Oversigt (indholdsfortegnelse)

Størrelse: px
Starte visningen fra side:

Download "Oversigt (indholdsfortegnelse)"

Transkript

1 Oversigt (indholdsfortegnelse) Kapitel 1 - Almindelige bestemmelser Kapitel 2 - Generelle sikkerhedsbestemmelser Kapitel 3 - Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger Den fulde tekst Vejledning til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning Indledning Denne vejledning beskriver og uddyber de tekniske og organisatoriske sikkerhedsforanstaltninger, som skal træffes i den offentlige forvaltning af hensyn til behandlingssikkerheden (datasikkerheden). De overordnede regler for datasikkerheden er fastsat i lov om behandling af personoplysninger (persondataloven) Disse bestemmelser har følgende ordlyd: 41. Personer, virksomheder mv., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, må kun behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov. Stk. 2. Den i stk. 1 nævnte instruks må ikke begrænse den journalistiske frihed eller være til hinder for tilvejebringelsen af et kunstnerisk eller litterært produkt. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger. 42. Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Stk. 2. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. Justitsministeren har i medfør af lovens 41, stk. 5, udstedt bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Bekendtgørelsens 2, stk. 2, er ændret ved bekendtgørelse nr. 201 af 22. marts Bekendtgørelsen indeholder nærmere regler om de sikkerhedsforanstaltninger, som kræves efter lovens 41, stk. 3.

2 Bestemmelserne i bekendtgørelse nr. 528 (sikkerhedsbekendtgørelsen) er gengivet nedenfor. I tilknytning til den enkelte bestemmelse gives en beskrivelse og uddybning af de krav, som følger af bestemmelsen. Bekendtgørelsens enkelte bestemmelser Kapitel 1 Almindelige bestemmelser 1. Denne bekendtgørelse gælder for behandling af personoplysninger, som foretages for den offentlige forvaltning helt eller delvis ved hjælp af elektronisk databehandling. Bekendtgørelsen gælder alene for behandling af personoplysninger, som foretages for den offentlige forvaltning helt eller delvis ved hjælp af elektronisk databehandling. Ved en behandling, hvor kun en del foretages ved hjælp af elektronisk databehandling, gælder bekendtgørelsen kun for denne del. For den offentlige forvaltnings behandling af personoplysninger i manuelle registre samt for behandling af personoplysninger i den private sektor gælder lovens bestemmelser umiddelbart samt bestemmelser, som måtte være fastsat i selvstændige bekendtgørelser, jf. lovens 41, stk Behandling af personoplysninger skal ske i overensstemmelse med bestemmelserne i kapitel 1 og 2. For enhver behandling af personoplysninger, uanset om der indgår fortrolige oplysninger eller ej, gælder bestemmelserne i bekendtgørelsens kapitel 1 - almindelige bestemmelser - og i kapitel 2 - generelle sikkerhedsbestemmelser. Stk. 2. Behandling af personoplysninger, hvor der skal ske anmeldelse til Datatilsynet efter reglerne i kapitel 12 i lov om behandling af personoplysninger, skal tillige ske i overensstemmelse med bestemmelserne i denne bekendtgørelses kapitel 3. Dette gælder dog ikke for behandling af personoplysninger, der udelukkende sker med henblik på at føre et retsinformationssystem, i det omfang der er tale om oplysninger i den offentligt tilgængelige del af retsinformationssystemet. Det gælder endvidere ikke for behandling af oplysninger om ansattes fagforeningsmæssige tilhørsforhold i forbindelse med aftaler om kontingentindeholdelse. For behandlinger, som efter reglerne i lovens kapitel 12 skal anmeldes til Datatilsynet, gælder ud over bestemmelserne i bekendtgørelsens kapitel 1 og 2 også bestemmelserne i kapitel 3 - supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger. Reglerne for anmeldelse af behandlinger, der foretages for den offentlige forvaltning, fremgår af lovens kapitel 12 og er beskrevet i Datatilsynets vejledning nr. 125 af 10. juli Den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Bestemmelsen er en gentagelse af lovens 41, stk. 3, idet dog sidste punktum ikke er medtaget. Foranstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, kan f.eks. bestå i, at der efter nærmere fastlagte rutiner foretages sikkerhedskopiering. De sikkerhedsforanstaltninger, der er fastsat i sikkerhedsbekendtgørelsen, retter sig navnlig mod, at oplysningerne kommer til uvedkommendes kendskab, bliver misbrugt eller i øvrigt behandles i strid med loven. En mere generelt dækkende vejledning om etablering af såvel tekniske som organisatoriske sikkerhedsforanstaltninger i forbindelse med elektronisk databehandling kan findes i Dansk Standard DS 484, Norm for edb-sikkerhed. Stk. 2. For personoplysninger, som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Bestemmelsen svarer til indholdet af lovens 41, stk. 4. Det vil påhvile den dataansvarlige myndighed først at identificere de af myndighedens behandlinger, som vedrører oplysninger af særlig interesse for fremmede magter, og derefter træffe de efter myndighedens vurdering fornødne sikkerhedsforanstaltninger.

3 4. Datatilsynet fører tilsyn med overholdelsen af denne bekendtgørelse og kan i den forbindelse komme med henstillinger over for den dataansvarlige myndighed vedrørende de trufne sikkerhedsforanstaltninger, jf. 3. Datatilsynets tilsyn med overholdelse af bekendtgørelsen er en del af det tilsyn, som Datatilsynet efter lovens 55 skal føre, nemlig tilsyn med enhver behandling, der omfattes af loven (med undtagelse af behandlinger, der foretages for domstolene, jf. lovens kapitel 17). Kapitel 2 Generelle sikkerhedsbestemmelser 5. Den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. Idet bestemmelserne i bekendtgørelsen er af mere generel og overordnet karakter, vil der være behov for, at den enkelte dataansvarlige myndighed nærmere fastlægger og beskriver, hvorledes bekendtgørelsens bestemmelser er tænkt opfyldt, og i det hele taget hvorledes sikkerhedsarbejdet i forbindelse med behandling af personoplysninger tilrettelægges. Der er i denne bestemmelse nævnt et antal emner for interne bestemmelser, instrukser og retningslinier. Opremsningen skal ses som eksempler og er ikke udtømmende. Udover at tjene som dokumentation vil de bestemmelser mv., som den dataansvarlige myndighed udarbejder i henhold til denne bestemmelse, også kunne tjene som arbejdsgangsbeskrivelser, funktionsbeskrivelser for forskellige funktioner i sikkerhedsarbejdet, ansvarsbeskrivelse og -afgrænsning mm. Visse af de nævnte beskrivelser kan være af en sådan karakter, at sikkerhedsmæssige hensyn taler for at klassificere dem som ikke offentligt tilgængelige. Dette kan være aktuelt for f.eks. beskrivelse af tekniske indretninger såsom alarmsystemer. Stk. 2. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden. Da dokumentation er uden værdi, hvis den ikke er aktuel, bør de interne bestemmelser nævnt ovenfor løbende ajourføres, således at de til enhver tid afspejler de faktiske forhold på stedet. Efter denne bestemmelse påhviler det den dataansvarlige at kontrollere mindst en gang årligt, at den nævnte ajourføring af de interne bestemmelser er foretaget. 6. Den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af 5. For at behandlingen af personoplysninger kan ske korrekt og som forudsat af den dataansvarlige, skal medarbejdere, som udfører behandlingen, ved uddannelse, instruktion mv. bibringes den nødvendige viden. For at behandlingen kan ske sikkerhedsmæssigt korrekt, skal medarbejderne have kendskab til de gældende sikkerhedsregler, hvilket bl.a. kan opnås ved at orientere medarbejderne om relevante dele af bestemmelserne, som fastsættes efter bekendtgørelsens Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. Efter denne bestemmelse skal gennemførelse af en behandling ved en databehandler ske i henhold til en skriftlig aftale, som den dataansvarlige har indgået med databehandleren. Det skal af denne aftale fremgå, at den behandling, som den dataansvarlige overlader til databehandleren, skal ske efter reglerne i denne bekendtgørelse, helt som hvis den dataansvarlige selv havde forestået behandlingen. Den dataansvarlige skal sikre, at behandlingen sker efter reglerne i bekendtgørelsen, selv om behandlingen sker hos en databehandler, som er etableret i en anden medlemsstat. Såfremt der i det pågældende land findes særlige sikkerhedsregler for

