forskning med personoplysninger Artikel til METODE & DATA november 2008 Persondataloven - regler og praksis for god databehandlingsskik Forskning med personoplysninger Specialkonsulent, mag. art. Camilla Daasnes, Datatilsynet Artiklen

Læs mere

Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste.

Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste. Blankettype: Spærreliste Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste.

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Udkast. til. anordning om ikrafttræden for rigsmyndighederne på Færøerne af lov om behandling af personoplysninger

Udkast. til. anordning om ikrafttræden for rigsmyndighederne på Færøerne af lov om behandling af personoplysninger Skjal 1. Udkast anordning om ikrafttræden for rigsmyndighederne på Færøerne af lov om behandling af personoplysninger til I medfør af 83 i lov nr. 429 af 31. mai 2000 om behandling af personoplysninger

Læs mere

Indenrigs- og Sundhedsministeriet Slotsholmsgade 10-12 1216 København K. Sendt til: primsund@im.dk med kopi til sah@im.dk

Indenrigs- og Sundhedsministeriet Slotsholmsgade 10-12 1216 København K. Sendt til: primsund@im.dk med kopi til sah@im.dk Indenrigs- og Sundhedsministeriet Slotsholmsgade 10-12 1216 København K Sendt til: primsund@im.dk med kopi til sah@im.dk Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319

Læs mere

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015) Vejledning Februar 2015 VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL (VERSION 1.4 AF FEBRUAR 2015) Side 2 af 12 Indholdsfortegnelse: Indholdsfortegnelse:... 2 INDLEDNING... 4 GENERELLE

Læs mere

Europaudvalget 2015-16 L 29 endeligt svar på spørgsmål 20 Offentligt

Europaudvalget 2015-16 L 29 endeligt svar på spørgsmål 20 Offentligt Europaudvalget 2015-16 L 29 endeligt svar på spørgsmål 20 Offentligt Folketinget Europaudvalget Christiansborg 1240 København K Projektgruppen vedr. retsforbeholdet Dato: 28. oktober 2015 Kontor: Politikontoret

Læs mere

Bekendtgørelse om tilsynet med de anerkendte arbejdsløshedskassers administration

Bekendtgørelse om tilsynet med de anerkendte arbejdsløshedskassers administration BEK nr 370 af 28/04/2011 (Gældende) Udskriftsdato: 23. januar 2017 Ministerium: Beskæftigelsesministeriet Journalnummer: Beskæftigelsesmin., Pensionsstyrelsen, j.nr. 10-22-0024 Senere ændringer til forskriften

Læs mere

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet. Cloud og persondataloven Forskningsnetkonferencen 2011 Klarskovgaard Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Sten Hansen IT-chef

Læs mere

Skatteministeriet Nicolai Eigtveds Gade København K. Sendt til:

Skatteministeriet Nicolai Eigtveds Gade København K. Sendt til: Skatteudvalget 2010-11 L 79 Bilag 7 Offentligt Skatteministeriet Nicolai Eigtveds Gade 28 1402 København K Sendt til: maria.eun@skat.dk 25. november 2010 Vedrørende høring over udkast til forslag til lov

Læs mere

Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning

Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning N O T A T Retningslinjer 26-10-2010 Sag nr. 09/2825 Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning i regionerne. Datatilsynet skelner ved anmeldelse af forskningsprojekter

Læs mere

Persondataloven kort fortalt

Persondataloven kort fortalt Persondataloven kort fortalt Den 27. februar 2013 Indhold Indledning... 2 Lov om behandling af personoplysninger... 3 På hvilke områder gælder loven?... 3 Hvilke typer behandling?... 3 Undtagelser fra

Læs mere

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf PERSONDATALOVEN - UDFORDRINGER Birthe Boisen, Juridisk Konsulent Tlf. 21 45 22 48 bfb@danskfjernvarme.dk PERSONDATALOVEN OG PERSONDATAFORORDNINGEN Persondataloven Lov om behandling af personoplysninger,

Læs mere

ELEKTRONISK VINDUESKIGGERI HVOR ER

ELEKTRONISK VINDUESKIGGERI HVOR ER ELEKTRONISK VINDUESKIGGERI HVOR ER GRÆNSEN? Af advokat, LL.M., Benjamin Lundström og advokat, HD(O), Pernille Borup Vejlsgaard fra advokatfirmaet von Haller. Ifølge den nugældende lovgivning er der grænser

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet): 978-87-92572-47-9

Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet): 978-87-92572-47-9 2 > Publikationen er gratis. Udgivet af: IT- & Telestyrelsen IT- & Telestyrelsen Holsteinsgade 63 2100 København Ø Publikationen kan hentes på: digitaliser.dk ISBN (internet): 978-87-92572-47-9 Telefon:

