It-sikkerhedstekst ST5
|
|
- Charlotte Overgaard
- 8 år siden
- Visninger:
Transkript
1 It-sikkerhedstekst ST5 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST5 Version 1 Februar 2015
2 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Udtrykket "Login" anvendes om den proces, der giver adgang til et it-system. Når en person skal foretage et personligt login på et it-system, sker det normalt ved, at han/hun afgiver én eller flere fortrolige oplysninger, fx en adgangskode. En generel betegnelse for nogle af de fortrolige oplysninger, som kan afkræves ved et login, er "faktorer". Sigtet med et personligt login til et it-system er at give en fysisk person adgang på en sådan måde, at andre personer eller systemer er udelukket fra at benytte samme adgang. Processen med at etablere et personligt login indeholder flere led. Hvis man overser et enkelt led, kan det være tilstrækkeligt til, at man ikke har udelukket andre end den rette person fra at benytte det etablerede login. Kan mere end én person benytte et login, er der ikke tale om et personligt login. At der er etableret et personligt login for en identificeret fysisk person, bygger på nogle grundlæggende antagelser om, at der forudgående er sket følgende: En sikker identificering af personen som får adgang. En sikker registrering af personen og den/de faktorer som afkræves ved login. Den/de faktorer, som afkræves ved login, er blevet udstedt og overdraget til den identificerede person og ingen andre. Denne tekst handler om, hvad man med fordel kan overveje, når det gælder sikker identificering af en fysisk person. For bedre at forstå denne tekst er det en fordel også at læse følgende to tekster: ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login. ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk person. Hvorfor identificering kan være vigtig Når et personligt login udelukkende er knyttet til én identificeret fysisk person, er det muligt at spore handlinger i it-systemet til denne person, og således kan personen gøres ansvarlig for sine handlinger. I nogle it-systemer er det afgørende, at man kan spore handlinger til en identificeret fysisk person, fx fordi der er krav om at kunne spore misbrug ved at logge, hvilken person der har anvendt hvilke oplysninger i it-systemet 1. Hvis en person ønsker få adgang til et it-system indeholdende personoplysninger, skal det sikres, at personen har et legitimt behov for denne adgang 2. Sikring af dette kan kræve, at personen først identificeres. 1 Sikkerhedsbekendtgørelsens 19. (Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning). 2 Sikkerhedsbekendtgørelsens 11, stk. 2 og persondatalovens 41, stk. 3 (Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer). 1
3 Identificering af en fysisk person Figur 1 viser et scenarie, som indbefatter tre personer. A er en person, som anmoder om at få adgang til et it-system. B er en person, som (på vegne af den dataansvarlige 3 ) udsteder faktorer til login på itsystemet. B kender ikke A personligt, men B kender og har tillid til C. C er en person, som kender A personligt. Figur 1 B har til opgave at sikre, at kun de rette personer får adgang til it-systemet. B ved, at en angiven person har et legitimt behov for at få adgang til it-systemet. Den angivne person er blevet autoriseret af den dataansvarlige til at få adgang til it-systemet, og personen er dermed den rette indehaver af det personlige login. A giver sig ud for at være den rette indehaver af det personlige login. B skal ved sikker identificering finde ud af, om A er den person, A giver sig ud for at være. Først derefter kan A få overdraget faktorer til det personlige login. Idet B ikke kender A, er B i praksis henvist til at få en anden til at foretage identificeringen. Derfor involveres C i processen. C foretager identificeringen og bekræfter over for B, at A er den person, A giver sig ud for at være. Selv om B har tillid til C, kan identificeringen stadig fejle, fx kan C snyde B, eller A kan snyde C. C kan også være sløset i sin identificering af A. Sikkerheden i identificeringsprocessen kan øges ved at gøre det tydeligt for de involverede parter, at de holdes ansvarlige