4 databehandlerens virksomhed, skal det af aftalen mellem den dataansvarlige og databehandleren fremgå, at databehandleren tillige skal iagttage disse. Bestemmelsen sigter først og fremmest mod de situationer, hvor databehandlingen er overladt til et edb-servicebureau. I øvrigt fremgår det af persondatalovens 42, stk. 1, at når en dataansvarlig overlader behandling af oplysninger til en databehandler, skal den dataanvarlige sikre sig, at databehandleren kan træffe de i lovens 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Den dataansvarlige skal således aktivt sikre, at de krævede sikkerhedsforanstaltninger overholdes hos databehandleren, og det kan i den sammenhæng være relevant at indhente en årlig revisionserklæring fra en uafhængig tredjepart. Den skriftlige aftale parterne imellem som nævnt ovenfor kunne bl.a. indeholde denne revisionserklæring som en betingelse for at lade behandlingen foretage hos databehandleren. Endelig bør det af den skriftlige aftale fremgå, om behandlingen af personoplysninger hos databehandleren sker helt eller delvist ved anvendelse af hjemmearbejdspladser. Stk. 2. Hvis behandling af personoplysninger finder sted på en pc-arbejdsplads uden for den dataansvarlige myndigheds lokaliteter, skal myndigheden fastsætte særlige retningslinier herfor, således at det sikres, at bestemmelserne om sikkerhedsforanstaltninger iagttages. Ved pc-arbejdspladser uden for den dataansvarliges lokaliteter tænkes der her først og fremmest på hjemmearbejdspladser (arbejdsplads som etableres ved opstilling i en medarbejders hjem af en pc med forbindelse til arbejdsgiverens edb-system, således at medarbejderen kan udføre visse arbejdsopgaver hjemmefra), men bestemmelsen vil også gælde i en række andre tilfælde, hvor behandling foretages andre steder end ved de sædvanlige arbejdspladser på arbejdsgiverens lokaliteter (brug af bærbare pc'er under rejse, hos kunder eller klienter etc., anvendelse af en pc i en anden virksomhed eller myndighed, anvendelse af privat pc i hjemmet). Dette gælder ikke alene for pc'er, men også for andet elektronisk udstyr, f.eks PDA'er (Personal Digital Assistant) og lignende. Nedenstående betragtninger er gjort vedrørende hjemmearbejdspladser, men tilsvarende kan gøres for alle tilfælde af eksempler på arbejdspladser uden for den dataansvarliges lokaliteter. Den dataansvarlige skal foretage en vurdering ud fra de sikkerhedsmæssige forhold og fastsætte særlige retningslinier på grundlag heraf. Ved arbejde fra en hjemmearbejdsplads finder anvendelsen af data sted i et andet miljø. Mens der i forbindelse med arbejde på den almindelige arbejdsplads gennem lang tids praksis er indarbejdet rutiner og adfærd, som sikrer en forsvarlig behandling af data, eksisterer der ikke på forhånd en tilsvarende praksis, som sikrer, at behandlingen af data fra en hjemmearbejdsplads sker med tilsvarende sikkerhed. Der er derfor en række forhold, som der skal tages stilling til. Af de sikkerhedsmæssige problemområder, som skal vurderes, kan bl.a. nævnes: Lokal lagring af oplysninger. Hvis det er nødvendigt, at hjemme-pc'en ikke bare anvendes som terminal mod det centrale system, men også til lagring af oplysninger fra det centrale system, bør oplysningerne krypteres. Lokal udskrivning af oplysninger. Hvis det ikke kan undgås, at der skal udskrives oplysninger på hjemme-pc'en, skal der fastsættes regler og gives instruktion vedrørende opbevaring og tilintetgørelse af udskrifter, så oplysningerne ikke kommer uvedkommende til kendskab. Anden anvendelse af hjemme-pc'en. Hvis den dataansvarlige tillader anden anvendelse, f.eks. til privat brug, skal der fastsættes retningslinier for denne anvendelse og etableres de nødvendige sikkerhedsforanstaltninger i forbindelse dermed. Fysisk sikkerhed. I hjemmemiljøet må det forventes, at den fysiske sikring mod tyveri, hærværk og uvedkommendes adgang i det hele taget ikke vil være på højde med forholdene på den almindelige arbejdsplads. Særligt ved lokal lagring af oplysninger og lokal udskrivning må opmærksomheden rettes mod dette punkt. Endvidere kan muligheden for aflytning af datatransmissionen ved fysisk indgriben i telefonlinier være større i dette miljø. Anvendelse af opkaldslinier. Hvis etablering af forbindelse fra hjemmearbejdspladsen til det centrale system sker ved anvendelse af opkaldsforbindelse (analog telefonforbindelse, ISDN, mobiltelefon etc.), skal der i denne forbindelse træffes foranstaltninger mod, at uvedkommende kan foretage opkald til det centrale system og i det hele taget gribe ind i kommunikationen. Som eksempler på sådanne foranstaltninger kan nævnes tilbagekald, passwordbeskyttelse og lukkede brugergrupper. Det kan i denne forbindelse bl.a. overvejes, om der skal være særlige tidsrum, hvor hjemmearbejdspladsen ikke kan anvendes, og om der skal etableres en særlig logning af dens anvendelse.

