Retsudvalget REU Alm.del Bilag 116. Offentligt

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Starte visningen fra side:

Download "Retsudvalget REU Alm.del Bilag 116. Offentligt"

Transkript

1 :m :m EC å«, N 5 om,ampmma.zug w å. a 0mm x U>4>... rm<z m4 CPR-kontoret Holmens Kanal København K 17. december 2015 Datatilsynet Borgergade 28, København K CVR nr Telefon Fax y td ww.datatilsynet.dk.nr Sagsbehandler Kasper Frederiksen Direkte Datatilsynets udtalelse af 3 1. juli 2015 til Rigspolitiet er tilgængelig her: http: nyhedsarkiv artikel vedroerende-uvedkommendesadgang-til-personoplysninger-rigspolitiets-j nr-20 l Datatilsynet har modtaget en større mængde oplysninger i de rejste sager i forlængelse af hackerangrebet herunder oplysninger, som er klassificerede eller af forskellige årsager undtaget fra aktindsigt efter offentlighedsloven Vedrørende hackerangrebet på CSC i forhold til CPR-kontoret l. Baggrunden for sagen Datatilsynet vender hermed tilbage til sagen 0m hackerangrebet 1 forhold t1l personoplysninger, som behandledes hos CSC pa vegne af det daværende Økonomi- og Indenrigsministerium, IT og CPR (nu CPR administrationen i Social- og Indenrigsministeriet, i det følgende CPR-kontoret ). Efter anmodning fra Datatilsynet er CPR-kontoret fremkommet med udtalelser til sagen ved breve af 27. marts og 1 oktober 2014 Datatilsynet har i forbindelse med sagen modtaget Foreløbig rapport om sikkerhedsbrud hos CSC fra juli 2013 fra Center for Cybersikkerhed Tilsynet er ligeledes i besiddelse af Rapport om sikkerhedsbrud hos SC fra august 2014 fra PET og Center for Cybersikkerhed omtalt som Rapport II). Datatilsynet har den 31. juli 2015 truffet afgørelse i sagen om hackerangrebet i forhold til Rigspolitietl. Tilsynet fokuserede i den forbindelse sine undersøgelser på forholdene omkring Schengen-informationssystemet. Undersøgelserne afdækkede imidlertid en række forhold omkring indretningen af den berørte mainframe, som også er af relevans for den nærværende sag. 2. Sagens omstændigheder Datatilsynet kan overordnetz beskrive sagen såled 2.1. CPR-kontorets it-systemer hos CSC CPR-kontoret benyttede CSC som databehandler. I den forbindelse indgik de personoplysninger, som CPR-kontoret er dataansvarlig for, i et mainframe- Retsudvalget REU Alm.del Bilag 116 Offentligt

2 miljø hos CSC. Mainframiljøet indeholdt ud over CPR-kontorets it-systemer også it-systemer fra Modemiseringsstyrelsen, SKAT og Rigspolitiet. Om mainframemiljøet foreligger følgende oplysninger, jf. Datatilsynets brev af 31. juli 2015 til Rigspolitiet: 2.2. Det konkrete system Om mainframens indretning l-iackerangrebet er foregået mod én fysisk computer, en såkaldt mainframe af fabrikat IBM. Mainframen var konfigureret i fire partitioner, såkalte LPAR's (Logical Partitions). De fire LPAR's er benævnt D1 1, D12, D13 og D14. I en LPAR kan der driftes systemer, programmer og services. Mainframen var konfigureret således, at de tilsluttede lagringsmedier (diske) var delte og fysisk kunne tilgås fra alle fire LPAR'er. I det følgende benyttes betegnelsen 'det delte disksystem' for disse lagringsmedier. RACF er et mainframe sikkerhedssystem udviklet af IBM. RACF anvendes bl.a. til at kontrollere bruger-id og password for brugere og administratorer, samt disses autorisationer til at anvende data, programmer og andre ressourcer på mainframes. Den aktuelle mainframe var konfigureret med ét RACF sikkerhedssystem, som var fælles for hele mainframen inklusiv de fire LPAR'er. Dette RACF kontrollerede således i den aktuelle situation bruger-id og password for alle brugere og administratorer samt disses autorisationer til at anvende data, systemer, programmer og services og andre ressourcer i alle fire LPAR er på mainframen. De oplysninger om bruger-id, password og autorisationer, som RACF i det aktuelle tilfælde anvendte, fandtes lagret i krypteret form i en database/fil på det delte disksystem, som var tilsluttet mainframen. I det følgende omtales denne database/fil som 'RACF-databasen'. 1 LPAR D11 var der installeret en aktiv webserverservice, som kunne tilgås fra det åbne internet. Det var en sårbarhed i denne webserver, som hackeren benyttede til at skaffe sig den indledende adgang til mainframen Om mainframens anvendelse l mainframen driñedes bl.a. infonnationssystemer for Rigspolitiet, SKAT, Økonomi- og Indenrigsministeriet og Modemiseringsstyrelsen. De infonnationssystemer, der blev drifiet for Rigspolitiet, omfattede bl.a. Schengeninformationssystemet, Kriminalregisteret, Kørekortregisteret, Pasregisteret og Indexregisteret. Schengen-informationssystemet indeholdt bl.a. oplysninger om personer, der var eftersøgt, havde indrejseforbud i Schengen-området eller var under diskret overvågning af politi eller efterretningstjenester i henhold til artiklerne i Schengenkonventionen. Kriminalregisteret indeholdt bl.a. oplysninger om straffede personer og disses strafbare forhold. Kørekortregisteret indeholdt bl.a. oplysninger om alle personer, der har dansk kørekort, herunder kørekortindehaverens personnummer og kørekortnummer. Pasregisteret indeholdt bl.a. oplysninger om alle personer, der har et dansk pas, herunder bl.a. indehaverens personnummer og pasnummer.