for deres handlinger og, at der er sanktionsmuligheder som fx afskedigelse. Dette kan fx ske ved at dokumentere hele identificeringsprocessen, herunder at: B bevidner skriftligt, at B selv har lavet en sikker identificering af C, før C blev bedt om at identificere A, C bevidner skriftligt, at C selv har lavet en sikker identificering af A, og identiteten på A, B og C registreres som parter, der deltog i identificeringsprocessen. Lignende fremgangsmåde kendes fra brug af vitterlighedsvidner. I praksis sker identificeringer efter ovenstående princip ofte på enkel og helt uproblematisk vis. Når fx en virksomhed skal give en person adgang til et it-system via et login, er det en normal situation, at den, der udsteder faktoren, ikke personligt kender den, der skal modtage faktoren. Til gengæld er der som regel andre i virksomheden, som kender den, der skal modtage faktoren. 3 I persondataloven er "Den dataansvarlige" den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger. 2
4 Legitimation som grundlag for udstedelse af faktor I det følgende ses på et væsentligt anderledes scenarie, hvor der ikke medvirker en tredjepart (C), som identificerer A. I stedet vil A dokumentere sin egen identitet ved at fremvise legitimation (i det følgende scenarie i form af et id-kort). Figur 2 viser et scenarie, der indbefatter to personer og et id-kort. A er en person, som anmoder om at få adgang til et it-system. A fremviser et id-kort ved et fysisk møde med B. B er en person, som (på vegne af den dataansvarlige) udsteder faktorer til login på itsystemet. B kender ikke A personligt. Figur 2 Ligesom i det foregående scenarie har B til opgave at sikre, at kun de rette personer får adgang til it-systemet. A fremviser et id-kort, som indikerer, hvem A er. Men der er ingen andre i scenariet, som kender A, og dermed er der ingen, som personligt kan bekræfte, at A er den person, A giver sig ud for at være. Id-kortet kan på et tidligere tidspunkt være udstedt ved en proces, hvor en person er blevet identificeret efter de principper, som er beskrevet ved figur 1. Dermed er der muligvis på et tidligere tidspunkt sket en identificering af den person, som fik udstedt id-kortet. Spørgsmålet er, i hvilket omfang B kan være sikker på, at det var A, som i sin tid fik udstedt og overdraget idkortet. B's udstedelse af den adgangsgivende faktor står og falder med, at: I. A er blevet sikkert identificeret ved udstedelse af id-kortet, og det efterfølgende også var A, som fik kortet i hånden. II. A er den eneste person, som kan knyttes til id-kortet. III. Id-kortet er ægte. Det bevirker, at hvis scenariet i figur 2 skal anvendes som alternativ til brug af vitterlighedsvidne, det vil sige som alternativ til scenariet i figur 1, forudsættes navnlig følgende: Ad I. Ad II B har sikret sig, at der altid sker en sikker identificering af modtageren, når denne type id-kort udstedes og overdrages til en fysisk person. B kan knytte det fremviste id-kort eksklusivt til kortholderen (A). Hvorvidt det er muligt, afhænger blandt andet af, hvilke informationer kortet indeholder. B skal desuden have den nødvendige viden og eventuelt udstyr til at knytte idkortet til kortholderen. Hvis kortet fx indeholder den rette ejers fingeraftryk, skal B have viden og udstyr, der gør det muligt for B at lave en sammenligning med A's fingeraftryk. 3
5 Ad III B kan vurdere, om det fremviste id-kort er ægte. Hvorvidt det er muligt, afhænger blandt andet af kortets udformning. B skal desuden have den nødvendige viden og eventuelt udstyr til vurdering af, om kortet er ægte. Hvis id-kortet fx indeholder sikkerhedselementer, der kun er synlige under ultraviolet lys, skal B have ultraviolet lys til sin rådighed. Eksisterende login som grundlag for udstedelse af faktor Figur 3 viser et scenarie, der indbefatter to personer og to systemer, system X og Y. De to systemer har hvert deres login. A er en person, som anmoder om at få adgang til system Y. A kan i forvejen foretage login på system X. B er en person, som (på vegne af den dataansvarlige) udsteder faktorer til login på system Y. B har mulighed for at tjekke, om der er gennemført et succesfuldt login på