5 Der bør løbende ske en ajourføring af de særlige retningslinier vedrørende hjemmearbejdspladser for at sikre, at bestemmelserne om sikkerhedsforanstaltninger iagttages. 8. På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne. Bestemmelsen retter sig meget bredt mod lokaliteter, hvor behandling af personoplysninger finder sted, og hovedsageligt mod den fysiske sikkerhed. Forholdsreglerne, som træffes efter denne bestemmelse, kan ses som et supplement til bekendtgørelsens øvrige bestemmelser om adgang til oplysninger og vil i vid udstrækning være sammenfaldende med den dataansvarliges gængse regler om fysisk sikkerhed, såsom aflåsning af lokaler og bygningsafsnit, alarmsystem, begrænset adgang til serverrum samt placering af skærme og printere (specielt i ekspeditions- og publikumsområder). 9. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, samt ved salg og kassation af anvendte datamedier skal der træffes de fornødne foranstaltninger for at sikre, at bestemmelsen i 3 iagttages. Foranstaltninger mod, at uvedkommende får adgang til lagrede oplysninger, vil afhænge af den konkrete situation. Ved reparation og service af udstyr, skal den dataansvarlige, hvis ikke oplysningerne kan fjernes fra udstyret, sikre sig, at reparations- og servicepersonalet vil behandle oplysninger, som de måtte blive bekendt med under deres arbejde, som fortroligt materiale, der under ingen omstændigheder må videregives eller anvendes. Ved kassation af lagringsmedier og udstyr, som indeholder personoplysninger, bør lagringsmedierne destrueres eller afmagnetiseres, så der ikke er mulighed for at læse indholdet. Hvis den dataansvarlige frem for at destruere lagringsmedier afhænder disse med henblik på genbrug, skal de lagrede oplysninger slettes effektivt ved overskrivning. Datatilsynet anbefaler, at der til overskrivning af datamedier anvendes et specialprogram, som overskriver data flere gange i overensstemmelse med en anerkendt specifikation (f.eks. DOD M) Ved reparation af udstyr skal lagrede oplysninger, så vidt det er muligt, ligeledes slettes forinden. Inddateringsmateriale som indeholder personoplysninger 10. Inddatamateriale, som ikke indgår i en manuel sag eller i et manuelt register, må kun anvendes af personer, som er beskæftiget med inddatering. Inddatamateriale, som er omfattet af bestemmelsen i 2, stk. 2, skal opbevares aflåst, når det ikke anvendes. Ved inddatamateriale forstås det grundmateriale (papirbaseret eller elektronisk), hvorfra der hentes oplysninger til videre elektronisk databehandling. Bestemmelsen gælder for inddatamateriale, som hverken indgår i en traditionel, papirbaseret sag, herunder en patientjournal, eller i et manuelt register. Således vil modtagne ansøgningsblanketter, som opbevares samlet uden at være journaliseret på f.eks. en sag vedrørende den enkelte ansøger eller på en fælles sag vedrørende den pågældende type af ansøgning, være omfattet af bestemmelsen, hvis blanketterne skal inddateres elektronisk. Derimod vil ansøgningsblanketterne ikke være omfattet af bestemmelsen, så snart den omtalte journalisering er foretaget, ligesom de heller ikke vil være omfattet, hvis de opbevares på en sådan måde, at de må siges at udgøre et manuelt register (f.eks. ordnet efter særlige kriterier i et ringbind), idet bekendtgørelsen ikke gælder for manuelle registre. Inddatamateriale i elektronisk form, f.eks. transaktioner opsamlet i en fil, vil normalt være omfattet af bestemmelsen. Det skal bemærkes, at inddatering ved indtastning, f.eks. i et on-line system, i sig selv udgør en behandling, der er omfattet af bekendtgørelsen. Inddatamateriale, som er omfattet af bestemmelsen i 2, stk. 2, dvs. materiale, der som hovedregel indeholder oplysninger af fortrolig karakter, skal med henblik på at hindre uvedkommendes adgang til oplysningerne opbevares aflåst, når det ikke benyttes. Der stilles ikke mere specifikke krav om, hvorledes aflåsning skal etableres, men det forudsættes, at det sker ved aflåsning af skuffe, skab, lokale eller på anden måde, som efter den dataansvarliges vurdering er forsvarlig. Stk. 2. Inddatamateriale som nævnt i stk. 1 skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager, eller til kontrol med de inddaterede personoplysninger, dog senest efter en af den dataansvarlige myndighed nærmere fastsat frist. Inddateringsmateriale, som nævnt i stk. 1 - bestemmelsen gælder altså ikke for materiale, som indgår i en manuel sag eller i et manuelt register - skal slettes (materiale i elektronisk form) eller tilintetgøres (papirbaseret materiale), når der ikke længere er brug for materialet. Den dataansvarlige må således i forbindelse med hver enkelt behandling tage stilling til, hvor længe der er

6 behov for eller krav om, at inddateringsmaterialet opbevares, og formelt fastsætte en seneste frist for sletning eller tilintetgørelse. Stk. 3. Ved tilintetgørelse af inddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger mod, at materialet misbruges eller kommer til uvedkommendes kendskab. En procedure for tilintetgørelse af inddatamaterialet skal efter bestemmelsen tilrettelægges på en sådan måde, at materialet ikke i denne sammenhæng kan misbruges eller komme uvedkommende til kendskab. Der kan i denne forbindelse f.eks. være tale om at opsamle materiale i aflåste containere med efterfølgende anvendelse af en pålidelig makuleringsservice for fortroligt materiale. Autorisation og adgangskontrol 11. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles. I persondataloven er det i kapitel 11 om behandlingssikkerhed anført, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod bl.a., at oplysningerne kommer til uvedkommendes kendskab ( 41, stk. 3). Det er derfor i denne bestemmelse i bekendtgørelsen fastsat, at der kun må gives adgang til personoplysningerne for personer, som direkte er autoriserede hertil. Det forudsættes, at der fastlægges en formel autorisationsordning og -arbejdsgang. Stk. 2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. I denne bestemmelse fastslås det, at der kun må autoriseres personer, der er beskæftiget med de formål, hvortil oplysningerne behandles. Alle andre personer, også øvrige medarbejdere hos den dataansvarlige myndighed, er i forbindelse med den omhandlede behandling uvedkommende og må ikke have adgang til oplysningerne. Tilsvarende betragtninger ligger bag begrænsningen i autorisationen til kun at omfatte anvendelser, som de enkelte brugere har behov for. Det forudsættes, at der i den formelle autorisationsprocedure vil indgå en forudgående vurdering af, hvad den enkelte bruger har behov for at være autoriseret til. I den formelle autorisationsprocedure kan endvidere f.eks. indgå, at der til den pågældende bruger fremsendes et brev, hvori det nærmere beskrives, hvilke oplysninger brugeren herved autoriseres (godkendes) til at anvende. For brugere, som ikke længere har behov for de autorisationer, de har fået udstedt, skal autorisationerne inddrages. Det gælder f.eks. medarbejdere, som flytter til andet arbejdsområde, eller hvis ansættelsesforhold ophører. Stk. 3. Der må endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. Udover til de ovenfor omhandlede medarbejdere i den pågældende myndighed kan det være aktuelt at give adgang til oplysninger til personer, som ikke er direkte vedkommende i forhold til den enkelte behandling, men som i anden sammenhæng har behov herfor. Der er i denne bestemmelse tænkt på sådanne personer, som udfører revision, og personer som udfører teknisk vedligeholdelse, driftsovervågning, fejlretning mv. Den dataansvarlige skal fastlægge særlige retningslinier for udstedelse af sådanne autorisationer og for inddragelse heraf for så vidt angår autorisationer, der kun behøver at være midlertidige (f.eks. autorisationer til brug ved en årlig revision). 12. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til. Udover den ovenfor omtalte formelle autorisation af brugere skal der etableres en teknisk adgangskontrol i systemerne, således at autoriserede personer skal identificere sig over for systemet for at få adgang til at foretage behandlinger i overensstemmelse med autorisationen. Den mest almindelige form for adgangskontrol er brugeridentifikation med tilhørende password, men andre former for adgangskontrol er ikke udelukket. Såfremt password benyttes, skal den dataansvarlige fastsætte nærmere retningslinier for behandling og opbygning af password. Datatilsynet anbefaler, at password har en længde på mindst 8 tegn. Passwords bør opbygges af en blanding af tal og store og små bogstaver. Password bør skiftes mindst en gang om året. Uddatamateriale som indeholder personoplysninger 13. Uddatamateriale må kun anvendes af personer, der er beskæftiget med de formål, til hvilke behandlingen af personoplysningerne foretages.

