Anmeldelse af offentlige videnskabelige forskningsprojekter

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Starte visningen fra side:

Download "Anmeldelse af offentlige videnskabelige forskningsprojekter"

Transkript

1 Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel Anmeldelse af offentlige videnskabelige forskningsprojekter VEJLEDNING om anmeldelse efter persondataloven Se også Danske Regioners Retningslinjer af den 26. oktober 2010 gældende fra den 1. januar Procedure Alle forskningsprojekter i regi Region Midtjylland skal anmeldes som offentlig forskning. Dermed registreres denne forskning, via regionens kontaktperson, under regionens paraplyanmeldelse for sundhedsvidenskabelig forskning, ved Datatilsynet. Én gang om året, indberetter Regionssekretariatet en fortegnelse over igangværende og påbegyndte forskningsprojekter i regionens regi, til Datatilsynet. Hvis et projekt foregår i flere regioner, udnytter data fra landsdækkende registre mv., skal projektet anmeldes til den dataansvarlige region. Dette vil sædvanligvis være den region, hvor den koordinerende forsøgs/projektansvarlige har sit virke. Hvad skal anmeldelsen blandt andet indeholde? Anmeldelsen skal foretages på dansk titel må evt. gerne også angives på engelsk Forskningsprojekts navn(max 250 tegn) Formål (kortfattet max 1000 tegn) Hvem er projektansvarlig (navn, adr. tlf., (regionsmail-adresse) Hvem er kontaktperson (navn, adr., tlf., ) Om projektet indeholder biobank Hvor gennemføres projektet? (navn(afd./hospital), adr., tlf.) Hvor behandles/opbevares data Projektets starttidspunkt Projektets afslutningstidspunkt Tidspunkt for sletning af data /anonymisering af data eller indsendelse til statens arkiver Beskrivelse af sikkerhedsmæssige forhold: opbevaring, adgangsforhold, evt. autorisation, logning m.v. (dvs. hvordan databehandler overholder Bekendtgørelse om sikkerheds-foranstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige

2 forvaltning (Bkg. nr. 528 af 15. juni 2000) samt bestemmelser i Vejledning til bekendtgørelse nr. 528 af 15. juni 2000 se nedenstående links Der skal ikke medsendes forskningsprojektets protokol eller kopi af udtalelsen fra Videnskabsetisk komité. Side 2

3 Anmeldelsen sker ved elektronisk via dette link: Generelt Når du planlægger et forskningsprojekt, skal du være opmærksom på, at projektet, forud for iværksættelsen, skal anmeldes efter reglerne i Persondataloven. Er det et offentligt projekt, der er påbegyndt i 2007 eller senere, skal anmeldelsen ske til Regionssekretariatet, se ovenfor. Et projekt anses som offentligt når det udføres i regi af regionen, typisk med afsæt i en eller flere af regionens enheder og hvor der gøres brug af data som Region Midtjylland er dataansvarlig for samt gør brug af Region Midtjyllands ressourcer(pc er, servere, drev, frysere, køleskabe etc.) i øvrigt. Ph.d-projekter vil som hovedregel skulle anmeldes som offentlige projekter. OBS: Projekter der er anmeldt og godkendt af Datatilsynet før 2007 skal genanmeldelse efter den nye procedure. Den gamle tilladelse bortfaldt med indførelse af den ændrede procedure. Ved genanmeldelsen bedes den gamle tilladelse fra Datatilsynet medsendt. Er det et privat forskningsprojekt, skal det anmeldes direkte til Datatilsynet. Hvis regionens faciliteter(pc er, servere, drev, frysere, køleskabe etc.) benyttes til projekter hvor regionen ikke er dataansvarlig, skal der indgås en databehandleraftale mellem den dataansvarlige for projektet og den pågældende region. Persondatalovens regler gælder bl.a. for behandling af personoplysninger, hvis behandlingen foretages i videnskabeligt eller statistisk øjemed. Ved Personoplysninger forstås informationer om personer, der direkte eller indirekte kan identificeres. Ved behandling forstås alle former for håndtering af oplysningerne, dvs. indsamling, registrering, flytning, videregivelse, sletning, opbevaring, anvendelse, arkivering m.v., herunder tekstbehandling på pc, mails, print mv. Når forskningsprojektet behandler oplysninger om enkeltpersoners rent private forhold (følsomme oplysninger), skal projektet have tilladelse. Side 3

4 Hvad sker der, når projektet er anmeldt? Når Regionssekretariatet har modtaget og gennemgået anmeldelsen, opstilles en række vilkår, som projektet skal overholde sammen med de generelle bestemmelser i loven. Vilkårene skal beskytte deltagernes privatliv og sikre, at personoplysningerne behandles i overensstemmelse med loven. Alt efter sagens karakter, vil der foreligge en godkendelse inden for ca. 4 uger. Tilladelsen gives til den projektansvarlige og er tidsbegrænset. Tilladelsen sendes pr mail til den projektansvarliges regionsmailadresse. Udløbsdatoen fremgår af tilladelsen, og vil sædvanligvis svare til det tidspunkt hvor projektet angives som afsluttet. En anmeldelse betragtes automatisk som en anmodning om tilladelse. Den projektansvarlige er den forsker eller afdeling, som er ansvarlig for projektets gennemførelse, herunder for at behandle personoplysninger om deltagerne. Det vil oftest være den pågældende projektleder, som skal foretage anmeldelsen. Hvornår skal anmeldelsen foretages? Projektet skal være anmeldt og have tilladelse, inden du begynder at indsamle og behandle personoplysningerne. Med hjemmel i persondatalovens 41-42, er der udstedt en bekendtgørelse om sikkerhedsforanstaltninger til at beskytte personoplysninger (bkg. Nr. 528 af (Sikkerhedsbekendtgørelsen) og en vejledning til sikkerhedsbekendtgørelsen, se links til bekendtgørelse og vejledning. Sikkerhedsbekendtgørelsen og Vejledningen findes på Datatilsynets hjemmeside. Ændringer i projektet? Har du planer om ændringer i projektet skal du indsende ændringerne til Regionssekretariatet. Ændringer i de forhold, som er beskrevet i den oprindelige anmeldelse kræver yderligere, forudgående tilladelse. Ændringer af mindre betydning skal blot anmeldes. Kontakt Regionssekretariatet, hvis de er i tvivl. Når tilladelsen udløber, bliver anmeldelsen automatisk slettet fra fortegnelsen. Afslutning af projektet, sletning af data. OBS: Data skal slettes eller tilintetgøres, når projektet er afsluttet, d.v.s. når data ikke længere skal anvendes/behandles til det oplyste formål, jf. persondatalovens 5 stk. 5. Der kan dog fastsættes længere frist, når dette følger af anden lovgivning. eks. 16 stk. 3 i Bekendtgørelsen om god klinisk praksis i forbindelse med kliniske forsøg med Side 4