3 Index-registeret indeholdt bl.a. oplysninger fra CPR-registeret om alle borgere i Danmark med et personnummer. Rigspolitiet har oplyst, at Rigspolitiets systemer blev driftet i LPAR D11 og D14. På forespørgsel har Rigspolitiet oplyst, at den implicerede webserver, som var installeret og aktiv i LPAR Dl l, havde til fonnål at give adgang fra internettet til portalen Modemiseringsstyrelsen er dataansvarlig for intemetportalen Portalen retter sig mod alle tjenestemænd med tjenestemandspension. På portalen kan den enkelte tjenestemand finde relevante oplysninger om egen tjenestemandspension. Datatilsynet har specifikt spurgt Rigspolitiet om, hvem (feks. Rigspolitiet eller CSC), der har truffet beslutning om, at webserveren skulle kunne tilgås fra internettet af brugere udenfor CSC's lokalitet. I to omgange har Rigspolitiet ikke besvaret spørgsmålet. Datatilsynet lægger i det følgende til grund, at LPAR D1 l er blevet anvendt af både Modemiseringsstyrelsen og Rigspolitiet. Dette understøttes af oplysningeme i de rapporter, som Datatilsynet er i besiddelse af, hvoraf det fremgår, at både Rigspolitiet og Modemiseringsstyrelsen benyttede LPAR Dl l. RACF sikkerhedssystemet på mainframen var fælles for de fire ovennævnte LPAR'er D] l, D12, D13 og D14. RACF sikkerhedssystemets database (RACF-databasen) indeholdt oplysninger om ca bruger- og administrator-id'er, samt oplysninger om de hertil knyttede password og autorisationer til at anvende programmer, services og data på hele mainframen. Det høje antal bruger- og administrator-id'er i RACF-databasen hænger sammen med, at RACF-sikkerhedssystemet kontrollerede brugere og administratorer af systemerne fra såvel Rigpolitiet, Økonomi- og Indenrigsministeriet, SKAT og Modemiseringsstyrelsen. En kopi af RACF-databasen blev fundet på hackerens computer." 2.2. Hackerangrebet Om hackerangrebet er oplyst følgende, jf. Datatilsynets brev af 3 l. juli 2015 til Rigspolitiet: "Hackerangrebet blev foretaget ved bl.a. at udnytte to sårbarheder i IBM softwaren på mainframen. Begge sårbarheder var såkaldte zero-day sårbarheder, hvilket betyder, at der ikke eksisterer rettelser til afhjælpning af sårbarhedeme. IBM udsendte først rettelser til afhjælpning af de to zero-day sårbarheder, eñer at angrebet var ophørt. Den aktuelle udnyttelse af sårbarhedeme kunne derfor ikke have været afværget ved patchning. Hackeren har skaffet sig adgang til mainframen via en webserver, som kunne tilgås fra det åbne internet. Ved at udnytte den ene zero-day sårbarhed, som fandtes i IBM webserversoñwaren, har hackeren opnået en indledende og begrænset adgang til mainframen. Ved dereñer at udnytte den anden zero-day sårbarhed i mainframens systemsoñware, har hackeren trinvis kunnet øge sine beføjelser og tiltage sig mere kontrol med mainframen. Forløbet førte til, at hackeren opnåede ubegrænset adgang til alle data og denned adgang til at kopiere, slette, ændre og tilføje data. Der er undervejs i forløbet blevet installeret et eller flere programmer, som har kunnet benyttes til at udtrække data fra mainframen. Undervejs i forløbet har hackeren opnået så store rettigheder, at hackeren har kunnet stjæle og kopiere (downloade) hele RACF-databasen fra mainframen. Endvidere er der opnået adgang til at omgå logning af de udførte handlinger, hvorefter hackeren har kunnet operere "Stealth".