7 Ved uddatamateriale forstås det resultat af en elektronisk databehandling, som foreligger på papirbaseret eller elektronisk form. Bestemmelserne i 13, stk. 1-5, gælder kun for uddatamateriale - på papir eller i elektronisk form - der indeholder personoplysninger, og således ikke for f.eks. anonyme oversigter og lignende. Bestemmelserne gælder endvidere kun for uddatamateriale - på papir eller i elektronisk form - som ikke indgår i en manuel sag eller i et manuelt register, jf. stk. 6. Idet personoplysninger ikke må komme uvedkommende til kendskab, må uvedkommende heller ikke få adgang til uddatamateriale, som indeholder personoplysninger. Adgangen til sådant uddatamateriale skal derfor begrænses til personer, som er beskæftiget med de formål, til hvilke behandlingen af personoplysningerne foretages. Stk. 2. Herudover må uddatamateriale anvendes af personer, som er beskæftiget med revision eller drifts- og systemtekniske opgaver i det pågældende system. Det kan også være aktuelt at give adgang til uddatamateriale for personer, som ikke er direkte beskæftiget med den pågældende behandling, men som i anden sammenhæng har behov herfor. Der er i denne bestemmelse tænkt på sådanne personer, som udfører revision, og personer som udfører teknisk vedligeholdelse, driftsovervågning, fejlretning mv. Stk. 3. Uddatamateriale skal opbevares på en sådan måde, at uvedkommende ikke kan få adgang til at gøre sig bekendt med de personoplysninger, som er indeholdt heri. Hvorledes uddatamateriale kan opbevares, så uvedkommende ikke kan gøre sig bekendt med personoplysningerne deri, vil afhænge af den konkrete situation. Ansvaret for forsvarlig opbevaring påhviler den dataansvarlige, og denne bør fastsætte formelle retningslinier herfor. Stk. 4. Uddatamateriale skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager, og senest efter en af den dataansvarlige myndighed nærmere fastsat frist. Uddatamateriale som nævnt i bemærkningerne til bestemmelsen i stk. 1 skal slettes (materiale i elektronisk form) eller tilintetgøres (papirbaseret materiale), når der ikke længere er brug for materialet. Den dataansvarlige skal derfor i forbindelse med hver enkelt behandling tage stilling til, hvor længe der er behov for eller krav om, at uddatamaterialet opbevares, og formelt fastsætte en seneste frist for sletning eller tilintetgørelse. Stk. 5. Ved tilintetgørelse af uddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger mod, at materialet misbruges eller kommer til uvedkommendes kendskab. En procedure for tilintetgørelse af uddatamaterialet skal efter bestemmelsen tilrettelægges på en sådan måde, at materialet ikke i denne sammenhæng kan misbruges eller komme uvedkommende til kendskab. Der kan f.eks. være tale om at opsamle materiale i aflåste containere med efterfølgende anvendelse af en pålidelig makuleringsservice for fortroligt materiale. Stk. 6. Bestemmelserne i stk. 1-5 gælder ikke for uddatamateriale, som indgår i en manuel sag eller i et manuelt register. Sikkerhedsbekendtgørelsen gælder ikke for de nævnte situationer. For materiale, som indgår i en manuel sag, gælder forvaltningslovens regler, mens manuelle registre er omfattet af bestemmelserne i persondataloven herunder reglerne om behandlingssikkerhed i 41-42, samt af særlige regler, der måtte være fastsat for manuelle registre. Eksterne kommunikationsforbindelser 14. Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Bestemmelsen gælder enhver form for telekommunikation i forbindelse med behandling af personoplysninger, f.eks. forsendelse af oplysninger med telefax eller ekstern e-post, etablering af terminaladgang ved opkaldsmodem, adgang til oplysninger via myndighedens hjemmeside og etablering af internetadgang fra arbejdspladser på myndighedens interne net. De særlige sikkerhedsforanstaltninger skal træffes efter myndighedens vurdering af sikkerhedsrisici i det konkrete tilfælde, herunder med hensyntagen til karakteren af de omhandlede oplysninger. For at kunne fastlægge sikkerhedsniveauet er det nødvendigt, at den dataansvarlige foretager en samlet risikovurdering, som omfatter alle elementer i kommunikationsforbindelsen.

8 Ved tilslutning til Internet eller andre åbne net skal der træffes foranstaltninger, som sikrer imod uvedkommende trafik og forhindrer adgang fra det åbne net til den dataansvarliges interne net. Ved brug af telefax skal opmærksomheden særligt været rettet mod dels risikoen for at faxen sendes til forkert modtager, dels at den modtagne fax kan være tilgængelig for uvedkommende hos modtageren. Ved afsendelse af faxer skal det angivne telefaxnummer kontrolleres nøje. Anvendelse af fastindkodede telefaxnumre (kortvalg) kan ligeledes overvejes. For så vidt angår behandlingen af modtagne faxer bør telefaxmaskinen placeres således, at uvedkommende ikke umiddelbart har adgang til modtagne faxer. Ved anvendelse af telefax i forbindelse med mere følsomme oplysninger kan en løsning være at anvende udstyr, som lagrer modtagne faxer i maskinen, og kun lade specielt autoriserede medarbejdere udskrive dem. Ved transmission af personoplysninger over opkaldsforbindelser (via analog telefonforbindelse, ISDN, mobiltelefon etc.), f.eks. ved etablering af terminaladgang til et centralt system fra en bærbar pc, skal der specielt træffes foranstaltninger mod, at uvedkommende kan foretage opkald. Det kan bl.a. være relevant at anvende faciliteter som tilbagekald eller lukkede brugergrupper. For transmission af personoplysninger over åbne net (f.eks. Internet) gælder konkret nedenstående minimumskrav om sikkerhedsforanstaltninger: Ved transmission af oplysninger over det åbne Internet er der generelt en risiko for, at oplysningerne undervejs læses og endog ændres af uvedkommende. Derudover er der en risiko for, at parterne i kommunikationen ikke er dem, de udgiver sig for. Disse risici må vurderes af den dataansvarlige i den konkrete situation, således at der kan træffes de fornødne sikkerhedsforanstaltninger. Hvad angår fortrolighed kan denne sikres ved forsvarlig kryptering af de transmitterede oplysninger. Hvis der er tale om transmission af fortrolige oplysninger, herunder personnummer, skal der som minimum foretages en kryptering. Hvis de transmitterede oplysninger er af følsom karakter (omfattet af persondatalovens 7, stk. 1 og 8, stk. 1), skal der anvendes en stærk kryptering, baseret på en anerkendt algoritme. Sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) må sikres i fornødent omfang ved anvendelse af passende sikkerhedsforanstaltninger, f.eks. elektronisk signatur eller individuelle, fortrolige adgangskoder. Kapitel 3 Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger 15. Bestemmelserne i kapitel 3 finder ikke anvendelse i det omfang de behandlede oplysninger ikke i sig selv ville være omfattet af anmeldelsespligt til Datatilsynet. Behandlinger, som omfatter oplysninger af fortrolig karakter, er som hovedregel anmeldelsespligtige og skal ske under iagttagelse af de supplerende sikkerhedsbestemmelser i dette kapitel. Se nærmere om anmeldelsespligten i Datatilsynets vejledning nr. 125 af 10. juli Udover disse oplysninger af fortrolig karakter, som indgår i en anmeldelsespligtig behandling, vil der typisk i behandlingen også indgå oplysninger, som ikke er af fortrolig karakter. Bestemmelserne i dette kapitel gælder ikke for anvendelse af disse ikkefortrolige oplysninger og heller ikke for anvendelse af de fortrolige oplysninger, som efter lovens undtagelsesbestemmelser kan indgå i en behandling, uden at behandlingen er anmeldelsespligtig. Det vil f.eks. gælde for en anmeldelsespligtig behandling, hvori der indgår oplysninger om personers helbredsforhold, at alle anvendelse af oplysningerne om helbredsforhold skal logges efter denne bekendtgørelses 19, stk. 1. Derimod vil anvendelse af ikke-fortrolige oplysninger såsom personers adresse ikke skulle logges. Det er dog en forudsætning, at en sådan anvendelse af ikke-fortrolige oplysninger ikke indirekte kan afsløre fortrolige forhold vedrørende de berørte personer. De detaljerede undtagelsesbestemmelser og dermed beskrivelse af de oplysninger af fortrolig karakter, som kan indgå i en behandling, uden at den bliver anmeldelsespligtig, findes i lovens 44, stk. 1, samt i Justitsministeriets bekendtgørelse nr. 529