5 lægemidler på mennesker (GCP), hvor der stilles krav om opbevaring af data i minimum 5 år efter forsøgets afslutning. Hvis data ønskes opbevaret efter projektet er afsluttet skal der angives en begrundelse herfor, herunder med henvisning til det regelsæt der stiller krav herom. Dokumentation for krav om længere opbevaringsperiode bedes medsendt. Kravet vil evt. fremgå af den tilladelse til forsøget der udstedes af Lægemiddelstyrelsen. Alternativt skal man anmode Lægemiddelstyrelsen om dokumentation for et sådant krav. Alternativ til sletning: 1. Anonymisering af data ved tilintetgørelse af enhver identifikationsmulighed (nøglefil eller link.) 2. Indsendelse til Statens Arkiver, se OBS Den projektansvarlige skal, når projektet er afsluttet, fremsende en meddelelse herom til med angivelse af jr. Nr. på projektet og oplysning om hvornår projektet er afsluttet og data er blevet slettet, anonymiseret eller lagt i et offentligt arkiv. Forskningsdatabase/forskningsbiobank Hvis data og/eller indsamlet materiale ønskes anvendt til senere forskningsbrug, skal der fremsendes en ny anmeldelse med angivelse af titel og form og at der er tale om en forskningsdatabase/forskningsbiobank til fremtidig forskningsbrug. Efterfølgende forskningsprojekter der ønsker at gøre brug af disse data/materiale skal anmeldes særskilt, og der skal angives j.nr. på det hovedprojekt, hvorfra data/materiale stammer fra. Videregivelse af Data: Hvis data ønskes videregivet til andre projekter/andre dataansvarlige skal der særskilt søges herom via Region Midtjyllands kontaktperson. Videregivelse i regi Region Midtjylland: Hvis data ønskes videregivet til andre videnskabelige projekter i regi Region Midtjylland(hvor Region Midtjylland fortsat er dataansvarlig), skal der indsendes særskilt ansøgning til kontaktepersonen, herom med angivelse af: - at den projektansvarlige(navn og adresse), har givet tilladelse til videregivelsen - hvilket projekt/database der gives data fra, med angivelse af jr. nr. på projektet - hvilke data der er tale om(alle, eller kun dele af projektet/databasens data) - til hvilket projekt/database der er tale om/med hvilket formål sker der videregivelse og hvem der er dataansvarlig Side 5

6 - der skal foretages anmeldelse og indhentes godkendelse af det nye projekt/database Videregivelse til projekter med anden dataansvarlig end Region Midtjylland: En sådan videregivelse til videnskabelige formål, skal særskilt godkendes af Datatilsynet i medfør af Persondatalovens 10, stk. 3. Elektronisk ansøgningsblanket forefindes på Datatilsynets hjemmeside. Det er den projektansvarliges ansvar at Datatilsynets tilladelse efter 10, stk. 3, forefindes. Videregivelse/overdragelse af et privat projekt/database til et offentligt projekt/database i regi Region Midtjylland: Den dataansvarlige for det private projekt skal ansøge Datatilsynet om tilladelse til at overføre dataansvaret til Region Midtjylland, der skal være villig til at overtage dette. Projektet skal herefter anmeldes og godkendes som et offentligt projekt, jf. den ovenfor angivne anmeldelsesprocedure med angivelse jr. nr. på den gamle tilladelse. Videnskabsetisk Forskningskomité og Sundhedsstyrelsen Man skal som forsker være opmærksom på, at et projekt kan kræve godkendelse af enten Videnskabsetisk Forskningskomite eller Sundhedsstyrelsen. I disse tilfælde skal anmeldelse indsendes til Videnskabsetisk Forskningskomite eller Sundhedsstyrelsen. Det gælder biomedicinske forskningsprojekter og forskningsprojekt af væsentlig samfundsmæssig interesse. Biomedicinske forskningsprojekter skal have tilladelse fra Side 6

7 Videnskabsetisk Forskningskomité, som kan give tilladelse til videregivelse af personoplysninger til forskningsprojekter. Videregivelse af personoplysninger fra centrale databaser til andre forskningsprojekter, kræver tilladelse fra Sundhedsstyrelsen. Dette gælder blandt andet hvis der ønskes oplysninger fra patientjournaler. Dette fremgår af Sundhedslovens 46, se link nedenfor. Mener du, at dit projekt kan falde inden for denne bestemmelse, opfordres du til at kontakte enten Sekretariatet for Den videnskabsetiske Komité for Region Midtjylland, Skottenborg 26, 8800 Viborg eller Sundhedsstyrelsen/Dansk Serum institut. Ansøgning om dataudtræk findes på Sundhedsstyrelsens og Dansk Serum Instituts hjemmeside. Kliniske kvalitetsdatabaser godkendt af Sundhedsstyrelsen Hvis der til brug for et forskningsprojekt ønskes data fra en af de af Sundhedsstyrelsen godkendte kliniske kvalitetsdatabaser, skal ansøgning herom indgives til kontaktpersonen i den region der er dataansvarlig for databasen. Ansøgningen skal indeholde følgende oplysninger: - navnet på den omhandlede database - at formålet med videregivelsen/udleveringen af data udelukkende er til videnskabeligt brug - oplysning om hvilke data der er tale om - navnet på det projekt oplysningerne ønskes videregivet til, med angivelse af den projekt/dataansvarlige, herunder evt. med angivelse af jr.nr. på den godkendelse projektet har opnået i forbindelse med anmeldelsen heraf, jf. persondatalovens regler I det omfang der skal udleveres data fra databasen til et projekt der ikke har samme region som dataansvarlig, vil kontaktpersonen foranledige eller indgive en ansøgning til Datatilsynet om tilladelse til udlevering/videregivelse af data jvf. Persondatalovens 10 stk. 3. Der skal endvidere rettes henvendelse til den omhandlede databases styregruppe vedrørende muligheden for brug af databasens data. Region Midtjyllands Standardanmeldelser. Alle regioner har indsendt en række standardanmeldelser til Datatilsynet. Disse anmeldelser dækker alle godkendte databaser under det pågældende område og opdateres en gang årligt ved regionernes indberetning til Datatilsynet. Sundhedsvidenskabelig forskning i Region Midtjylland Sundheds- og sygelighedsregisteret i Region Midtjylland Sociale og socialpsykiatriske tilbud samt specialundervisning Side 7