4 Der foreligger ikke et fuldstændigt overblik over, hvilke data der med sikkerhed er kopieret fra mainfrarnemiljøet. Det er imidlertid konstateret, at store mængder data tilhørende politiet er kopieret 0g trukket ud fra systemet, ligesom RACF-databasen er blevet kopieret og downloadet CPR-kontorets håndtering af hackerangrebet CPR-kontoret har bl.a. oplyst, at det daværende Økonomi- og Indenrigsministerium med bistand fra Center for Cybersikkerhed igangsatte en nærmere undersøgelse af, om der var grund til at tage yderligere forholdsregler for CPR-systemet på baggrund af den konkrete sag, og at CPR-kontoret følger ISO og træffer løbende sikkerhedsforanstaltninger i forhold til den aktuelle risikovurdering for CPR-systemet, ligesom kontoret har fulgt de anbefalinger til yderligere sikkerhedsforanstaltninger, som er fremkommet under den iværksatte undersøgelse af hackerangrebet. Endvidere har CPR-kontoret bl.a. oplyst, gt CPR-systemet siden marts 2014 ikke længere driftsafvikles på den fællesoffentlige mainframe hos CSC eller anvender den fælles RACF, og at CPR-systemet er flyttet til en selvstændig platform, hvor der anvendes et andet adgangskontrolsystem. CPR-kontoret har også oplyst, a_t der i forbindelse med flytningen af CPR-systemet blev foranstaltet en ekstraordinær, uvildig it-revision og gennemført en sikkerhedsvurdering af den nye platform i samarbejde med Center for Cybersikkerhed. Herudover oplyste CPR-kontoret ved sit brev af 27. marts 2014, a_t det daværende Økonomi- og Indenrigsministerium ikke havde konstateret, at personoplysninger, som behandledes hos CSC på vegne af CPR-kontoret, var blevet uautoriseret tilgået, modificeret, misbrugt eller offentliggjort som følge af hackerangrebet, g CPR-kontoret i perioden siden februar 2012 ikke havde modtaget henvendelser eller indikationer på, at CPR's data skulle være blevet uautoriseret modificeret, misbrugt eller offentliggjort som følge af hackerangrebet, at Økonomi- og Indenrigsministeriet løbende vurderede, om der var anledning til at informere konkrete borgere eller grupper af borgere om sikkerhedsbruddet, men indtil videre ikke havde fundet anledning til dette, og a_t Økonomi- og Indenrigsministeriet bemærkede, at politiet den 6. juni 2013 offentliggjorde en vejledning til borgerne efter sikkerhedsbristen. I forhold til den kopierede og downloadede RACF-database har CPR-kontoret bl.a. oplyst, a_t databasen for CPR-systemets vedkommende indeholdt oplysninger om bl.a. brugemavne og passwords for ca brugere, a_t af disse brugere var aktive, mens de resterende var blokerede og ikke kunne anvendes, og a_t databasen for ca af brugemavnene bl.a. også indeholdt oplysninger om fornavn og efternavn på brugeren samt i visse tilfælde e- mailadresse.

5 3. Datatilsynets udtalelse 3.1. For så vidt angår RACF-systemet og det disksystem, der var tilknyttet den omhandlede mainframe, konkluderede Datatilsynet i afgørelsen af 31. juli 2015 bl.a.: "Sikkerhedssystemet RACF styrer og kontrollerer adgang og autorisationer til systemer for brugere og administratorer. Den aktuelle mainframe var indrettet med ét RACF, som dækkede hele mainframen, dvs. alle fire LPAR'er Dl l, D12, D13 og D14, brugere og administratorer af systemerne samt data for såvel Rigspolitiet som SKAT, Økonomi- og Indenrigsministeriet og Modemiseringsstyrelsen. Ved at dele RACF påførte de fire dataansvarlige hinanden forøgede risici, både fordi den enkelte dataansvarlige, f.eks. Rigspolitiet, eksponeres for visse former for sikkerhedshændelser hos de øvrige dataansvarlige, og fordi konsekvenserne af visse sikkerhedshændelser kan sprede sig fra én dataansvarlig til de øvrige dataansvarlige. Rigspolitiet har på forespørgsel oplyst, at der i RACF-databasen eksisterede (eller kunne oprettes) bruger- eller administrator-id med autorisationer til at kunne tilgå og udføre handlinger på data, som Rigspolitiet ikke er dataansvarlig for. Rigspolitiet har endvidere oplyst, at det drejer sig om data, som SKAT, Modemiseringsstyrelsen eller Økonomi- og Indenrigsministeriet er dataansvarlige for. På computeren, som blev beslaglagt i Cambodia, blev fundet en kopi af en RACF-database. Det er fastslået, at der er tale om en kopi af RACF-databasen, som fandtes på den aktuelle mainframe. RACF-databasen indeholdt adgangskoder og autorisationer for ca brugerog administrator-war hidrørende fra forskellige myndigheder. Datatilsynet må anse det for overvejende sandsynligt, at hackeren har været i stand til at bryde den kryptering, der var på RACF-databasens indhold, og dermed tilgå indholdet. På denne baggrund - og fordi hackeren vides at have tilegnet sig ubegrænsede rettigheder til at tilgå alle data på mainframen - må alle data på mainframen og hele det delte disksystem anses for eksponeret og potentielt kompromitteret ved hackerangrebet." og: "Den aktuelle mainframe var indrettet med ét delt disksystem, som kunne tilgås fra alle fire LPAR'er D11, D12, D13 og D14. Det delte disksystem blev benyttet til at lagre data for informationssystememe, som blev driñet i alle fire LPAR'er, dvs. for Rigspolitiet, SKAT, Økonomi- og Indenrigsministeriet og Modemiseringsstyrelsen. Ved at dele disksystemet påførte de fire dataansvarlige hinanden forøgede risici, både fordi den enkelte dataansvarlige, feks. Rigspolitiet, eksponeredes for visse former for sikkerhedshændelser hos de øvrige dataansvarlige, og fordi konsekvenserne af visse sikkerhedshændelser kunne sprede sig fra én dataansvarlig til de øvrige dataansvarlige. Delingen af disksystemet er med hensyn til adskillelse af dataansvarlige og adskillelse af de dataansvarliges data risikabel og undergraver tillige forsvar i dybden for alle de dataansvarlige." 3.2. Datatilsynets vurdering i forhold til CPR-kontoret Datatilsynet må lægge til grund, at angriberen potentielt har haft adgang til at ændre i, tilføje eller slette data, som befandt sig i systemer, som på vegne af CPR-kontoret blev håndteret hos CSC. Datatilsynet har i den forbindelse noteret sig, at det er anført i Rapport II, at de berørte myndigheder har foretaget dataintegritetscheck (og konsekvensvurdering) som anbefalet af Center for Cybersikkerhed i den foreløbige rapport frajuli 2013.