system X med en specifik bruger-id. B kender ikke A personligt. Figur3 I dette scenarie sker der ikke nogen identificering af den fysiske person A. B vil tjekke for succesfuldt login med A's bruger-id på system X, og på den baggrund vil B udstede faktorer til login på system Y. Det eksisterede login på system X kan være etableret ved en proces, hvor en person er blevet identificeret efter de principper, som er beskrevet ved figur 1. Dermed er der muligvis på et tidligere tidspunkt sket en identificering af den person, som fik adgang til system X og samtidig blev registreret med den specifikke bruger-id på system X. Spørgsmålet er, om B kan være sikker på, at det var A, som i sin tid fik adgang til system X og samtidig blev registreret med den specifikke bruger-id på system X. B skal også være sikker på, at det stadig er A og kun A, der kan anvende det tidligere etablerede login på system X. Hvis scenariet i figur 3 skal anvendes som alternativ til en identificering af den fysiske person A, forudsættes navnlig følgende: 4
6 B har sikret sig, at der altid sker en sikker identificering af modtageren forud for udstedelse af faktorer til system X, samt når faktorerne overdrages til fysiske personer. B har sikret sig, at den specifikke bruger-id, der er registreret i system X, kan kobles eksklusivt til den samme fysiske person, som skal have adgang til system Y. B har sikret sig, at faktoren til system X ikke på noget tidspunkt har været kompromitteret eller tilgængelig for andre end A. Dette afhænger af blandt andet sikkerheden i loginsystemet, A s håndtering af faktoren og, om eventuel transmission af faktoren over åbne net krypteres tilstrækkeligt 4. B har sikret sig, at adgang til system X kun kan opnås med kendskab til den korrekte faktor. En situation, hvor adgang er mulig uden kendskab til den korrekte faktor, kan opstå af flere grunde, eksempelvis: It-sikkerhedsmæssige problemer ved fx en hjemmeside gør det muligt at omgå loginfunktionen på system X eller at overtage andres sessioner, hvorved uvedkommende kan opnå adgang uden kendskab til den korrekte faktor. Der etableres en selvbetjeningsløsning, hvor brugere, som har glemt deres adgangskode til system X, kan få udleveret en ny adgangskode ved at besvare en række spørgsmål i stil med "Hvad hedder din hund?" og "Hvad mærke var din første bil?". Eksempel på manglende identificering En dataansvarlig privat virksomhed skal give en borger adgang til fortrolige og følsomme personoplysninger. Denne adgang etableres, når borgeren møder fysisk op og fremviser et sundhedskort (tidligere kaldet "sygesikringsbevis"). Det kontrolleres ved opslag, at det navn og personnummer, som står på kortet, er registreret på samme person i det centrale personregister (CPR). Denne proces indeholder ikke nogen identificering af den fysiske person, som er fremmødt, fordi flere personer med samme køn og omtrent samme alder vil kunne fremstå som den rette indehaver af kortet. Kontrollen af navn og personnummer fortæller kun, at den fremmødte person har haft adgang til disse oplysninger, og har kunnet fremvise et stykke plastik med disse oplysninger påtrykt. Adgang til navne og personnumre er ikke begrænset til den rette indehaver af oplysningerne. Den dataansvarlige har ikke sikret sig, at der sker en identificering af den fremmødte person, fordi: Den dataansvarlige har ikke kontrollen over den identificeringsproces, som benyttes ved udstedelsen af sundhedskortet. Sundhedskortet indeholder ikke elementer, der gør det muligt for den dataansvarlige at konstatere, om det tilhører den person, som fremviser kortet. 4 Se tekst "ST4 Datatransmission af personoplysninger på åbne net" og "ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med datatransmission". 5