8 Patientbehandling i regionalt regi Kliniske kvalitetsdatabaser, der er godkendt af Sundhedsstyrelsen. Personaleadministration i Region Midtjylland Kontrol af medarbejdernes anvendelse af og internet Regionsrådsvalg De foreliggende generelle anmeldelser kan ses på Region Midtjyllands hjemmeside og Datatilsynets hjemmeside Spørgsmål ang. anmeldelser kan rettes til Region Midtjylland, Regionssekretariatet, Juridisk enhed, Skottenborg 26, 8800 Viborg, juridisk konsulent Annette Sand, tlf eller mail: Link til lovgivning 1. Sundhedslov 46 Oplysninger om enkeltpersoners helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger fra patientjournaler m.v. kan videregives til en forsker til brug for et konkret biomedicinsk forskningsprojekt, såfremt der er meddelt tilladelse til projektet efter lov om et videnskabsetisk komitésystem og behandling af biomedicinske forskningsprojekter. Stk. 2. Oplysninger som nævnt i stk. 1 kan, når et forskningsprojekt ikke er omfattet af lov om et videnskabsetisk komitésystem og behandling af biomedicinske forskningsprojekter, endvidere videregives til en forsker til brug ved et konkret forskningsprojekt af væsentlig samfundsmæssig interesse efter godkendelse af Sundhedsstyrelsen, som fastsætter vilkår for videregivelsen. Stk. 3. Der må kun ske efterfølgende henvendelse til enkeltpersoner, i det omfang de sundhedspersoner, der har behandlet de pågældende, giver tilladelse hertil. 2. Bekendtgørelse nr. 528 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, som ændret ved bkg nr. 201 I medfør af 41, stk. 5, i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger fastsættes: Kapitel 1 Almindelige bestemmelser 1. Denne bekendtgørelse gælder for behandling af personoplysninger, som foretages for den offentlige forvaltning helt eller delvis ved hjælp af elektronisk databehandling. 2. Behandling af personoplysninger skal ske i overensstemmelse Side 8

9 med bestemmelserne i kapitel 1 og 2. Stk. 2. Behandling af personoplysninger, hvor der skal ske anmeldelse til Datatilsynet efter reglerne i kapitel 12 i lov om behandling af personoplysninger, skal tillige ske i overensstemmelse med bestemmelserne i denne bekendtgørelses kapitel 3. Dette gælder dog ikke for behandling af personoplysninger, der udelukkende sker med henblik på at føre et retsinformationssystem, i det omfang der er tale om oplysninger i den offentligt tilgængelige del af retsinformationssystemet. Det gælder endvidere ikke for behandling af oplysninger om ansattes fagforeningsmæssige tilhørsforhold i forbindelse med aftaler om kontingentindeholdelse. 3. Den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Stk. 2. For personoplysninger, som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. 4. Datatilsynet fører tilsyn med overholdelsen af denne bekendtgørelse og kan i den forbindelse komme med henstillinger over for den dataansvarlige myndighed vedrørende de trufne sikkerhedsforanstaltninger, jf. 3. Kapitel 2 Generelle sikkerhedsbestemmelser 5. Den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. Stk. 2. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden. 6. Den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de Side 9

10 bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. Stk. 2. Hvis behandling af personoplysninger finder sted på en pc-arbejdsplads uden for den dataansvarlige myndigheds lokaliteter, skal myndigheden fastsætte særlige retningslinier herfor, således at det sikres, at bestemmelserne om sikkerhedsforanstaltninger iagttages. 8. På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne. 9. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, samt ved salg og kassation af anvendte datamedier skal der træffes de fornødne foranstaltninger for at sikre, at bestemmelsen i 3 iagttages. Inddatamateriale som indeholder personoplysninger 10. Inddatamateriale, som ikke indgår i en manuel sag eller i et manuelt register, må kun anvendes af personer, som er beskæftiget med inddatering. Inddatamateriale, som er omfattet af bestemmelsen i 2, stk. 2, skal opbevares aflåst, når det ikke anvendes. Stk. 2. Inddatamateriale som nævnt i stk. 1 skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager, eller til kontrol med de inddaterede personoplysninger, dog senest efter en af den dataansvarlige myndighed nærmere fastsat frist. Stk. 3. Ved tilintetgørelse af inddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger mod, at materialet misbruges eller kommer til uvedkommendes kendskab. Autorisation og adgangskontrol 11. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles. Stk. 2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Stk. 3. Der må endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. 12. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til. Copyright 2005 Forlaget Thomson A/S side 1 WESTLAW DANMARK BKG Uddatamateriale som indeholder personoplysninger 13. Uddatamateriale må kun anvendes af personer, der er beskæftiget med de formål, til hvilke behandlingen af personoplysningerne foretages. Stk. 2. Herudover må uddatamateriale anvendes af personer, som er beskæftiget med revision eller drifts- og systemtekniske opgaver i det pågældende system. Side 10