9 af 15. juni 2000 om undtagelse fra pligten til anmeldelse af visse behandlinger, som foretages for den offentlige forvaltning, fastsat i henhold til lovens 44, stk. 2, og 44, stk. 4. Autorisation og adgangskontrol 16. Autorisationer, jf. 11, skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. Udover de generelle krav i 11 vedrørende autorisation af brugere kræves det i forbindelse med anmeldelsespligtige behandlinger, at myndigheden konkret tager stilling til, hvorvidt en bruger kun skal kunne foretage forespørgsler, eller om brugeren også skal kunne inddatere oplysninger, samt om brugeren skal kunne slette oplysninger. Såfremt der er brugere, som kun skal autoriseres til enkelte af de nævnte funktioner, skal systemerne være teknisk indrettet således, at brugerne kun gives mulighed for adgang til oplysningerne i overensstemmelse med de givne autorisationer. Når den tekniske adgangskontrol til systemets oplysninger og anvendelser heraf er baseret på brugeridentifikation med tilhørende password, skal den enkelte bruger tildeles et personligt og fortroligt password. Det personlige og fortrolige password er knyttet til den tilhørende brugeridentifikation og må kun være kendt af den pågældende bruger. Der kan således ikke anvendes en fælleskode, dvs. én brugeridentifikation med tilhørende password, som anvendes af flere brugere. 17. Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne i 11, stk. 2 og 3, og 16. Autoriserede brugere må til enhver tid kun være autoriserede til anvendelser, de har brug for. Der må derfor være tilrettelagt arbejdsgange, som sikrer, at der tilgår funktionen, som administrerer autorisationerne, oplysning om ændring af brugeres behov for autorisation, herunder oplysning om medarbejderes fratræden eller flytning inden for organisationen, således at de udstedte autorisationer kan blive ændret eller inddraget. Stk. 2. Kontrol heraf skal foretages mindst en gang hvert halve år. Efter denne bestemmelse skal der mindst en gang hvert halve år foretages kontrol af, at autorisationer ajourføres som foreskrevet ovenfor. Det er den dataansvarliges ansvar, at der fastlægges en passende kontrolprocedure. Denne procedure kan f.eks. indebære, at der i systemerne dannes en statistik over den enkelte brugers anvendelse af systemet, således at det kan konstateres, om der er udstedte autorisationer, som ikke er anvendt, og som derfor eventuelt bør inddrages. Det er efter sikkerhedsbekendtgørelsen nu ikke længere et krav, at der udarbejdes en benyttelsesstatistik. Kontrol med afviste adgangsforsøg 18. Der skal foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Der skal løbende ske opfølgning i myndigheden. Bestemmelsen indebærer, at der skal foretages en registrering af ethvert afvist forsøg på adgang til systemet, uanset om afvisningen er forårsaget af brug af forkert password, forkert brugeridentifikation, manglende autorisation til en vis funktion eller andet. Herved etableres et redskab for systemadministrationen til eventuelt at afdække forsøg på uberettiget adgang til oplysningerne. Bestemmelsen indebærer endvidere, at systemet skal udvise en reaktion, således at yderligere forsøg på adgang, f.eks. efter et vist antal forsøg på at gætte password, forhindres. Denne reaktion kan være i form af lukning af den anvendte brugeridentifikation, lukning af pc'en eller adgang til lokalnettet. Reaktionen skal endvidere være af en sådan art, at hændelsen kommer til rette vedkommendes, f.eks. systemadministrationens, kendskab. Logning 19. Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Efter bestemmelsen skal der som udgangspunkt foretages logning af alle anvendelser af personoplysningerne, som sker i behandlingen, jf. dog 15. Herudover indeholder stk. 2-6 visse undtagelser fra det generelle logningskrav.

10 Ved»alle anvendelser af personoplysninger«skal her forstås de anvendelser, som foretages af brugere af systemet i forbindelse med deres arbejde. Der er en række aktiviteter i forbindelse med driftsafvikling, som indebærer overvågning af og indgriben i systemerne af drifts- og systemmedarbejdere. Anvendelser af personoplysninger i forbindelse med sådanne aktiviteter er ikke omfattet af logningskravet. Logningen skal bl.a. omfatte en angivelse af den person, som de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Foretages der en søgning på en person ved angivelse af personnummer, skal således det anvendte personnummer eller anden entydig identifikation af den pågældende person registreres i loggen. Hvis der søges på fødselsdato, skal den angivne dato (søgekriteriet) registreres i loggen, men der er ikke krav om registrering af identifikation af de enkelte personer, som indgår i søgeresultatet, dvs. alle fundne personer med den angivne fødselsdato. Angivelsen i loggen af det anvendte søgekriterium giver mulighed for efterfølgende at rekonstruere behandlingen, herunder hvilke personer som indgik i behandlingen, hvilket bl.a. er formålet med logningen. Der er ikke krav om udskrivning af loggen, ligesom der ikke er krav om, at loggen i den foreskrevne opbevaringstid befinder sig i det pågældende system; der er intet til hinder for, at loggen f.eks. overføres til bånd og opbevares i arkiv. Det angives i bestemmelsen, at loggen skal opbevares i seks måneder, hvorefter den skal slettes. Sletning af loggen kan tilrettelægges således, at den foretages ved f.eks. månedlige kørsler. Der åbnes mulighed for, at myndigheder med særlige behov kan opbevare loggen i op til fem år, men der forudsættes i så fald et særligt behov for at have oplysningerne i loggen til rådighed med henblik på anvendelse i overensstemmelse med loggens egentlige formål, nemlig at tjene som et værktøj til brug ved efterforskning i forbindelse med mulig uberettiget anvendelse af oplysningerne. Loggen kan således ikke opbevares længere end de nævnte seks måneder med henblik på anvendelse i forbindelse med de administrative opgaver, som varetages i den pågældende behandling. Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse for personoplysninger, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for en af den dataansvarlige myndighed nærmere fastsat kortere frist. Bestemmelsen om logning gælder ikke den behandling af personoplysninger, som sker, når oplysningerne indgår i tekstbehandlingsdokumenter, regneark og lignende, så længe disse dokumenter er under udarbejdelse eller fungerer som arbejdsdokumenter, hvori der løbende tilføjes nye oplysninger i forbindelse med behandlingen af den enkelte sag. Undtagelsen finder derimod ikke anvendelse, hvis myndigheden på et sagsområde har etableret en rutinemæssig administration, der ved hjælp af tekstbehandling, regneark eller lignende baseres på en behandling, som har karakter af føring af et edb-register. F.eks. gælder undtagelsen ikke en løbende notering af udbetalte ydelser eller føring af ventelister. Bestemmelsen om logning gælder ikke færdige dokumenter og lignende, som opbevares en vis kortere periode, inden de - f.eks. efter en fastlagt arbejdsgang - enten slettes eller anonymiseres ved, at alle identifikationsoplysninger, der kan henføre oplysningerne til bestemte personer, fjernes. Den dataansvarlige skal tage stilling til længden af den omtalte kortere periode, der generelt bør være af en størrelsesorden på højst en måned, og udfærdige retningslinier for, hvorledes medarbejderne skal forholde sig. Det skal bemærkes, at der intet er til hinder for, at færdige dokumenter ikke slettes, men overføres til et dokumentarkiv med henblik på opbevaring i længere tid. I dette tilfælde vil der imidlertid også være tale om en behandling, som vil være omfattet af bestemmelsen om logning. Stk. 3. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis behandlingen af personoplysninger udelukkende sker ved afvikling af programmer, som foretager en forud defineret massebehandling af personoplysninger (»batch«-kørsler). Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen. Bestemmelsen om logning gælder ikke den behandling af personoplysninger, som sker udelukkende ved afvikling af programmer, som foretager en forud defineret massebehandling af oplysningerne, såkaldte batch-kørsler. Som eksempel herpå kan nævnes (regelmæssig) opdatering af store databaser; det skal ved en sådan behandling således ikke logges, hvilke databaseregistreringer, der er blevet opdateret, dvs. hvilke af de registrerede personer der er blevet berørt af opdateringen. Det skal dog maskinelt registreres (logges), at en sådan opdateringskørsel har fundet sted, hvilken bruger der har iværksat kørslen og tidspunktet herfor. Stk. 4. Bestemmelsen i stk. 1 finder endvidere ikke anvendelse, hvis behandlingen af personoplysningerne udelukkende sker med henblik på statistiske eller videnskabelige undersøgelser, og identifikationsoplysningerne forinden enten er krypteret eller erstattet med et kodenummer eller lignende. Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen.