7 I realiteten kan fremvisning af et sundhedskort ikke anses for et bevis på kortholderens identitet. Flere led i kæden betyder flere risici Som de beskrevne scenarier viser, er sikkerheden i en identificering afhængig af, hvad der er gået forud. I forskellige scenarier er der stor forskel på, hvor mange led man skal gå tilbage for at finde det punkt, hvor der reelt er sket en identificering af en fysisk person. Hvert led i denne "kæde" kan indeholde risici, som kan have afgørende betydning for, om den samlede kæde kan anvendes til identificering. Flere led i kæden kan betyde, at der indgår flere personer, som man skal kunne stole på. Flere personer i kæden indebærer flere personer, som kan fejle i udførslen af en opgave, og det indebærer flere personer, som kan snyde. I en lang kæde kan det være svært at finde "begyndelsen", og dermed kan det være svært at bekræfte, om kæden er startet med en reel identificering af en fysisk person. Samtidig kan ét eller flere led i kæden bevirke, at en eventuel tidligere identificering mister sin værdi undervejs i kæden. dt@datatilsynet.dk (+45)
It-sikkerhedstekst ST6
It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version
Læs mereIt-sikkerhedstekst ST7
It-sikkerhedstekst ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST7 Version 1 Februar
Læs mereIt-sikkerhedstekst ST2
It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version
Læs mereIt-sikkerhedstekst ST9
It-sikkerhedstekst ST9 Single Sign-On og log-ud Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST9 Version 1 Juli 2015 Single Sign-On og log-ud Betegnelsen Single Sign-On (SSO)
Læs mereIt-sikkerhedstekst ST11
It-sikkerhedstekst ST11 Fælles login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST11 Version 1 September 2016 Fælles login Udtrykket "Login" anvendes om den proces, der giver
Læs mereIt-sikkerhedstekst ST8
It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning
Læs mereIt-sikkerhedstekst ST4
It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger
Læs mereDatatilsynet har besluttet at undersøge sagen af egen drift.
KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet
Læs mereIt-sikkerhedstekst ST1
It-sikkerhedstekst ST1 Flere faktorer i login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST1 Version 1 Juli 2014 Flere faktorer i login Når en person skal foretage login på
Læs mereDatabehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:
Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter
Læs mereVedrørende tilsyn med behandling af personoplysninger
Att.: Kommunaldirektøren Sendt med Digital Post Dat0 Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail dt@datatilsynet.dk www.datatilsynet.dk J.nr.
Læs mereDatatilsynets udtalelse af 15. oktober 2009 vedhæftes.
Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29
Læs mereDanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup
DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup 24. september 2010 Vedrørende sikkerhedsforanstaltningerne omkring udstedelse af NemID Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29
Læs mereRetsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt
Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning
Læs mereIt-sikkerhedstekst ST10
It-sikkerhedstekst ST10 Beskyttelse af login imod forsøg på at gætte adgangsgivende faktorer Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST10 Version 1 Maj 2016 Beskyttelse af
Læs mereAftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )
Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) og Steuermann ApS Flæsketorvet 68 1711 København V CVR. nr. 35809422 (i det følgende betegnet Databehandler ) (herefter samlet
Læs mereBilag A Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (Beierholms kunde) indgåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandleren (Beierholm)
Læs mereDATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Januar 2018 Version 1.1 Udarbejdet af: Jansson Gruppen A/S på vegne af: Jansson EL A/S, CVR nr.: 73 28 93 19 Jansson Alarm A/S, CVR nr.: 74 78
Læs mereTilladelsen gives på følgende vilkår:
Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,
Læs mereAFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )
AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik
Læs merehos statslige myndigheder
IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet
Læs mereVedrørende tilsyn med behandling af personoplysninger
Att.: Kommunaldirektøren Sendt med Digital Post Dato Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail dt@datatilsynet.dk www.datatilsynet.dk J.nr.