11 Stk. 3. Uddatamateriale skal opbevares på en sådan måde, at uvedkommende ikke kan få adgang til at gøre sig bekendt med de personoplysninger, som er indeholdt heri. Stk. 4. Uddatamateriale skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager, og senest efter en af den dataansvarlige myndighed nærmere fastsat frist. Stk. 5. Ved tilintetgørelse af uddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger mod, at materialet misbruges eller kommer til uvedkommendes kendskab. Stk. 6. Bestemmelserne i stk. 1-5 gælder ikke for uddatamateriale, som indgår i en manuel sag eller i et manuelt register. Eksterne kommunikationsforbindelser 14. Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Kapitel 3 Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger 15. Bestemmelserne i kapitel 3 finder ikke anvendelse i det omfang de behandlede oplysninger ikke i sig selv ville være omfattet af anmeldelsespligt til Datatilsynet. Autorisation og adgangskontrol 16. Autorisationer, jf. 11, skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. 17. Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne i 11, stk. 2 og 3, og 16. Stk. 2. Kontrol heraf skal foretages mindst en gang hvert halve år. Kontrol med afviste adgangsforsøg 18. Der skal foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Der skal løbende ske opfølgning i myndigheden. Logning 19. Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse for personoplysninger, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for en af den dataansvarlige myndighed nærmere fastsat kortere frist. Stk. 3. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis behandlingen af personoplysninger udelukkende sker ved afvikling af programmer, Side 11

12 som foretager en forud defineret massebehandling af personoplysninger (»batch»-kørsler). Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen. Stk. 4. Bestemmelsen i stk. 1 finder endvidere ikke anvendelse, hvis behandlingen af personoplysningerne udelukkende sker med henblik på statistiske eller videnskabelige undersøgelser, og identifikationsoplysningerne forinden enten er krypteret eller erstattet med et kodenummer eller lignende. Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen. Stk. 5. Bestemmelsen i stk. 1 finder endelig ikke anvendelse for personoplysninger, som i form af måle- eller analyseresultater automatisk lagres i medicoteknisk udstyr. Undtagelsen omfatter tillige personoplysninger, som manuelt registreres i medicoteknisk udstyr til supplering af automatisk lagrede oplysninger. Kapitel 4 Ikrafttræden 20. Bekendtgørelsen træder i kraft den 1. juli Vejledning Side 12

13 Oversigt (indholdsfortegnelse) Kapitel 1 - Almindelige bestemmelser Kapitel 2 - Generelle sikkerhedsbestemmelser Kapitel 3 - Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger Den fulde tekst Vejledning til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning Indledning Denne vejledning beskriver og uddyber de tekniske og organisatoriske sikkerhedsforanstaltninger, som skal træffes i den offentlige forvaltning af hensyn til behandlingssikkerheden (datasikkerheden). De overordnede regler for datasikkerheden er fastsat i lov om behandling af personoplysninger (persondataloven) Disse bestemmelser har følgende ordlyd: 41. Personer, virksomheder mv., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, må kun behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov. Stk. 2. Den i stk. 1 nævnte instruks må ikke begrænse den journalistiske frihed eller være til hinder for tilvejebringelsen af et kunstnerisk eller litterært produkt. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger. 42. Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Stk. 2. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. Justitsministeren har i medfør af lovens 41, stk. 5, udstedt bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Bekendtgørelsens 2, stk. 2, er ændret ved bekendtgørelse nr. 201 af 22. marts Bekendtgørelsen indeholder nærmere regler om de sikkerhedsforanstaltninger, som kræves efter lovens 41, stk. 3. Side 13

14 Bestemmelserne i bekendtgørelse nr. 528 (sikkerhedsbekendtgørelsen) er gengivet nedenfor. I tilknytning til den enkelte bestemmelse gives en beskrivelse og uddybning af de krav, som følger af bestemmelsen. Bekendtgørelsens enkelte bestemmelser Kapitel 1 Almindelige bestemmelser 1. Denne bekendtgørelse gælder for behandling af personoplysninger, som foretages for den offentlige forvaltning helt eller delvis ved hjælp af elektronisk databehandling. Bekendtgørelsen gælder alene for behandling af personoplysninger, som foretages for den offentlige forvaltning helt eller delvis ved hjælp af elektronisk databehandling. Ved en behandling, hvor kun en del foretages ved hjælp af elektronisk databehandling, gælder bekendtgørelsen kun for denne del. For den offentlige forvaltnings behandling af personoplysninger i manuelle registre samt for behandling af personoplysninger i den private sektor gælder lovens bestemmelser umiddelbart samt bestemmelser, som måtte være fastsat i selvstændige bekendtgørelser, jf. lovens 41, stk Behandling af personoplysninger skal ske i overensstemmelse med bestemmelserne i kapitel 1 og 2. For enhver behandling af personoplysninger, uanset om der indgår fortrolige oplysninger eller ej, gælder bestemmelserne i bekendtgørelsens kapitel 1 - almindelige bestemmelser - og i kapitel 2 - generelle sikkerhedsbestemmelser. Stk. 2. Behandling af personoplysninger, hvor der skal ske anmeldelse til Datatilsynet efter reglerne i kapitel 12 i lov om behandling af personoplysninger, skal tillige ske i overensstemmelse med bestemmelserne i denne bekendtgørelses kapitel 3. Dette gælder dog ikke for behandling af personoplysninger, der udelukkende sker med henblik på at føre et retsinformationssystem, i det omfang der er tale om oplysninger i den offentligt tilgængelige del af retsinformationssystemet. Det gælder endvidere ikke for behandling af oplysninger om ansattes fagforeningsmæssige tilhørsforhold i forbindelse med aftaler om kontingentindeholdelse. For behandlinger, som efter reglerne i lovens kapitel 12 skal anmeldes til Datatilsynet, gælder ud over bestemmelserne i bekendtgørelsens kapitel 1 og 2 også bestemmelserne i kapitel 3 - supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger. Reglerne for anmeldelse af behandlinger, der foretages for den offentlige forvaltning, fremgår af lovens kapitel 12 og er beskrevet i Datatilsynets vejledning nr. 125 af 10. juli Den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Bestemmelsen er en gentagelse af lovens 41, stk. 3, idet dog sidste punktum ikke er medtaget. Foranstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, kan f.eks. bestå i, at der efter nærmere fastlagte rutiner foretages sikkerhedskopiering. De sikkerhedsforanstaltninger, der er fastsat i sikkerhedsbekendtgørelsen, retter sig navnlig mod, at oplysningerne kommer til uvedkommendes kendskab, bliver misbrugt eller i øvrigt behandles i strid med loven. En mere generelt dækkende vejledning om etablering af såvel tekniske som organisatoriske sikkerhedsforanstaltninger i forbindelse med elektronisk databehandling kan findes i Dansk Standard DS 484, Norm for edb-sikkerhed. Stk. 2. For personoplysninger, som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Bestemmelsen svarer til indholdet af lovens 41, stk. 4. Det vil påhvile den dataansvarlige myndighed først at identificere de af myndighedens behandlinger, som vedrører oplysninger af særlig interesse for fremmede magter, og derefter træffe de efter myndighedens vurdering fornødne sikkerhedsforanstaltninger. Side 14