6 3 Ifølge persondatalovens 41, stk. 3, skal der træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven Hertil kommer, at de oplysninger om personlige brugere, der indgik RACFdatabasen, efter Datatilsynets opfattelse i sig selv udgør personoplysninger omfattet af persondataloven. Tilsynet lægger herved vægt på, at oplysningerne omfattede navne 0g andre personoplysninger. Efter Datatilsynets opfattelse er der således tale om, at personoplysninger, som CPR-kontoret er dataansvarlig for, er kommet til uvedkommendes kendskab, da RACF-databasen er blevet kopieret og downloadet. Det forhold, at mainframemiljøet hos CSC var delt mellem flere myndigheder, medvirkede efter Datatilsynets opfattelse til, at en angriber via en webserver, som én myndighed var dataansvarlig for, kunne tilgå både data, som den pågældende myndighed var dataansvarlig for, og data, som andre myndigheder var dataansvarlige for. Det forhold, at RACF -databasen var delt mellem flere myndigheder, forøgede desuden angriberens mulighed for at skaffe sig adgang til CPR-kontorets systemer via uberettiget adgang til andre myndigheders systemer. Efter Datatilsynets opfattelse har CPR-kontoret derfor ikke haft tilstrækkelig kontrol med sikkerheden omkring de personoplysninger, som på myndighedens vegne blev håndteret hos CSC. Datatilsynet finder således, at CPRkontoret ikke har levet op til kravet i persondatalovens 41, stk. 33, om de fornødne sikkerhedsforanstaltninger. Datatilsynet tager ved sin vurdering af sagen også i betragtning, at CPRkontoret fik håndteret CPR-systemet i det pågældende mainframemiljø hos CSC, og at kompromittering af oplysningerne kurme få alvorlige skadevirkninger for såvel CPR-kontoret, andre myndigheder, som bruger CPRsystemet, som de personer, der behandles oplysninger om. På den baggrund er det efter Datatilsynets opfattelse meget alvorligt, a_t en udenforstående potentielt har haft mulighed for at tilgå, kopiere, slette 0 g ændre i CPR-systemet hos CSC, og at personoplysninger i RACF-databasen er blevet kopieret og downloadet. Datatilsynet finder derfor CPR-kontorets manglende efterlevelse af persondatalovens sikkerhedskrav kritisabel. Datatilsynet har noteret sig det oplyste om de skridt, som CPR-kontoret har taget til at forbedre beskyttelsen af CPR-systemet.

7 os aan: Woñoanram 3.3. Underretning af de berørte personer Hvis personoplysninger er kommet til uvedkommendes kendskab, er det Datatilsynets opfattelse og faste praksis, at reglen i persondatalovens 5, stk. 1, om god databehandlingsskik medfører, at den dataansvarlige skal vurdere, om og i givet fald hvordan de berørte personer skal underrettes. Ved vurderingen af spørgsmalet om underretning må den dataansvarlige blandt andet tage oplysningemes karakter og de mulige konsekvenser for de berørte personer i betragtning. I et tilfælde, hvor en brugerdatabase er blevet kompromitteret, ma det også tages i betragtning, om såvel brugernavne som passwords er berørt, om passwords var krypteret, og om det må frygtes, at angriberen har brudt krypteringen. Tilsynet vurderer umiddelbart, at der i sådanne situationer som oftest vil være behov for underretning ganske hurtigt. Ud over nulstilling af passwords i de berørte løsninger kan der saledes være brugere der har behov for at ændre passwords andre steder eller at ændre en metodik til opbygning af passwords som kan være blotlagt. Datatilsynet skal på denne baggrund opfordre CPR-kontoret til at fastsætte retningslinjer for håndtering af sikkerhedsbrud både for myndigheden selv og som led i aftalerne med de relevante databehandlere såfremt sådanne retningslinjer ikke allerede er fastsat Afsluttende bemærkninger Datatilsynet foretager sig herefter ikke yderligere i sagen. Tilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside ed venl' hilsen

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

Datatilsynet har besluttet at undersøge sagen af egen drift.