11 Bestemmelsen om logning gælder ikke behandling af personoplysninger, som udelukkende sker med henblik på statistiske eller videnskabelige undersøgelser. Det er dog en forudsætning, at alle identifikationsoplysninger (personnummer, navn, adresse etc.) enten kun indgår i behandlingen i krypteret form eller er erstattet af et kodenummer eller lignende. Det skal dog maskinelt registreres (logges), at en sådan behandling har fundet sted, hvilken bruger der har iværksat den og tidspunktet herfor. Stk. 5. Bestemmelsen i stk.1 finder endelig ikke anvendelse for personoplysninger, som i form af måle- eller analyseresultater automatisk lagres i medicoteknisk udstyr. Undtagelsen omfatter tillige personoplysninger, som manuelt registreres i medicoteknisk udstyr til supplering af automatisk lagrede oplysninger. Bestemmelsen om logning gælder ikke den behandling af personoplysninger, som sker ved automatisk registrering af måle- og analyseresultater i medicoteknisk udstyr og heller ikke for de personoplysninger, der måtte blive manuelt registreret til supplering af de automatisk registrerede oplysninger. Datatilsynet, den 2. april 2001 Hugo Wendler Pedersen /Ib Alfred Larsen

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Datatilsynet har besluttet at undersøge sagen af egen drift.

Datatilsynet har besluttet at undersøge sagen af egen drift. KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1 Sikkerhedsinstruks for IT-brugere hos Randers Kommune Bilag 1 20. marts 2007 Samtlige IT-brugere af Randers kommunes IT skal kende nærværende retningslinier. Retningslinierne vil blive ajourført af IT-sikkerhedslederen,

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Domstolsstyrelsens årsberetning 2005 om persondataloven

Domstolsstyrelsens årsberetning 2005 om persondataloven Domstolsstyrelsen Administrationskontoret KFJ12188/Sagsbeh. KFJ J.nr. 2205-2006-1.2 11. januar 2006 Domstolsstyrelsens årsberetning 2005 om persondataloven Indhold: Domstolsstyrelsens tilsynsopgave s.

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Cloud Computing De juridiske aspekter

Cloud Computing De juridiske aspekter Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed

Læs mere

Vejledning til skabelonen Databehandleraftale_feb2015

Vejledning til skabelonen Databehandleraftale_feb2015 Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Vejledning til skabelonen Databehandleraftale_feb2015 Skabelonen Databehandleraftale_feb2015

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Har I styr på reglerne? Forsyningsselskabers behandling af persondata

Har I styr på reglerne? Forsyningsselskabers behandling af persondata Har I styr på reglerne? Forsyningsselskabers behandling af persondata Langt de fleste virksomheder vil i forbindelse med deres virke få adgang til persondata af den ene eller anden slags. En forsyningsvirksomhed

Læs mere

Persondataloven kort fortalt

Persondataloven kort fortalt Persondataloven kort fortalt Den 27. februar 2013 Indhold Indledning... 2 Lov om behandling af personoplysninger... 3 På hvilke områder gælder loven?... 3 Hvilke typer behandling?... 3 Undtagelser fra

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Der søges samtidig om Datatilsynets tilladelse. 1.Dataansvarlig Navn* (projektleder) Stilling*

Der søges samtidig om Datatilsynets tilladelse. 1.Dataansvarlig Navn* (projektleder) Stilling* Blankettype: Privat forskning Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger om rent private forhold der foreta- ges for en privat dataansvarlig, og som udelukkende

Læs mere

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING 4 3. KONSEKVENSER 6 4. FORSLAG, HENSTILLINGER

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Borgernes rettigheder ved anvendelse af video

Borgernes rettigheder ved anvendelse af video Borgernes rettigheder ved anvendelse af video I løbet af de seneste år er anvendelsen af video og tv blevet stadig mere udbredt på de danske veje. Video og tv anvendes i en række sammenhænge: Trafikinformation

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

It-sikkerhedstekst ST5

It-sikkerhedstekst ST5 It-sikkerhedstekst ST5 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST5 Version

Læs mere

Bilag 2. Udkast til anmeldelse til Datatilsynet

Bilag 2. Udkast til anmeldelse til Datatilsynet Side 1 af 6 DATATILSYNET Borgergade 28, 5. 1300 København K Telefon 3319 3200 Bilag 2. Udkast til anmeldelse til Datatilsynet Anmeldelse af behandlinger der foretages for den offentlige forvaltning 1.Dataansvarlig

Læs mere

INDENRIGS- OG SOCIALMINISTERIET

INDENRIGS- OG SOCIALMINISTERIET INDENRIGS- OG SOCIALMINISTERIET Dato: 12. juni 2014 Kontor: CPR-kontoret Filnavn: VK60 Standardvilkår for privates adgang til CPR's forespørgsels-/søgesystem, CPRWeb. Indledning. Efter 39 i lov om Det

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

WHISTLEBLOWERORDNINGER - IKKE KUN ET NØDVENDIGT ONDE Ved advokat Susanne Stougaard og. persondataspecialist, ph.d. Charlotte Bagger Tranberg

WHISTLEBLOWERORDNINGER - IKKE KUN ET NØDVENDIGT ONDE Ved advokat Susanne Stougaard og. persondataspecialist, ph.d. Charlotte Bagger Tranberg WHISTLEBLOWERORDNINGER - IKKE KUN ET NØDVENDIGT ONDE Ved advokat Susanne Stougaard og persondataspecialist, ph.d. Charlotte Bagger Tranberg HVAD ER WHISTLEBLOWING? Whistleblowing = angiveri Sikre at oplysninger

Læs mere

Retningslinier. for. Video-overvågning i Faxe Kommune

Retningslinier. for. Video-overvågning i Faxe Kommune Retningslinier for Video-overvågning i Faxe Kommune Formål Formålet med i Faxe Kommune er at beskytte kommunens ejendomme og værdier mod kriminelle handlinger samt tilføre tryghed for ansatte i kommunen

Læs mere

Arbejdsmiljøguide for Odder Kommune

Arbejdsmiljøguide for Odder Kommune Arbejdsmiljøguide for Odder Kommune 1. Politikker Logpolitik Dok. Nr. 1.12 Version: 1 Niveau: 2 Dato 050508 Side 1 af 9 Logpolitik Formål At fastlægge og beskrive ansvar, pligter og konsekvenser når medarbejdere

Læs mere

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed December 2007 Rev. 1 Nov. 2006 Nov. 2006 Jan. 2007 Jan. 2007 DATE LEG BCM/MRP LEG LSO NAME Nov. 2006 DATE HEP/LEG NAME REV. DESCRIPTION

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Forsvarets videregivelse af personaleoplysninger til brug for markedsføring