15 4. Datatilsynet fører tilsyn med overholdelsen af denne bekendtgørelse og kan i den forbindelse komme med henstillinger over for den dataansvarlige myndighed vedrørende de trufne sikkerhedsforanstaltninger, jf. 3. Datatilsynets tilsyn med overholdelse af bekendtgørelsen er en del af det tilsyn, som Datatilsynet efter lovens 55 skal føre, nemlig tilsyn med enhver behandling, der omfattes af loven (med undtagelse af behandlinger, der foretages for domstolene, jf. lovens kapitel 17). Kapitel 2 Generelle sikkerhedsbestemmelser 5. Den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. Idet bestemmelserne i bekendtgørelsen er af mere generel og overordnet karakter, vil der være behov for, at den enkelte dataansvarlige myndighed nærmere fastlægger og beskriver, hvorledes bekendtgørelsens bestemmelser er tænkt opfyldt, og i det hele taget hvorledes sikkerhedsarbejdet i forbindelse med behandling af personoplysninger tilrettelægges. Der er i denne bestemmelse nævnt et antal emner for interne bestemmelser, instrukser og retningslinier. Opremsningen skal ses som eksempler og er ikke udtømmende. Udover at tjene som dokumentation vil de bestemmelser mv., som den dataansvarlige myndighed udarbejder i henhold til denne bestemmelse, også kunne tjene som arbejdsgangsbeskrivelser, funktionsbeskrivelser for forskellige funktioner i sikkerhedsarbejdet, ansvarsbeskrivelse og -afgrænsning mm. Visse af de nævnte beskrivelser kan være af en sådan karakter, at sikkerhedsmæssige hensyn taler for at klassificere dem som ikke offentligt tilgængelige. Dette kan være aktuelt for f.eks. beskrivelse af tekniske indretninger såsom alarmsystemer. Stk. 2. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden. Da dokumentation er uden værdi, hvis den ikke er aktuel, bør de interne bestemmelser nævnt ovenfor løbende ajourføres, således at de til enhver tid afspejler de faktiske forhold på stedet. Efter denne bestemmelse påhviler det den dataansvarlige at kontrollere mindst en gang årligt, at den nævnte ajourføring af de interne bestemmelser er foretaget. 6. Den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af 5. For at behandlingen af personoplysninger kan ske korrekt og som forudsat af den dataansvarlige, skal medarbejdere, som udfører behandlingen, ved uddannelse, instruktion mv. bibringes den nødvendige viden. For at behandlingen kan ske sikkerhedsmæssigt korrekt, skal medarbejderne have kendskab til de gældende sikkerhedsregler, hvilket bl.a. kan opnås ved at orientere medarbejderne om relevante dele af bestemmelserne, som fastsættes efter bekendtgørelsens Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. Efter denne bestemmelse skal gennemførelse af en behandling ved en databehandler ske i henhold til en skriftlig aftale, som den dataansvarlige har indgået med databehandleren. Det skal af denne aftale fremgå, at den behandling, som den dataansvarlige overlader til databehandleren, skal ske efter reglerne i denne bekendtgørelse, helt som hvis den dataansvarlige selv havde forestået behandlingen. Den dataansvarlige skal sikre, at behandlingen sker efter reglerne i bekendtgørelsen, selv om behandlingen sker hos en databehandler, som er etableret i en anden medlemsstat. Såfremt der i det pågældende land findes særlige sikkerhedsregler for Side 15