Læs mereBekendtgørelse om NemID med offentlig digital signatur til fysiske personer samt NemID til medarbejdere i juridiske enheder
Bekendtgørelse om NemID med offentlig digital signatur til fysiske personer samt NemID til medarbejdere i juridiske enheder I medfør af 1, stk. 1 og 2 samt 2, i lov nr. 150 af 8. maj 2018 om udstedelse
Læs mere- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)
Læs mereDragør Kommune Borgmestersekretariat, IT og Personale Marts
Bilag 5 Databehandleraftale 1. Overholdelse af gældende regler og forskrifter Databehandleren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten,
Læs mereBilag 9 Databehandleraftale
Bilag 9 Databehandleraftale Aftale om databehandling mellem Trafik-, Bygge- og Boligstyrelsen Edvard Thomsens Vej 14 2300 København S (i det følgende betegnet som den Dataansvarlige) og XXX XX XX (i det
Læs mereUnderbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]
Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] DATABEHANDLERAFTALE Der er dags dato indgået følgende Databehandleraftale mellem
Læs mereAftale omkring behandling af persondata.
Databehandleraftale Aftale omkring behandling af persondata. Aftalen Denne databehandleraftale er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig) og ApS (Databehandler), og er gældende
Læs mereCuranet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Åstvej 10, B 7190 Billund CVR. nr. 30 56 13 17 (i det følgende betegnet Dataansvarlig ) og Curanet A/S Højvangen 4 8660 Skanderborg CVR. nr. 29
Læs mereDATABEHANDLERAFTALE Version 1.1a
DATABEHANDLERAFTALE Version 1.1a Mellem Institutionens navn Institutions nr. Adresse Kommune Institutions CVR. nr. og WEBTJENESTEN LÆRIT.DK ApS Ellehammersvej 93 7500 Holstebro CVR: 35862056 (herefter
Læs mereDatabehandleraftale. om [Indsæt navn på aftale]
Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs mereBilag B Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (s kunde) indgåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren () behandling af personoplysninger,
Læs mereTønder Kommune BILAG 10
Tønder Kommune BILAG 10 Databehandleraftale mellem Tønder kommuner og Leverandør Side 1/14 DATABEHANDLERAFTALE Mellem Tønder Kommune Wegners Plads 2 6270 Tønder CVR. nr.: 29189781 (herefter Kommunen )
Læs mereDatatilsynet skal bemærke følgende:
IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø Sendt til: oiostandarder@itst.dk 17. juli 2009 Vedrørende høring over OIO identitetsbaserede webservices version 1.0 Datatilsynet Borgergade 28, 5.
Læs mereIt-sikkerhedstekst ST12
It-sikkerhedstekst ST12 Krypteret dataudveksling via websider set fra brugerens synsvinkel Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST12 Version 1 November 2016 Browserens
Læs mereDATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )
DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren
Læs merePRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK
PRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK Vores privatlivspolitik giver dig et tydeligt overblik over, hvordan vi behandler dine data, samt hvad du kan forvente, at vi bruger dem til.
Læs mereCC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Aftalen foreligger mellem Adresse Post nr. og By CVR. nr. xx xx xx xx (i det følgende betegnet Dataansvarlig ) og CC GROUP DENMARK Møllebugtvej 5 7000 Fredericia Att: CVR. nr. 27415032
Læs mereUDDANNELSESMATERIALE TIL RA-MEDARBEJDERE
UDDANNELSESMATERIALE TIL RA-MEDARBEJDERE - situationer, hvor NemID udstedes eller vedligeholdes Version 4. november 2016 Indholdsfortegnelse På de følgende slides præsenteres de opdaterede RA procedurer
Læs mereOplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler
Blankettype: Privat virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger om rent private forhold der foreta- ges for en privat dataansvarlig. Felter markeret
Læs mereDATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )
DATABEHANDLERAFTALE Mellem Furesø Kommune Stiager 2 3500 Værløse CVR. nr.: 29188327 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er der
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs mereDato: 6. oktober 2011 Side 1 af 7. Fælles Databehandlerinstruks -
Dato: 6. oktober 2011 Side 1 af 7 Fælles Databehandlerinstruks - FLIS Dato: 6. oktober 2011 Side 2 af 7 Issue/ Version Forfatter Beskrivelse 1.0 Brian Jørgensen Første godkendte udgave af fælles databehandlerinstruks
Læs mereRammeaftalebilag 5 - Databehandleraftale
Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)
Læs mereHåndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer
Borgerrådgiveren Socialforvaltningen Brev er d.d. fremsendt pr. e-mail. 16-11-2012 Sagsnr. 2012-98616 Dokumentnr. 2012-900691 Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereDATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS
DATABEHANDLERAFTALE General aftale omkring behandling af persondata Udarbejdet af: ZISPA ApS Aftalen Denne databehandleraftale (Aftalen) er ZISPA s generelle databehandler aftale til den indgåede samhandelsaftale
Læs mereBilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner
Bilag 8 Retningslinje om brud på persondatasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereDATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )
DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:
Læs mereDatabehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes
Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn
Læs mereVedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk
Brevdato: 23. maj 2006 Modtager: Scandinavian Airlines Danmark (SAS) J.nr. 2006-219-0370 Stikord: Fingeraftryk, personoplysninger, saglighed og proportionalitet, alternativ løsning, oplysningspligt, datasikkerhed.