Forsvarets videregivelse af personaleoplysninger til brug for markedsføring Forsvarets videregivelse af personaleoplysninger til brug for markedsføring Brevdato: 19.08.08 Journalnummer: 2008-632-0034 Datatilsynet vender hermed tilbage til sagen, hvor Forsvarets Personeltjeneste

Læs mere

It-sikkerhedstekst ST3

It-sikkerhedstekst ST3 It-sikkerhedstekst ST3 Sletning af personoplysninger Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST3 Version 1 September 2014 Sletning af personoplysninger Når en dataansvarlig

Læs mere

Midlertidige vejledningstekster vedrørende rådgivningspåbud

Midlertidige vejledningstekster vedrørende rådgivningspåbud Midlertidige vejledningstekster vedrørende rådgivningspåbud Disse midlertidige vejledningstekster redegør for, hvilke pligter og opgaver virksomheder og rådgiver har i forhold til følgende typer af rådgivningspåbud:

Læs mere

Betingelser for Netpension Firma Gældende pr. 15. november 2013

Betingelser for Netpension Firma Gældende pr. 15. november 2013 Betingelser for Netpension Firma Gældende pr. 15. Indledning I Betingelser for Netpension Firma finder I en beskrivelse af, hvad Netpension Firma er, og hvilke funktioner virksomheden har adgang til. Del

Læs mere

Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget)

Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Oluf Engell Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Partner Tlf 33 34 50 00 oe@bruunhjejle.dk

Læs mere

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet. Cloud og persondataloven Forskningsnetkonferencen 2011 Klarskovgaard Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Sten Hansen IT-chef

Læs mere

It-sikkerhedstekst ST7

It-sikkerhedstekst ST7 It-sikkerhedstekst ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST7 Version 1 Februar

Læs mere

Loven indebærer ændringer i både persondataloven 4 og tv-overvågningsloven

Loven indebærer ændringer i både persondataloven 4 og tv-overvågningsloven Til samtlige kommuner, regioner og ministerier (underliggende myndigheder og institutioner bedes venligst orienteret) 28. juni 2007 Orientering til offentlige myndigheder om de nye regler i persondataloven

Læs mere

Politik for medarbejderes brug af virksomhedens IT

Politik for medarbejderes brug af virksomhedens IT Jan Trzaskowski - www.legalriskmanagement.com - Politik for medarbejderes brug af virksomhedens IT Jan Trzaskowski og Benjamin Lundström Jan Trzaskowski og Benjamin Lundströms artikel og checkliste vedrørende

Læs mere

Byrådsservice 2005. EDB anvendelse. i Odder Kommune

Byrådsservice 2005. EDB anvendelse. i Odder Kommune Byrådsservice 2005 EDB anvendelse i Odder Kommune Godkendt i byrådet, den 12. maj 1997 Indholdsfortegnelse: Sikkerhedsorganisation...3 Fysisk sikring...4 Adgangskontrol-ordninger...5 Tildeling af Autorisationskoder...6

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

Sag 61828-mho Udkast 06.05.2015. Cookiepolitik. 1. Politik for brug af HC Containers onlinetjenester

Sag 61828-mho Udkast 06.05.2015. Cookiepolitik. 1. Politik for brug af HC Containers onlinetjenester Sag 61828-mho Udkast 06.05.2015 Cookiepolitik 1. Politik for brug af HC Containers onlinetjenester På denne side oplyses om de nærmere vilkår for brugen af www.hccontainer.dk og eventuelle andre hjemmesider,

Læs mere

Afdelingen for Uddannelsesstøtte Kontor for Voksenuddannelsesstøtte

Afdelingen for Uddannelsesstøtte Kontor for Voksenuddannelsesstøtte Afdelingen for Uddannelsesstøtte Kontor for Voksenuddannelsesstøtte Vester Voldgade 123, 1. 1552 København V Tlf. 3392 6005 Fax 3392 5666 Mail sustyrelsen@su.dk www.udst.dk Vejledning vedrørende fuldmagt

Læs mere

It-sikkerhedstekst ST6

It-sikkerhedstekst ST6 It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version

Læs mere

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Customer Managed Hvorfor vælger man som kunde Cloud? Customer Customer No cloud (On-Premise)

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

Henkel Norden AB ("Henkel") er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel.

Henkel Norden AB (Henkel) er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel. HENKEL FORTROLIGHEDSPOLITIK Vi, hos Henkel, tager vores forpligtelser i henhold til dansk lov om databeskyttelse (persondataloven) alvorligt og er forpligtet til at beskytte dit privatliv. Denne fortrolighedserklæring

Læs mere

PERSONALE RETNINGSLINJER FOR VIDEOOVERVÅGNING

PERSONALE RETNINGSLINJER FOR VIDEOOVERVÅGNING Risikostyring - tag vare på dit, mit og vores - og på dig selv og os PERSONALE RETNINGSLINJER FOR VIDEOOVERVÅGNING 1 Definition Ved videoovervågning forstås vedvarende eller periodisk gentagen overvågning

Læs mere

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Kommunerne i region Sjælland Vejledning og Kvalitets Indikator. Retssikkerhed og magtanvendelse det generelle tilsyn

Kommunerne i region Sjælland Vejledning og Kvalitets Indikator. Retssikkerhed og magtanvendelse det generelle tilsyn Kommunerne i region Sjælland Vejledning og Kvalitets Indikator August 2012 Retssikkerhed og magtanvendelse det generelle tilsyn Retssikkerhed Tavshedspligt Tilsynet skal påse at tilbuddet 1 er bekendt

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

PERSONDATAPOLITIK. Som hovedregel kan du tilgå vores hjemmeside uden at fortælle os, hvem du er eller give personlige oplysninger om dig selv.

PERSONDATAPOLITIK. Som hovedregel kan du tilgå vores hjemmeside uden at fortælle os, hvem du er eller give personlige oplysninger om dig selv. PERSONDATAPOLITIK Ved at benytte dig af Forælder Fondens hjemmeside, www.foraelderfonden.dk, og funktionerne derpå samt ansøge Forælder Fonden om hjælp og rådgivning accepterer du, at vi behandler dine

Læs mere

Aftale om anvendelse af e-nettet

Aftale om anvendelse af e-nettet - i det følgende benævnt 'Aftalen', mellem e-nettet a/s Pilestræde 58, 2. sal 1112 København K cvr nr. 21270776 og Virksomhed Adresse By cvr nr. - i det følgende benævnt 'Kunden' og sammen med 'e-nettet

Læs mere

Notat. Notat om love og regler der unødigt vanskeliggør anvendelsen af cloud computing

Notat. Notat om love og regler der unødigt vanskeliggør anvendelsen af cloud computing Notat Notat om love og regler der unødigt vanskeliggør anvendelsen af cloud computing Indholdsfortegnelse: 1. Indledning...2 2. Definition af cloud computing og eksempler herpå...3 3. Sikkerhed i cloud

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet): 978-87-92572-47-9

Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet): 978-87-92572-47-9 2 > Publikationen er gratis. Udgivet af: IT- & Telestyrelsen IT- & Telestyrelsen Holsteinsgade 63 2100 København Ø Publikationen kan hentes på: digitaliser.dk ISBN (internet): 978-87-92572-47-9 Telefon:

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

Udgivet af DANSK ERHVERV

Udgivet af DANSK ERHVERV GODE RÅD OM Internet og e-mail 2008 gode råd om INTERNET OG E-MAIL Udgivet af DANSK ERHVERV Læs i denne pjece om: Indholdsfortegnelse 1. Indledning 3 2. Retningslinjer 3 3. Privat brug af Internet og e-mail

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Indhold. Digital post. Digital Post

Indhold. Digital post. Digital Post Indhold Digital Post Hvad modtager jeg i min digitale postkasse? Hvem er det, der står bag den digitale postkasse? Hvilke oplysninger registrerer vi om dig? Kan jeg sende digital post til det offentlige?