16 databehandlerens virksomhed, skal det af aftalen mellem den dataansvarlige og databehandleren fremgå, at databehandleren tillige skal iagttage disse. Bestemmelsen sigter først og fremmest mod de situationer, hvor databehandlingen er overladt til et edb-servicebureau. I øvrigt fremgår det af persondatalovens 42, stk. 1, at når en dataansvarlig overlader behandling af oplysninger til en databehandler, skal den dataanvarlige sikre sig, at databehandleren kan træffe de i lovens 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Den dataansvarlige skal således aktivt sikre, at de krævede sikkerhedsforanstaltninger overholdes hos databehandleren, og det kan i den sammenhæng være relevant at indhente en årlig revisionserklæring fra en uafhængig tredjepart. Den skriftlige aftale parterne imellem som nævnt ovenfor kunne bl.a. indeholde denne revisionserklæring som en betingelse for at lade behandlingen foretage hos databehandleren. Endelig bør det af den skriftlige aftale fremgå, om behandlingen af personoplysninger hos databehandleren sker helt eller delvist ved anvendelse af hjemmearbejdspladser. Stk. 2. Hvis behandling af personoplysninger finder sted på en pc-arbejdsplads uden for den dataansvarlige myndigheds lokaliteter, skal myndigheden fastsætte særlige retningslinier herfor, således at det sikres, at bestemmelserne om sikkerhedsforanstaltninger iagttages. Ved pc-arbejdspladser uden for den dataansvarliges lokaliteter tænkes der her først og fremmest på hjemmearbejdspladser (arbejdsplads som etableres ved opstilling i en medarbejders hjem af en pc med forbindelse til arbejdsgiverens edb-system, således at medarbejderen kan udføre visse arbejdsopgaver hjemmefra), men bestemmelsen vil også gælde i en række andre tilfælde, hvor behandling foretages andre steder end ved de sædvanlige arbejdspladser på arbejdsgiverens lokaliteter (brug af bærbare pc'er under rejse, hos kunder eller klienter etc., anvendelse af en pc i en anden virksomhed eller myndighed, anvendelse af privat pc i hjemmet). Dette gælder ikke alene for pc'er, men også for andet elektronisk udstyr, f.eks PDA'er (Personal Digital Assistant) og lignende. Nedenstående betragtninger er gjort vedrørende hjemmearbejdspladser, men tilsvarende kan gøres for alle tilfælde af eksempler på arbejdspladser uden for den dataansvarliges lokaliteter. Den dataansvarlige skal foretage en vurdering ud fra de sikkerhedsmæssige forhold og fastsætte særlige retningslinier på grundlag heraf. Ved arbejde fra en hjemmearbejdsplads finder anvendelsen af data sted i et andet miljø. Mens der i forbindelse med arbejde på den almindelige arbejdsplads gennem lang tids praksis er indarbejdet rutiner og adfærd, som sikrer en forsvarlig behandling af data, eksisterer der ikke på forhånd en tilsvarende praksis, som sikrer, at behandlingen af data fra en hjemmearbejdsplads sker med tilsvarende sikkerhed. Der er derfor en række forhold, som der skal tages stilling til. Af de sikkerhedsmæssige problemområder, som skal vurderes, kan bl.a. nævnes: Lokal lagring af oplysninger. Hvis det er nødvendigt, at hjemme-pc'en ikke bare anvendes som terminal mod det centrale system, men også til lagring af oplysninger fra det centrale system, bør oplysningerne krypteres. Lokal udskrivning af oplysninger. Hvis det ikke kan undgås, at der skal udskrives oplysninger på hjemme-pc'en, skal der fastsættes regler og gives instruktion vedrørende opbevaring og tilintetgørelse af udskrifter, så oplysningerne ikke kommer uvedkommende til kendskab. Anden anvendelse af hjemme-pc'en. Hvis den dataansvarlige tillader anden anvendelse, f.eks. til privat brug, skal der fastsættes retningslinier for denne anvendelse og etableres de nødvendige sikkerhedsforanstaltninger i forbindelse dermed. Fysisk sikkerhed. I hjemmemiljøet må det forventes, at den fysiske sikring mod tyveri, hærværk og uvedkommendes adgang i det hele taget ikke vil være på højde med forholdene på den almindelige arbejdsplads. Særligt ved lokal lagring af oplysninger og lokal udskrivning må opmærksomheden rettes mod dette punkt. Endvidere kan muligheden for aflytning af datatransmissionen ved fysisk indgriben i telefonlinier være større i dette miljø. Anvendelse af opkaldslinier. Hvis etablering af forbindelse fra hjemmearbejdspladsen til det centrale system sker ved anvendelse af opkaldsforbindelse (analog telefonforbindelse, ISDN, mobiltelefon etc.), skal der i denne forbindelse træffes foranstaltninger mod, at uvedkommende kan foretage opkald til det centrale system og i det hele taget gribe ind i kommunikationen. Som eksempler på sådanne foranstaltninger kan nævnes tilbagekald, passwordbeskyttelse og lukkede brugergrupper. Det kan i denne forbindelse bl.a. overvejes, om der skal være særlige tidsrum, hvor hjemmearbejdspladsen ikke kan anvendes, og om der skal etableres en særlig logning af dens anvendelse. Side 16