Datatilsynet har besluttet at undersøge sagen af egen drift. KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer Borgerrådgiveren Socialforvaltningen Brev er d.d. fremsendt pr. e-mail. 16-11-2012 Sagsnr. 2012-98616 Dokumentnr. 2012-900691 Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup

DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup 24. september 2010 Vedrørende sikkerhedsforanstaltningerne omkring udstedelse af NemID Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål. Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling

Læs mere

Databeskyttelse og cyber risk-forsikringer

Databeskyttelse og cyber risk-forsikringer Databeskyttelse og cyber risk-forsikringer v/ partner Anne Buhl Bjelke & Den offentlige uddannelsesdag 2014 persondataspecialist Charlotte Bagger Tranberg Persondataretlige aspekter Personoplysninger kun

Læs mere

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration Side 1 af 2 Forside / Erhverv / Personaleadministration / Krav om datasikkerhed i forbindelse med personaleadministration Opdateret: 06.05.15 Krav om datasikkerhed i forbindelse med personaleadministration

Læs mere

artikel 96 eller artikel 97.

artikel 96 eller artikel 97. xxx xxx xxx 24. september 2001 Vedrørende Deres klage over Rigspolitiets afslag på indsigt i Schengen- Informationssystemet Datatilsynet Christians Brygge 28, 4. 1559 København V CVR-nr. 11-88-37-29 Telefon

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] !"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)

Læs mere

Kontraktbilag 7: Databehandleraftale

Kontraktbilag 7: Databehandleraftale Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er

Læs mere

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående

Læs mere

Vedrørende tilsyn med behandling af personoplysninger

Vedrørende tilsyn med behandling af personoplysninger Att.: Kommunaldirektøren Sendt med Digital Post Dat0 Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail dt@datatilsynet.dk www.datatilsynet.dk J.nr.

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk Brevdato: 23. maj 2006 Modtager: Scandinavian Airlines Danmark (SAS) J.nr. 2006-219-0370 Stikord: Fingeraftryk, personoplysninger, saglighed og proportionalitet, alternativ løsning, oplysningspligt, datasikkerhed.

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Sagsnr. 26250-0 NOTAT OM DATABEHANDLING

Sagsnr. 26250-0 NOTAT OM DATABEHANDLING Sagsnr. 26250-0 NOTAT OM DATABEHANDLING INDHOLDSFORTEGNELSE 1. Beskrivelse af problemstillingen... 3 2. Overladelse af persondata... 3 2.1. Behandlingshjemmel... 3 2.2. Dataansvar... 4 2.3. Databehandlerinstruks...

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Furesø Kommune Stiager 2 3500 Værløse CVR. nr.: 29188327 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er der

Læs mere

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland Lovafdelingen Dato: Kontor: Databeskyttelseskontoret Sagsbeh: André Dybdal Pape/ Marcus Nymand Sagsnr.: 2016-766-0019 Dok.: 2104838 Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Dragør Kommune Borgmestersekretariat, IT og Personale Marts Bilag 5 Databehandleraftale 1. Overholdelse af gældende regler og forskrifter Databehandleren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten,

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 1 Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 2 Introduktion til de 2 beretninger

Læs mere

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Side 1 af 8 Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Kapitel 1 Lovens område 1. Stk. 7. Loven gælder for enhver form for behandling af personoplysninger i forbindelse

Læs mere

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer Sikkerhedsanbefaling Styrkelse af informationssikkerheden i mainframeinstallationer Januar 2015 Indledning Inden for de seneste år har flere mainframeinstallationer været udsat for hackerangreb. I Sverige

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

Persondata og sikkerhedsbrud

Persondata og sikkerhedsbrud 1 Persondata og sikkerhedsbrud Tirsdag den 10. maj 2016 2 Hvad er et sikkerhedsbrud? Brud på persondatasikkerheden": Brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring,

Læs mere

Driftskontrakt. Databehandleraftale. Bilag 14

Driftskontrakt. Databehandleraftale. Bilag 14 Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]

Læs mere

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part ) Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter

Læs mere

Vedrørende tilsyn med behandling af personoplysninger

Vedrørende tilsyn med behandling af personoplysninger Att.: Kommunaldirektøren Sendt med Digital Post Dato Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail dt@datatilsynet.dk www.datatilsynet.dk J.nr.

Læs mere

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem vedr. Indkøbsordning til visiterede borgere i eget hjem Mellem Hvidovre Kommune Hvidovrevej 278 2650 Hvidovre Glostrup Kommune Rådhusparken 2 2600 Glostrup (CVR nr. 65120119) Rødovre Kommune Rødovre Parkvej

Læs mere

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] Tekst markeret med GRØN, udfyldes inden udsendelse til leverandøren Tekst markeret med TURKIS, udfyldes af leverandøren Side 1/16 Side 2/16 DATABEHANDLERAFTALE

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR. IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens

Læs mere

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS 1. Vedrørende Databehandlerens ansvar 1.1. Databehandleren må alene behandle personoplysninger omfattet af Databehandleraftalen efter instruks fra den Dataansvarlige

Læs mere

Ikke aktindsigt i s i mailboks, som Tilsynet ikke havde umiddelbar adgang til, selv om Tilsynet kendte koden. 21.