Læs mere

IP Client Brugeraftale

IP Client Brugeraftale IP Client Brugeraftale BRUGERAFTALE Patent- og Varemærkestyrelsen Helgeshøj Allé 81 DK - 2630 Taastrup Tlf. : 43 50 80 00 Fax: 43 50 80 01 pvs@dkpto.dk www.dkpto.dk Patent- og Varemærkestyrelsen 1. GENERELT

Læs mere

Vejledning om tandlægers journalføring

Vejledning om tandlægers journalføring Vejledning om tandlægers journalføring Formål med vejledningen Vejledningen knytter sig til Bekendtgørelse nr. 942 af 27. november 2003 om tandlægers pligt til at føre ordnede optegnelser (journalføring).

Læs mere

HusEftersyn.dk s generelle vilkår & brugerbetingelser Gældende fra 15. januar 2014

HusEftersyn.dk s generelle vilkår & brugerbetingelser Gældende fra 15. januar 2014 HusEftersyn.dk s generelle vilkår & brugerbetingelser Gældende fra 15. januar 2014 Ved at oprette en gratis auktion på huseftersyn.dk accepterer du disse vilkår og brugerbetingelser, og du opfordres hermed

Læs mere

Lov om behandling af personoplysninger 1)

Lov om behandling af personoplysninger 1) Lov om behandling af personoplysninger 1) VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt: Folketinget har vedtaget og Vi ved Vort samtykke stadfæstet følgende lov: Afsnit I Indledende

Læs mere

X. REGLERNE OM VIDEREGIVELSE AF OPLYSNINGER TIL EN ANDEN FORVALTNINGSMYNDIGHED M.V. 174. Bestemmelserne i forvaltningslovens 28-32 indeholder nærmere

X. REGLERNE OM VIDEREGIVELSE AF OPLYSNINGER TIL EN ANDEN FORVALTNINGSMYNDIGHED M.V. 174. Bestemmelserne i forvaltningslovens 28-32 indeholder nærmere X. REGLERNE OM VIDEREGIVELSE AF OPLYSNINGER TIL EN ANDEN FORVALTNINGSMYNDIGHED M.V. 174. Bestemmelserne i forvaltningslovens 28-32 indeholder nærmere regler om, i hvilke tilfælde en forvaltningsmyndighed

Læs mere

ophæver tidligere samarbejdsaftaler med bilag og myndighedskrav udstedt af andre instanser.

ophæver tidligere samarbejdsaftaler med bilag og myndighedskrav udstedt af andre instanser. 26. juni 2009 J.nr. 2009-4116- Myndighedskrav Myndighedskrav til SU-administration 1. Indledning Myndighedskravene fra Styrelsen for Statens Uddannelsesstøtte (styrelsen) beskriver de opgaver og beføjelser,

Læs mere

Regler. - for sikker brug af Aalborg Kommunes IT

Regler. - for sikker brug af Aalborg Kommunes IT Regler - for sikker brug af Aalborg Kommunes IT For en sikkerheds skyld! Hvorfor regler om IT? - for kommunens og din egen sikkerheds skyld Aalborg Kommune er efterhånden meget digitaliseret og derfor

Læs mere

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO Definition Ved tv-overvågning forstås vedvarende eller periodisk gentagen overvågning af både udendørs- og indendørs arealer ved hjælp af automatisk

Læs mere

LOKALAFTALE OM TELE- OG HJEMMEARBEJDSPLAD- SER FOR ÅRHUS KOMMUNE

LOKALAFTALE OM TELE- OG HJEMMEARBEJDSPLAD- SER FOR ÅRHUS KOMMUNE Bilag 2 LOKALAFTALE OM TELE- OG HJEMMEARBEJDSPLAD- SER FOR ÅRHUS KOMMUNE AFTALENS OMRÅDE 1. Aftalen er gældende for ansatte i Århus Kommune. Aftalen indgås mellem Århus Kommune og Den kommunale fællesrepræsentation

Læs mere

Arbejdsgruppen under Akademisk Råd vedr. named person. Named person ordning på HUM. Vedr.: Sagsbehandler: Inge-Lise Damberg

Arbejdsgruppen under Akademisk Råd vedr. named person. Named person ordning på HUM. Vedr.: Sagsbehandler: Inge-Lise Damberg DET HUMANISTISKE FAKULTET KØBENHAVNS UNIVERSITET Arbejdsgruppen under Akademisk Råd vedr. named person SAGSNOTAT 31. OKTOBER 2013 Vedr.: Named person ordning på HUM HR- OG PERSONALEAFDELINGEN Sagsbehandler:

Læs mere

3. FORBUD MOD VIDEREGIVELSE AF INTERN VIDEN

3. FORBUD MOD VIDEREGIVELSE AF INTERN VIDEN CODAN A/S Regler for behandling af intern viden m.m. 1. PERSONKREDS OMFATTET AF REGLERNE 1.1 Disse regler er fastsat i medfør af Lov om Værdipapirhandel, jfr. lovbekendtgørelse nr. 1269 af 19. december

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Kasse- og Regnskabsregulativ for Middelfart Kommune

Kasse- og Regnskabsregulativ for Middelfart Kommune Kasse- og Regnskabsregulativ for Middelfart Kommune Regulativet er udarbejdet i henhold til Styrelseslovens 42, stk. 7. Indholdsfortegnelse 1 GENERELLE FORVALTNINGSBESTEMMELSER... 3 1.1 Indledning... 3

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt

Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt Civil- og Politiafdelingen Supplerende samlenotat vedrørende de sager inden for Justitsministeriets ansvarsområde, der forventes behandlet på

Læs mere

Skolechef C har i skrivelse af 29. september 2008 redegjort for ovenstående og orienteret dig om erklæringernes behandling ved skolebestyrelsesmødet.

Skolechef C har i skrivelse af 29. september 2008 redegjort for ovenstående og orienteret dig om erklæringernes behandling ved skolebestyrelsesmødet. Resumé Statsforvaltningen Sjælland udtaler, at Køge Kommune korrekt har undtaget erklæringer fra aktindsigt. Erklæringerne var ikke omfattet af Offentlighedsloven. 18-06- 2009 TILSYNET Statsforvaltning

Læs mere

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret.

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret. Bilag 2 Fysisk sikkerhed 1 Hvorfor fysisk sikkerhed Sikkerheden i et hvert edb-system er grundlæggende afhængigt af, at kravene til den fysiske sikkerhed er opfyldt. Disse krav til fysisk sikkerhed skal

Læs mere

Budget- og regnskabssystem 7.0 - side 1. Dato: 1. januar 2004 Ikrafttrædelsesår: Regnskab 2004

Budget- og regnskabssystem 7.0 - side 1. Dato: 1. januar 2004 Ikrafttrædelsesår: Regnskab 2004 Budget- og regnskabssystem 7.0 - side 1 7.0 Bogføring Ifølge den kommunale styrelseslovs 43 skal bogføringen give en oversigt over, hvorledes kommunens midler er forvaltet, og om forvaltningen er i overensstemmelse

Læs mere

Databeskyttelse og cyber risk-forsikringer

Databeskyttelse og cyber risk-forsikringer Databeskyttelse og cyber risk-forsikringer v/ partner Anne Buhl Bjelke & Den offentlige uddannelsesdag 2014 persondataspecialist Charlotte Bagger Tranberg Persondataretlige aspekter Personoplysninger kun

Læs mere

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum Nr. 1 16. juli 2014 Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum (Vejledning til bekendtgørelse om outsourcing af væsentlige aktivitetsområder) 1. Indledning 1.1. Kunngerð nr. 1 frá 16.

Læs mere