17 Der bør løbende ske en ajourføring af de særlige retningslinier vedrørende hjemmearbejdspladser for at sikre, at bestemmelserne om sikkerhedsforanstaltninger iagttages. 8. På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne. Bestemmelsen retter sig meget bredt mod lokaliteter, hvor behandling af personoplysninger finder sted, og hovedsageligt mod den fysiske sikkerhed. Forholdsreglerne, som træffes efter denne bestemmelse, kan ses som et supplement til bekendtgørelsens øvrige bestemmelser om adgang til oplysninger og vil i vid udstrækning være sammenfaldende med den dataansvarliges gængse regler om fysisk sikkerhed, såsom aflåsning af lokaler og bygningsafsnit, alarmsystem, begrænset adgang til serverrum samt placering af skærme og printere (specielt i ekspeditions- og publikumsområder). 9. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, samt ved salg og kassation af anvendte datamedier skal der træffes de fornødne foranstaltninger for at sikre, at bestemmelsen i 3 iagttages. Foranstaltninger mod, at uvedkommende får adgang til lagrede oplysninger, vil afhænge af den konkrete situation. Ved reparation og service af udstyr, skal den dataansvarlige, hvis ikke oplysningerne kan fjernes fra udstyret, sikre sig, at reparations- og servicepersonalet vil behandle oplysninger, som de måtte blive bekendt med under deres arbejde, som fortroligt materiale, der under ingen omstændigheder må videregives eller anvendes. Ved kassation af lagringsmedier og udstyr, som indeholder personoplysninger, bør lagringsmedierne destrueres eller afmagnetiseres, så der ikke er mulighed for at læse indholdet. Hvis den dataansvarlige frem for at destruere lagringsmedier afhænder disse med henblik på genbrug, skal de lagrede oplysninger slettes effektivt ved overskrivning. Datatilsynet anbefaler, at der til overskrivning af datamedier anvendes et specialprogram, som overskriver data flere gange i overensstemmelse med en anerkendt specifikation (f.eks. DOD M) Ved reparation af udstyr skal lagrede oplysninger, så vidt det er muligt, ligeledes slettes forinden. Inddateringsmateriale som indeholder personoplysninger 10. Inddatamateriale, som ikke indgår i en manuel sag eller i et manuelt register, må kun anvendes af personer, som er beskæftiget med inddatering. Inddatamateriale, som er omfattet af bestemmelsen i 2, stk. 2, skal opbevares aflåst, når det ikke anvendes. Ved inddatamateriale forstås det grundmateriale (papirbaseret eller elektronisk), hvorfra der hentes oplysninger til videre elektronisk databehandling. Bestemmelsen gælder for inddatamateriale, som hverken indgår i en traditionel, papirbaseret sag, herunder en patientjournal, eller i et manuelt register. Således vil modtagne ansøgningsblanketter, som opbevares samlet uden at være journaliseret på f.eks. en sag vedrørende den enkelte ansøger eller på en fælles sag vedrørende den pågældende type af ansøgning, være omfattet af bestemmelsen, hvis blanketterne skal inddateres elektronisk. Derimod vil ansøgningsblanketterne ikke være omfattet af bestemmelsen, så snart den omtalte journalisering er foretaget, ligesom de heller ikke vil være omfattet, hvis de opbevares på en sådan måde, at de må siges at udgøre et manuelt register (f.eks. ordnet efter særlige kriterier i et ringbind), idet bekendtgørelsen ikke gælder for manuelle registre. Inddatamateriale i elektronisk form, f.eks. transaktioner opsamlet i en fil, vil normalt være omfattet af bestemmelsen. Det skal bemærkes, at inddatering ved indtastning, f.eks. i et on-line system, i sig selv udgør en behandling, der er omfattet af bekendtgørelsen. Inddatamateriale, som er omfattet af bestemmelsen i 2, stk. 2, dvs. materiale, der som hovedregel indeholder oplysninger af fortrolig karakter, skal med henblik på at hindre uvedkommendes adgang til oplysningerne opbevares aflåst, når det ikke benyttes. Der stilles ikke mere specifikke krav om, hvorledes aflåsning skal etableres, men det forudsættes, at det sker ved aflåsning af skuffe, skab, lokale eller på anden måde, som efter den dataansvarliges vurdering er forsvarlig. Stk. 2. Inddatamateriale som nævnt i stk. 1 skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager, eller til kontrol med de inddaterede personoplysninger, dog senest efter en af den dataansvarlige myndighed nærmere fastsat frist. Inddateringsmateriale, som nævnt i stk. 1 - bestemmelsen gælder altså ikke for materiale, som indgår i en manuel sag eller i et manuelt register - skal slettes (materiale i elektronisk form) eller tilintetgøres (papirbaseret materiale), når der ikke længere er brug for materialet. Den dataansvarlige må således i forbindelse med hver enkelt behandling tage stilling til, hvor længe der er Side 17

18 behov for eller krav om, at inddateringsmaterialet opbevares, og formelt fastsætte en seneste frist for sletning eller tilintetgørelse. Stk. 3. Ved tilintetgørelse af inddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger mod, at materialet misbruges eller kommer til uvedkommendes kendskab. En procedure for tilintetgørelse af inddatamaterialet skal efter bestemmelsen tilrettelægges på en sådan måde, at materialet ikke i denne sammenhæng kan misbruges eller komme uvedkommende til kendskab. Der kan i denne forbindelse f.eks. være tale om at opsamle materiale i aflåste containere med efterfølgende anvendelse af en pålidelig makuleringsservice for fortroligt materiale. Autorisation og adgangskontrol 11. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles. I persondataloven er det i kapitel 11 om behandlingssikkerhed anført, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod bl.a., at oplysningerne kommer til uvedkommendes kendskab ( 41, stk. 3). Det er derfor i denne bestemmelse i bekendtgørelsen fastsat, at der kun må gives adgang til personoplysningerne for personer, som direkte er autoriserede hertil. Det forudsættes, at der fastlægges en formel autorisationsordning og -arbejdsgang. Stk. 2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. I denne bestemmelse fastslås det, at der kun må autoriseres personer, der er beskæftiget med de formål, hvortil oplysningerne behandles. Alle andre personer, også øvrige medarbejdere hos den dataansvarlige myndighed, er i forbindelse med den omhandlede behandling uvedkommende og må ikke have adgang til oplysningerne. Tilsvarende betragtninger ligger bag begrænsningen i autorisationen til kun at omfatte anvendelser, som de enkelte brugere har behov for. Det forudsættes, at der i den formelle autorisationsprocedure vil indgå en forudgående vurdering af, hvad den enkelte bruger har behov for at være autoriseret til. I den formelle autorisationsprocedure kan endvidere f.eks. indgå, at der til den pågældende bruger fremsendes et brev, hvori det nærmere beskrives, hvilke oplysninger brugeren herved autoriseres (godkendes) til at anvende. For brugere, som ikke længere har behov for de autorisationer, de har fået udstedt, skal autorisationerne inddrages. Det gælder f.eks. medarbejdere, som flytter til andet arbejdsområde, eller hvis ansættelsesforhold ophører. Stk. 3. Der må endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. Udover til de ovenfor omhandlede medarbejdere i den pågældende myndighed kan det være aktuelt at give adgang til oplysninger til personer, som ikke er direkte vedkommende i forhold til den enkelte behandling, men som i anden sammenhæng har behov herfor. Der er i denne bestemmelse tænkt på sådanne personer, som udfører revision, og personer som udfører teknisk vedligeholdelse, driftsovervågning, fejlretning mv. Den dataansvarlige skal fastlægge særlige retningslinier for udstedelse af sådanne autorisationer og for inddragelse heraf for så vidt angår autorisationer, der kun behøver at være midlertidige (f.eks. autorisationer til brug ved en årlig revision). 12. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til. Udover den ovenfor omtalte formelle autorisation af brugere skal der etableres en teknisk adgangskontrol i systemerne, således at autoriserede personer skal identificere sig over for systemet for at få adgang til at foretage behandlinger i overensstemmelse med autorisationen. Den mest almindelige form for adgangskontrol er brugeridentifikation med tilhørende password, men andre former for adgangskontrol er ikke udelukket. Såfremt password benyttes, skal den dataansvarlige fastsætte nærmere retningslinier for behandling og opbygning af password. Datatilsynet anbefaler, at password har en længde på mindst 8 tegn. Passwords bør opbygges af en blanding af tal og store og små bogstaver. Password bør skiftes mindst en gang om året. Uddatamateriale som indeholder personoplysninger 13. Uddatamateriale må kun anvendes af personer, der er beskæftiget med de formål, til hvilke behandlingen af personoplysningerne foretages. Side 18