Læs mere

Artikel 29-gruppen vedrørende databeskyttelse

Artikel 29-gruppen vedrørende databeskyttelse Artikel 29-gruppen vedrørende databeskyttelse 00065/2010/DA WP 174 Udtalelse nr. 4/2010 om FEDMA's europæiske adfærdskodeks for brug af personoplysninger i forbindelse med direkte markedsføring vedtaget

Læs mere

1. Indledende bestemmelser Formål. Område

1. Indledende bestemmelser Formål. Område 1. Indledende bestemmelser Formål 1.1 Formålet med bestemmelserne er, at den enkelte persons retsbeskyttelse og integritet ikke krænkes ved behandling af personoplysninger i Region Hovedstaden og på Steno

Læs mere

2016 Udgivet den 15. oktober oktober Nr Anordning om ikrafttræden for Grønland af lov om behandling af personoplysninger

2016 Udgivet den 15. oktober oktober Nr Anordning om ikrafttræden for Grønland af lov om behandling af personoplysninger Lovtidende A 2016 Udgivet den 15. oktober 2016 14. oktober 2016. Nr. 1238. Anordning om ikrafttræden for Grønland af lov om behandling af personoplysninger VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Sammenskrevet udgave af persondataloven

Sammenskrevet udgave af persondataloven Sammenskrevet udgave af persondataloven Lov nr. 429 af 31. maj 2000 som ændret ved 7 i lov nr. 280 af 25. april 2001, 6 i lov nr. 552 af 24. juni 2005, 2 i lov nr. 519 af 6. juni 2007, 1 i lov nr. 188

Læs mere

Anordning om ikrafttræden for Grønland af lov om behandling af personoplysninger

Anordning om ikrafttræden for Grønland af lov om behandling af personoplysninger Lovafdelingen Dato: 20. juni 2012 Kontor: Statsretskontoret Sagsbeh: Christian Hesthaven Sagsnr.: 2011-766-0006 Dok.: 463181 U D K A S T Anordning om ikrafttræden for Grønland af lov om behandling af personoplysninger

Læs mere

Oversigt (indholdsfortegnelse)

Oversigt (indholdsfortegnelse) Oversigt (indholdsfortegnelse) Kapitel 1 - Almindelige bestemmelser Kapitel 2 - Generelle sikkerhedsbestemmelser Kapitel 3 - Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger

Læs mere

Lov om behandling af personoplysninger 1)

Lov om behandling af personoplysninger 1) LOV nr 429 af 31/05/2000 Gældende (Persondataloven) Offentliggørelsesdato: 02 06 2000 Justitsministeriet Senere ændringer til forskriften LOV nr 280 af 25/04/2001 7 LOV nr 552 af 24/06/2005 6 LBK nr 158

Læs mere

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik Vejledning om videregivelse af personoplysninger til brug for forskning og statistik 1 Indholdsfortegnelse 1. Baggrund 2. Definitioner 2.1. Personoplysning 2.2. Anonymiseret personoplysning (i persondatalovens

Læs mere

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.:

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.: Abonnementsaftale om håndtering af data i ClinicCare 1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.: 1. Lagring og opbevaring af

Læs mere

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN Forsvarsministeriet fmn@fmn.dk pah@fmn.dk hvs@govcert.dk WILDERS PLADS 8K 1403 KØBENHAVN K TELEFON 3269 8888 DIREKTE 3269 8805 RFJ@HUMANRIGHTS.DK MENNESKERET.DK J. NR. 540.10/30403/RFJ/MAF HØRING OVER

Læs mere

Datatilsynet har herefter følgende bemærkninger:

Datatilsynet har herefter følgende bemærkninger: Arbejdsmarkedsudvalget L 194 - Bilag 1 Offentligt Arbejdsskadestyrelsen Sankt Kjelds Plads 11 Postboks 3000 2100 København Ø Sendt til pkh@ask.dk 9. januar 2007 Vedrørende høring over forslag til lov om

Læs mere

Forsvarets videregivelse af personaleoplysninger til brug for markedsføring

Forsvarets videregivelse af personaleoplysninger til brug for markedsføring Forsvarets videregivelse af personaleoplysninger til brug for markedsføring Brevdato: 19.08.08 Journalnummer: 2008-632-0034 Datatilsynet vender hermed tilbage til sagen, hvor Forsvarets Personeltjeneste

Læs mere

Europaudvalget 2016 KOM (2016) 0007 Bilag 1 Offentligt

Europaudvalget 2016 KOM (2016) 0007 Bilag 1 Offentligt Europaudvalget 2016 KOM (2016) 0007 Bilag 1 Offentligt Politi- og Strafferetsafdelingen Dato: 22. februar 2016 Kontor: Politikontoret Sagsbeh: Vita Horneman Sagsnr.: 2016-19203-0831 Dok.: 1859979 GRUND-

Læs mere

Nedenfor under punkt 1 er en kort gennemgang af reglerne om ordregiverens forpligtelse til at overdrage oplysninger til leverandøren.