Læs mereFormål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde
ø Retningslinjer om brud på datasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU)
Læs mereAnmodning om fritagelse fra Digital Post for borgere jf. lov om Offentlig Digital Post
Fritagelsesanmoders kommune Kultur & Service Borgerservice - Sikringsydelser Prinsens Alle 5, stuen 8800 Viborg 87 87 87 87 Ansøgningen skal afleveres personligt i kommunen Forbeholdt kommunen Modtaget
Læs mereDatabehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )
Databehandleraftale [Part] [Adresse] [Adresse] CVR-nr.: [XX] (den Dataansvarlige ) og IT-Terminalen ApS Lejrvej 17 3500 Værløse CVR-nr.: 32947697 ( Databehandleren ) (den Dataansvarlige og Databehandleren
Læs mere1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.
Aftalens omfang 1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden. 1.2 Personoplysninger, der behandles af Leverandøren,
Læs mereDATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx
DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående
Læs mereBrud på datasikkerheden
Brud på datasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april
Læs mereDATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem
vedr. Indkøbsordning til visiterede borgere i eget hjem Mellem Hvidovre Kommune Hvidovrevej 278 2650 Hvidovre Glostrup Kommune Rådhusparken 2 2600 Glostrup (CVR nr. 65120119) Rødovre Kommune Rødovre Parkvej
Læs mere2. HVILKE PERSONOPLYSNINGER INDSAMLER VI TIL HVILKE FOR- MÅL, OG HVAD ER RETSGRUNDLAGET FOR BEHANDLINGEN
PERSONDATAPOLITIK 1. GENERELT 1.1 Denne politik om behandling af personoplysninger ("Persondatapolitik") beskriver, hvorledes Asnæs Apotek ("Apoteket", "os", "vores", "vi") indsamler og behandler oplysninger
Læs mere1. Denne politik om behandling af personoplysninger ("Persondatapolitik") beskriver, hvorledes Apoteket indsamler og behandler oplysninger om dig.
PERSONDATAPOLITIK GENERELT 1. Denne politik om behandling af personoplysninger ("Persondatapolitik") beskriver, hvorledes Apoteket indsamler og behandler oplysninger om dig. 2. Persondatapolitikken gælder
Læs mereVersion: 1.2 Side 1 af 6
1. Efterleves en procedure hos Bank RA, som sikrer, at egne brugere bliver legitimerede brugere i henhold til gældende lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme?
Læs mereDatabehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )
Databehandleraftale Virksomhed [Adresse] [Adresse] CVR-nr.: (den Dataansvarlige ) og Net & Data ApS Hollands Gaard 8 4800 Nykøbing F CVR-nr.: 27216609 ( Databehandleren ) (den Dataansvarlige og Databehandleren
Læs mereDatabehandleraftale e-studio.dk Side 1 af 6
DATABEHANDLERAFTALE Mellem (herefter benævnt Den dataansvarlige ) Og e-studio ApS Albanivej 74 5792 Årslev CVR. nr.: 37074640 (herefter benævnt Databehandleren ) er der indgået nedenstående databehandleraftale
Læs mereDatabehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]
Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn
Læs mere2. HVILKE PERSONOPLYSNINGER INDSAMLER VI TIL HVILKE FOR- MÅL, OG HVAD ER RETSGRUNDLAGET FOR BEHANDLINGEN
PERSONDATAPOLITIK 1. GENERELT 1.1 Denne politik om behandling af personoplysninger ("Persondatapolitik") beskriver, hvorledes Odense Bolbro Apotek med filialerne Tarup og Korup Apotek ("Apoteket") indsamler
Læs mereDatabehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.
Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke Herefter benævnt Dataansvarlig Og Leverandør navn Adresse Herefter benævnt Databehandler side 1 af 5 Generelt Databehandleren
Læs mere(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )
Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter
Læs mereNemID Problemløsningsguide. Hjælpeværktøj for offentlige RA-medarbejdere
NemID Problemløsningsguide Hjælpeværktøj for offentlige RA-medarbejdere 1. Indledning... 3 1.1 Om denne guide... 3 1.2 Generelle anbefalinger... 3 2. Hvad er borgerens nuværende situation... 4 2.1 Har
Læs mereBekendtgørelse om udstedelse og spærring af NemID med offentlig digital signatur
BEK nr 899 af 21/06/2018 (Gældende) Udskriftsdato: 6. april 2019 Ministerium: Finansministeriet Journalnummer: Finansmin., Digitaliseringsstyrelsen, j.nr. 2018-1452 Senere ændringer til forskriften Ingen
Læs mereINSTRUKS FOR OFFENTLIG RA
DanID A/S Lautrupbjerg 10 DK - 2750 Ballerup T +45 87 42 45 00 F +45 70 20 66 29 info@danid.dk www.danid.dk CVR-nr. 30808460 INSTRUKS FOR OFFENTLIG RA 14. oktober 2010 P. 1-8 Indholdsfortegnelse 1. Generelt...
Læs mereRetningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2
Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium Indholdsfortegnelse ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 HVORDAN HÅNDTERER VI ET BRUD PÅ PERSONDATASIKKERHEDEN?... 3 NÅR
Læs mereRetningslinjer om brud på persondatasikkerheden
Retningslinjer om brud på persondatasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mere[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]
!"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne
Læs mereSamarbejds- og fortrolighedsaftale
Samarbejds- og fortrolighedsaftale Dato: (Udfyldes med håndskrift) Obs: Aftalen udleveres sammen med password. Herefter stemples den af værkstedet. Dato, og CVR-nr håndskrives og aftalen underskrives,
Læs mereKort og godt om NemID. En ny og sikker adgang til det digitale Danmark
Kort og godt om NemID En ny og sikker adgang til det digitale Danmark Hvad er NemID? NemID er en ny og mere sikker løsning, når du skal logge på offentlige hjemmesider, dit pengeinstitut og private virksomheders
Læs mereBILAG 14: DATABEHANDLERAFTALE
BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav
Læs mereIshøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.
IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens
Læs mereØrsted A/S - Persondatapolitik for aktionærer mv.
Ørsted A/S - Persondatapolitik for aktionærer mv. Når vi modtager personoplysninger om dig, er det vores målsætning, at du har tillid til, at vi behandler dine personoplysninger på en gennemsigtig og sikker
Læs mereDatabehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem
Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")
Læs mereRetningslinjer om brud på persondatasikkerheden
Retningslinjer om brud på persondatasikkerheden Indhold Retningslinjer om brud på persondatasikkerheden... 1 Anvendelsesområde... 2 Formål... 2 Definitioner... 2 Hvordan håndterer vi et brud på persondatasikkerheden?...