Ikke aktindsigt i  s i mailboks, som Tilsynet ikke havde umiddelbar adgang til, selv om Tilsynet kendte koden. 21. 2016-15 Ikke aktindsigt i e-mails i mailboks, som Tilsynet ikke havde umiddelbar adgang til, selv om Tilsynet kendte koden 21. marts 2016 En tidligere regionsrådsformand havde givet Statsforvaltningen,

Læs mere

Titel: Ikke ret til dataudtræk fra logoplysninger vedrørende opslag i elektroniske patientjournaler

Titel: Ikke ret til dataudtræk fra logoplysninger vedrørende opslag i elektroniske patientjournaler 2016-49433 Titel: Ikke ret til dataudtræk fra logoplysninger vedrørende opslag i elektroniske patientjournaler På foranledning af en henvendelse fra en borger har Statsforvaltningen udtalt: Henvendelse

Læs mere

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. om [Indsæt navn på aftale] Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune

Læs mere

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) Databehandleraftale mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) og Hedensted Kommune Horsens Kommune Odder Kommune Niels Espes Vej 8 Rådhustorvet 4 Rådhusgade

Læs mere

Kontraktbilag 3. Databehandleraftale

Kontraktbilag 3. Databehandleraftale Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i

Læs mere

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 Side 1/19 Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med gul er aftaletekst,

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet Om Datatilsynet Datatilsynet er den statslige myndighed, der fører tilsyn med lov om behandling af personoplysninger

Læs mere

UDKAST TIL TALE Til brug for besvarelsen den 19. august 2010, kl , af samrådsspørgsmål BI

UDKAST TIL TALE Til brug for besvarelsen den 19. august 2010, kl , af samrådsspørgsmål BI Retsudvalget 2009-10 REU alm. del, endeligt svar på spørgsmål 1422 Offentligt Dok.: MOA40883 UDKAST TIL TALE Til brug for besvarelsen den 19. august 2010, kl. 10.00, af samrådsspørgsmål BI Samrådsspørgsmål

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Rigspolitiet overvejer at melde CSC til politiet efter hacking - Politiken.dk

Rigspolitiet overvejer at melde CSC til politiet efter hacking - Politiken.dk Rigspolitiet overvejer at melde CSC til politiet efter hacking Statens største it-leverandør risikerer at få en sag på halsen. Selv vil CSC rejse et erstatningskrav mod de to tiltalte i sagen. ADGANG.

Læs mere

Bilag 9 Databehandleraftale

Bilag 9 Databehandleraftale Bilag 9 Databehandleraftale Aftale om databehandling mellem Trafik-, Bygge- og Boligstyrelsen Edvard Thomsens Vej 14 2300 København S (i det følgende betegnet som den Dataansvarlige) og XXX XX XX (i det

Læs mere

Privatlivspolitik for Hjernesagen

Privatlivspolitik for Hjernesagen Privatlivspolitik for Hjernesagen Vi tager ansvaret for dine oplysninger alvorligt Når du bliver medlem hos Hjernesagen, så giver du os en række personlige oplysninger, som vi skal behandle ansvarligt.

Læs mere

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] DATABEHANDLERAFTALE Der er dags dato indgået følgende Databehandleraftale mellem

Læs mere

Disse forretningsbetingelser gælder for alle CERTA s opdrag, medmindre andet er aftalt med klienten.

Disse forretningsbetingelser gælder for alle CERTA s opdrag, medmindre andet er aftalt med klienten. CERTA S FORRETNINGSBETINGELSER Disse forretningsbetingelser gælder for alle CERTA s opdrag, medmindre andet er aftalt med klienten. Opdraget CERTA s opdrag omfatter bistand i forbindelse med sikkerhedsmæssige

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]

Læs mere

LOGNING AF ELEKTRONISK SAGSBEHANDLING OG BORGERES ADGANG TIL INDSIGT I OPLYSNINGER

LOGNING AF ELEKTRONISK SAGSBEHANDLING OG BORGERES ADGANG TIL INDSIGT I OPLYSNINGER LOGNING AF ELEKTRONISK SAGSBEHANDLING OG BORGERES ADGANG TIL INDSIGT I OPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING

Læs mere

PERSONDATALOVEN OG SUNDHEDSLOVEN

PERSONDATALOVEN OG SUNDHEDSLOVEN KIROPRAKTIK 2014 PERSONDATALOVEN OG SUNDHEDSLOVEN Kort om Persondataloven og Sundhedsloven Sundhedsloven 'Hovedloven' på området Relevant i ft. oplysninger er særligt:» Tavshedspligt, indhentelse og videregivelse