Nedenfor under punkt 1 er en kort gennemgang af reglerne om ordregiverens forpligtelse til at overdrage oplysninger til leverandøren. N O TAT Udveksling af medarbejderoplysninger ime l- lem ordregiver og leverandøren April 2011 Side 1/9 Dette notat behandler spørgsmålet om udveksling af medarbejderoplysninger imellem ordregiver og leverandøren

Læs mere

Forslag til lov om ændring af forvaltningsloven og lov om behandling af personoplysninger

Forslag til lov om ændring af forvaltningsloven og lov om behandling af personoplysninger Forslag til lov om ændring af forvaltningsloven og lov om behandling af personoplysninger (Udveksling af oplysninger mellem forvaltningsmyndigheder) Fremsat den 25. februar 2009 af justitsministeren (Brian

Læs mere

Uanmodede henvendelser. Uanmodede henvendelser. Uanmodede henvendelser

Uanmodede henvendelser. Uanmodede henvendelser. Uanmodede henvendelser Uanmodede henvendelser Anmodede henvendelser (samtykke) HNG-sagen (1998.83H) Ikke betydning for beslutningen Begreberne opt in og opt out Uanmodede personlige henvendelser Forbrugeraftalelovens 6 Bopæl,

Læs mere

Justitsministeriet Slotsholmsgade 10 1216 København K. Sendt til: jm@jm.dk

Justitsministeriet Slotsholmsgade 10 1216 København K. Sendt til: jm@jm.dk Justitsministeriet Slotsholmsgade 10 1216 København K Sendt til: jm@jm.dk 12. februar 2010 Vedrørende høring over udkast til forslag til Lov om ændring af lov om tv-overvågning og lov om behandling af

Læs mere

Ulrich Stigaard Jensen. Persondataloven og sagsbehandling i praksis

Ulrich Stigaard Jensen. Persondataloven og sagsbehandling i praksis Ulrich Stigaard Jensen Persondataloven og sagsbehandling i praksis Jurist- og Økonomforbundets Forlag 2011 Kapitel 1. Persondatalovens baggrund og formål 13 1.1. Persondatalovens baggrund og formål 13

Læs mere

Persondataretlige aspekter ved cloud computing

Persondataretlige aspekter ved cloud computing Persondataretlige aspekter ved cloud computing Anne Ermose, advokat, Microsoft Danmark Michael Hopp, partner, Plesner Dansk Forum for IT-ret, 28. november 2012 1 28 November 2012 Oversigt 1. Introduktion

Læs mere

Orientering vedrørende særlig adressebeskyttelse - 2015/2

Orientering vedrørende særlig adressebeskyttelse - 2015/2 Enhed CPR Sagsbehandler GK Sagsnr. 2014-9799 Doknr. 227177 Dato 30. april 2015 Orientering vedrørende særlig adressebeskyttelse - 2015/2 Særlig adressebeskyttelse til personer, som udsættes for trusler

Læs mere

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma 647-192717 JNA/jna 26.09.2016 DATABEHANDLERAFTALE mellem herningcentret (Dataansvarlig) og Emplate ApS (Databehandler) Advokatfirma Indholdsfortegnelse 1. Parterne... 3 2. De juridiske rammer... 3 3. Pligt

Læs mere

Notat om brug og afgivelse af reference.

Notat om brug og afgivelse af reference. Notat om brug og afgivelse af reference. Indledning Notatet dækker over to situationer. I den ene situation er det dig som ansættelsesmyndighed, der bruger en reference, i den anden situation er det dig,

Læs mere

ARTIKEL 29-Gruppen vedrørende Databeskyttelse

ARTIKEL 29-Gruppen vedrørende Databeskyttelse ARTIKEL 29-Gruppen vedrørende Databeskyttelse 1112/05/DA WP 103 Udtalelse 1/2005 om databeskyttelsesniveauet i Canada i forbindelse med luftfartsselskabers overførsel af PNR- og API-oplysninger Vedtaget

Læs mere

Oplysningerne opbevares hos databehandler. Databehandlerens adresse Weidekampsgade 6, 2300 København S

Oplysningerne opbevares hos databehandler. Databehandlerens adresse Weidekampsgade 6, 2300 København S Benyt anmeldelse som kladde. Afkryds de felter, du ønsker at genbruge, eller genbrug hele blanketten. 1.Dataansvarlig myndighed Navn Haderslev Kommune Adresse Gåskærgade 26-28 Kommunekode (For kommuner

Læs mere