Læs mereDatabehandlerinstruks
1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren
Læs mereOplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler
Blankettype: Stillingsbesættende virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig
Læs mereAnmodning om fritagelse fra Digital Post for borgere jf. lov om Offentlig Digital Post
Brønderslev Kommune Ny Rådhusplads 1 9700 Brønderslev Tlf: 9945 4545 Service Borgerservice Anmodningen skal afleveres personligt i kommunen Fritagelsesanmoders kommune Brønderslev Kommune Ny Rådhusplads
Læs mereDatatilsynet udtaler i den anledning:
Ministeriet for Sundhed og Forebyggelse Holbergsgade 6 1057 København K Sendt til: primsund@sum.dk med kopi til bgb@sum.dk 20. marts 2015 Svar på høring over udkast til forslag til lov om fremstilling,
Læs mereOplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler
Blankettype: Advarselsregister Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at advare andre
Læs merePersondatapolitik - Aktionærer Matas A/S
Maj 2019 Persondatapolitik - Aktionærer Matas A/S Side 2 1 Introduktion 1.1 Som led i håndteringen af vores forhold til vores aktionærer, vil Matas A/S behandle personoplysninger om aktionærer, fuldmagtshavere
Læs mereDATABEHANDLERAFTALE. Aftale omkring behandling af persondata
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Denne databehandleraftale (Aftalen) er er et tillæg til den indga ede samtykke mellem kunden (Dataansvarlig) og GSGroup Esbjerg (Databehandler)
Læs mereDatabehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)
Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at
Læs mereDatabehandleraftale
Databehandleraftale 25.04.2018 DATABEHANDLERAFTALE Aftalen foreligger mellem Navn (Dataansvarlig) Adresse By og Graungaard Solution Aps (Databehandler) Lykkesholm 2 2690 Karlslunde CVR. nr. 36738367 Ovennævnte
Læs mereINSTRUKS FOR OFFENTLIG RA
Nets DanID A/S Lautrupbjerg 10 DK - 2750 Ballerup T +45 87 42 45 00 F +45 70 20 66 29 www.nets.eu CVR-nr. 30808460 INSTRUKS FOR OFFENTLIG RA Februar 2015 P. 1-8 Indholdsfortegnelse 1. Generelt... 4 1.1.
Læs mereRetningslinjer om brud på persondata
Retningslinjer om brud på persondata Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679
Læs mereBilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler
Acadrenr. 15/27563 Bilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler og persondataloven for Helsingør Kommune Indledning / Introduktion It-sikkerhedsaftale med ekstern part som følger af
Læs mereKontraktbilag 7: Databehandleraftale
Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør
Læs mereDATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]
DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE Flakhaven 2, 5000 Odense C OG [INDSÆT NAVN CVR xxxxxxxx Adresse ] 1. INDLEDNING... 3 2. ALMINDELIGE BESTEMMELSER... 3 3. SUPPLERENDE KRAV... 4 4. UNDERSKRIFTER...
Læs mereDatabehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )
Databehandleraftale XXXXXXX (herefter De dataansvarlige ) og XXXXXX (herefter Databehandleren ) (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne ) har
Læs mereDANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og
DANVA, Dansk Vand- og Spildevandsforening Godthåbsvej 83 8660 Skanderborg Sendt til: Cc: danva@danva.dk lgc@danva.dk og sv@danva.dk 21. december 2018 DANVAs henvendelse til Datatilsynet om behandling af
Læs mereEKSEMPLER PÅ SITUATIONER, HVOR NEMID UDSTEDES ELLER VEDLIGEHOLDES. - i forhold til de nye skærpede RA procedurer
EKSEMPLER PÅ SITUATIONER, HVOR NEMID UDSTEDES ELLER VEDLIGEHOLDES - i forhold til de nye skærpede RA procedurer Pr. 19. februar 2015 Indholdsfortegnelse På de følgende slides præsenteres de nye RA procedurer
Læs mereOplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler
Blankettype: Kreditoplysning Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig videregivelse
Læs mereVedrørende konkret egen driftundersøgelse af multisamtaler i Beskæftigelses- og Integrationsforvaltningen, forvaltningens j.nr.
Fejl! Ukendt betegnelse for dokumentegenskab. Sendt dags dato pr. e-mail til: Beskæftigelses- og Integrationsforvaltningens Direktion BIF@bif.kk.dk med kopi til: cduklagesager@bif.kk.dk 04-10-2013 Sagsnr.
Læs mere