Læs mere

Retsudvalget REU Alm.del endeligt svar på spørgsmål 919 Offentligt

Retsudvalget REU Alm.del endeligt svar på spørgsmål 919 Offentligt Retsudvalget 2016-17 REU Alm.del endeligt svar på spørgsmål 919 Offentligt Folketinget Retsudvalget Christiansborg 1240 København K Lovafdelingen Dato: 5. oktober 2017 Kontor: Databeskyttelseskontoret

Læs mere

Datatilsynets inspektionsrapport

Datatilsynets inspektionsrapport Side 1 af 28 Datatilsynets inspektionsrapport Version 1.0 af Datatilsynets inspektionsskema i SurveyXact Dette skema anvendes på Datatilsynets inspektioner hos myndigheder. Tilsynet udfylder skemaet med

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn

Læs mere

Databehandleraftale. 1. Baggrund, formål og definitioner. mellem. xxxxxxxxxx xxxxxxxxxx xx xxxx xxxxxxx CVR.nr. xxxxxx

Databehandleraftale. 1. Baggrund, formål og definitioner. mellem. xxxxxxxxxx xxxxxxxxxx xx xxxx xxxxxxx CVR.nr. xxxxxx #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem xxxxxxxxxx xxxxxxxxxx xx xxxx xxxxxxx CVR.nr. xxxxxx (herefter benævnt

Læs mere

Tiltalte T2 blev anholdt den 5. juni 2013 i København og har siden været frihedsberøvet.

Tiltalte T2 blev anholdt den 5. juni 2013 i København og har siden været frihedsberøvet. Af rettens (anonymiserede) kendelse vedrørende skyldsspørgsmålet, hvor den 30-årige mand er benævnt T1, og den 21-årige mand er benævnt T2, fremgår følgende: K E N D E L S E Indledning Efter bevisførelsen,

Læs mere

Sagens omstændigheder: I anledning af klagen har Erhvervs- og Selskabsstyrelsen udtalt den 2. januar 2001:

Sagens omstændigheder: I anledning af klagen har Erhvervs- og Selskabsstyrelsen udtalt den 2. januar 2001: Kendelse af 12. november 2001. 00-179.621. Ikke tilladelse til at opbevare regnskabsmateriale i udlandet. Bogføringslovens 12, stk. 4. (Mads Bryde Andersen, Morten Iversen og Jan Uffe Rasmussen) Advokat

Læs mere

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer 5. februar 2014 Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer Formålet med denne trusselsvurdering er at informere om omfanget af særligt avancerede hackerangreb,

Læs mere

MELLEM. 2300 København S. (herefter SKI )

MELLEM. 2300 København S. (herefter SKI ) BRUGERTILSLUTNINGSAFTALE SKI. dk MELLEM Staten og Kommunernes Indkøbs Service A/S Zeppelinerhallen, Islands Brygge 55 2300 København S CVR 17472437, EAN 57900002758477 (herefter SKI ) og (Herefter Kunden

Læs mere

TVovervågning. Struer Kommune Retningslinjer for anvendelse og indkøb af. TV-overvågning

TVovervågning. Struer Kommune Retningslinjer for anvendelse og indkøb af. TV-overvågning TVovervågning Struer Kommune Retningslinjer for anvendelse og indkøb af TV-overvågning Formål TV-overvågning i Struer Kommune benyttes for at bekæmpe, forebygge og opklare kriminelle handlinger som hærværk,

Læs mere

Instrukser for brug af it

Instrukser for brug af it it IT-Afdelingen sikkerhed Instrukser i brug af IT Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Indhold Forord.............................. 3...................... 3 Resumé

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

Dansk Supermarked Administration A/S CVR-nr Bjødstrupvej 18, Holme 8270 Højbjerg

Dansk Supermarked Administration A/S CVR-nr Bjødstrupvej 18, Holme 8270 Højbjerg Dansk Supermarked Administration A/S CVR-nr. 89-49-29-12 Bjødstrupvej 18, Holme 8270 Højbjerg 3. juni 2002 Vedrørende tv-overvågning Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

I den anledning skal Datatilsynet udtale følgende:

I den anledning skal Datatilsynet udtale følgende: Arbejdsmarkedsudvalget L 74 - Bilag 1 Offentligt Arbejdsdirektoratet Stormgade 10 Postboks 1103 1009 København K Sendt til hlo@adir.dk og ope@adir.dk. 14. juli 2008 Vedrørende forslag til lov om ændring

Læs mere

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.:

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.: Abonnementsaftale om håndtering af data i ClinicCare Udgave Januar 2016 Der er krav om at klinikken har en databehandler hos den leverandør der lagre klinikkens data. Dvs. at hvis man har en udgave af

Læs mere

Forsvarets videregivelse af personaleoplysninger til brug for markedsføring

Forsvarets videregivelse af personaleoplysninger til brug for markedsføring Forsvarets videregivelse af personaleoplysninger til brug for markedsføring Brevdato: 19.08.08 Journalnummer: 2008-632-0034 Datatilsynet vender hermed tilbage til sagen, hvor Forsvarets Personeltjeneste

Læs mere

DATABEHANDLERAFTALE Bilag til Aftale om Danløn

DATABEHANDLERAFTALE Bilag til Aftale om Danløn DATABEHANDLERAFTALE Bilag til Aftale om Danløn Denne databehandleraftale er et bilag til den mellem Parterne indgåede Aftale om Danløn ( Aftalen om Danløn ) og udgør en integreret del deraf jf. Aftalen

Læs mere

Retningslinjer for Forsvarets Efterretningstjenestes behandling af personoplysninger mv. om danske statsborgere og herboende udlændinge.

Retningslinjer for Forsvarets Efterretningstjenestes behandling af personoplysninger mv. om danske statsborgere og herboende udlændinge. 12. maj 2010 Retningslinjer for Forsvarets Efterretningstjenestes behandling af personoplysninger mv. om danske statsborgere og herboende udlændinge. Indledning Forsvarets Efterretningstjeneste har til

Læs mere

Erfaringer med tv-overvågning foretaget af boligorganisationer og idrætsanlæg

Erfaringer med tv-overvågning foretaget af boligorganisationer og idrætsanlæg Retsudvalget 2013-14 REU Alm.del Bilag 176 Offentligt Folketinget Retsudvalget Christiansborg 1240 København K Lovafdelingen Dato: 18. marts 2014 Kontor: Forvaltningsretskontoret Sagsbeh: Sultana Baig

Læs mere

PERSONDATAPOLITIK. Som hovedregel kan du tilgå vores hjemmeside uden at fortælle os, hvem du er eller give personlige oplysninger om dig selv.

PERSONDATAPOLITIK. Som hovedregel kan du tilgå vores hjemmeside uden at fortælle os, hvem du er eller give personlige oplysninger om dig selv. PERSONDATAPOLITIK Ved at benytte dig af Forælder Fondens hjemmeside, www.foraelderfonden.dk, og funktionerne derpå samt ansøge Forælder Fonden om hjælp og rådgivning accepterer du, at vi behandler dine

Læs mere

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen DK CERT COMPUTER EMERGENCY RESPONSE TEAM Chefkonsulent Preben Andersen DK CERT Analyse og beskyttelsescenter Primær opgave: Gennem samarbejdet i CERT FIRST åbne kilder, at opbygge en samlet viden, der

Læs mere

3. Spørgsmål om indsigt i loggen over opslag og søgninger i CPR.

3. Spørgsmål om indsigt i loggen over opslag og søgninger i CPR. Retsudvalget (2. samling) REU alm. del - Svar på Spørgsmål 103 Offentligt Indenrigs- og Sundhedsministeriet, CPR-kontoret Datavej 20 Postbox 269 3460 Birkerød sendt til cpr@cpr.dk 22. juni 2005 Udtalelse

Læs mere

Tilsynsstrategi Ny organisation af tilsynsarbejdet

Tilsynsstrategi Ny organisation af tilsynsarbejdet Tilsynsstrategi 2016 2018 Ny organisation af tilsynsarbejdet Indholdsfortegnelse 1. Indledning... 3 2. Udfordringer for databeskyttelsen og nyt retsgrundlag på vej... 3 3. Overordnet organisation af arbejdet

Læs mere

Udvalget for Videnskab og Teknologi UVT alm. del, endeligt svar på spørgsmål 229 Offentligt

Udvalget for Videnskab og Teknologi UVT alm. del, endeligt svar på spørgsmål 229 Offentligt Udvalget for Videnskab og Teknologi 2009-10 UVT alm. del, endeligt svar på spørgsmål 229 Offentligt Ministeren for videnskab, teknologi og udvikling Udvalget for Videnskab og Teknologi Folketinget Christiansborg

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

BRUGERBETINGELSER FOR GENVEJ HERUNDER NEMPOST

BRUGERBETINGELSER FOR GENVEJ HERUNDER NEMPOST BRUGERBETINGELSER FOR GENVEJ HERUNDER NEMPOST Følgende betingelser gælder for brugen af Genvej (www.genvej.gentofte.dk) herunder e- mailløsningen NemPost (www.nempost.dk), som er en integreret del af Genvej.

Læs mere

Beretning til Statsrevisorerne om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Oktober 2015

Beretning til Statsrevisorerne om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Oktober 2015 Beretning til Statsrevisorerne om adgangen til it-systemer, der understøtter samfundsvigtige opgaver Oktober 2015 BERETNING OM ADGANGEN TIL IT-SYSTEMER, DER UNDERSTØTTER SAMFUNDSVIGTIGE OPGAVER Indholdsfortegnelse

Læs mere

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.:

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.: Abonnementsaftale om håndtering af data i ClinicCare 1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.: 1. Lagring og opbevaring af

Læs mere

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik Informationssikkerhedspolitik Er informationssikkerhed aktuel? Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet Hvorfor

Læs mere

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE INSTRUKTION TIL BESVARELSE AF BILAGET: Teksten i dette afsnit er ikke en del af Kontrakten og vil blive fjernet ved kontraktindgåelse.

Læs mere