19 Ved uddatamateriale forstås det resultat af en elektronisk databehandling, som foreligger på papirbaseret eller elektronisk form. Bestemmelserne i 13, stk. 1-5, gælder kun for uddatamateriale - på papir eller i elektronisk form - der indeholder personoplysninger, og således ikke for f.eks. anonyme oversigter og lignende. Bestemmelserne gælder endvidere kun for uddatamateriale - på papir eller i elektronisk form - som ikke indgår i en manuel sag eller i et manuelt register, jf. stk. 6. Idet personoplysninger ikke må komme uvedkommende til kendskab, må uvedkommende heller ikke få adgang til uddatamateriale, som indeholder personoplysninger. Adgangen til sådant uddatamateriale skal derfor begrænses til personer, som er beskæftiget med de formål, til hvilke behandlingen af personoplysningerne foretages. Stk. 2. Herudover må uddatamateriale anvendes af personer, som er beskæftiget med revision eller drifts- og systemtekniske opgaver i det pågældende system. Det kan også være aktuelt at give adgang til uddatamateriale for personer, som ikke er direkte beskæftiget med den pågældende behandling, men som i anden sammenhæng har behov herfor. Der er i denne bestemmelse tænkt på sådanne personer, som udfører revision, og personer som udfører teknisk vedligeholdelse, driftsovervågning, fejlretning mv. Stk. 3. Uddatamateriale skal opbevares på en sådan måde, at uvedkommende ikke kan få adgang til at gøre sig bekendt med de personoplysninger, som er indeholdt heri. Hvorledes uddatamateriale kan opbevares, så uvedkommende ikke kan gøre sig bekendt med personoplysningerne deri, vil afhænge af den konkrete situation. Ansvaret for forsvarlig opbevaring påhviler den dataansvarlige, og denne bør fastsætte formelle retningslinier herfor. Stk. 4. Uddatamateriale skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager, og senest efter en af den dataansvarlige myndighed nærmere fastsat frist. Uddatamateriale som nævnt i bemærkningerne til bestemmelsen i stk. 1 skal slettes (materiale i elektronisk form) eller tilintetgøres (papirbaseret materiale), når der ikke længere er brug for materialet. Den dataansvarlige skal derfor i forbindelse med hver enkelt behandling tage stilling til, hvor længe der er behov for eller krav om, at uddatamaterialet opbevares, og formelt fastsætte en seneste frist for sletning eller tilintetgørelse. Stk. 5. Ved tilintetgørelse af uddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger mod, at materialet misbruges eller kommer til uvedkommendes kendskab. En procedure for tilintetgørelse af uddatamaterialet skal efter bestemmelsen tilrettelægges på en sådan måde, at materialet ikke i denne sammenhæng kan misbruges eller komme uvedkommende til kendskab. Der kan f.eks. være tale om at opsamle materiale i aflåste containere med efterfølgende anvendelse af en pålidelig makuleringsservice for fortroligt materiale. Stk. 6. Bestemmelserne i stk. 1-5 gælder ikke for uddatamateriale, som indgår i en manuel sag eller i et manuelt register. Sikkerhedsbekendtgørelsen gælder ikke for de nævnte situationer. For materiale, som indgår i en manuel sag, gælder forvaltningslovens regler, mens manuelle registre er omfattet af bestemmelserne i persondataloven herunder reglerne om behandlingssikkerhed i 41-42, samt af særlige regler, der måtte være fastsat for manuelle registre. Eksterne kommunikationsforbindelser 14. Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Bestemmelsen gælder enhver form for telekommunikation i forbindelse med behandling af personoplysninger, f.eks. forsendelse af oplysninger med telefax eller ekstern e-post, etablering af terminaladgang ved opkaldsmodem, adgang til oplysninger via myndighedens hjemmeside og etablering af internetadgang fra arbejdspladser på myndighedens interne net. De særlige sikkerhedsforanstaltninger skal træffes efter myndighedens vurdering af sikkerhedsrisici i det konkrete tilfælde, herunder med hensyntagen til karakteren af de omhandlede oplysninger. For at kunne fastlægge sikkerhedsniveauet er det nødvendigt, at den dataansvarlige foretager en samlet risikovurdering, som omfatter alle elementer i kommunikationsforbindelsen. Side 19

20 Ved tilslutning til Internet eller andre åbne net skal der træffes foranstaltninger, som sikrer imod uvedkommende trafik og forhindrer adgang fra det åbne net til den dataansvarliges interne net. Ved brug af telefax skal opmærksomheden særligt været rettet mod dels risikoen for at faxen sendes til forkert modtager, dels at den modtagne fax kan være tilgængelig for uvedkommende hos modtageren. Ved afsendelse af faxer skal det angivne telefaxnummer kontrolleres nøje. Anvendelse af fastindkodede telefaxnumre (kortvalg) kan ligeledes overvejes. For så vidt angår behandlingen af modtagne faxer bør telefaxmaskinen placeres således, at uvedkommende ikke umiddelbart har adgang til modtagne faxer. Ved anvendelse af telefax i forbindelse med mere følsomme oplysninger kan en løsning være at anvende udstyr, som lagrer modtagne faxer i maskinen, og kun lade specielt autoriserede medarbejdere udskrive dem. Ved transmission af personoplysninger over opkaldsforbindelser (via analog telefonforbindelse, ISDN, mobiltelefon etc.), f.eks. ved etablering af terminaladgang til et centralt system fra en bærbar pc, skal der specielt træffes foranstaltninger mod, at uvedkommende kan foretage opkald. Det kan bl.a. være relevant at anvende faciliteter som tilbagekald eller lukkede brugergrupper. For transmission af personoplysninger over åbne net (f.eks. Internet) gælder konkret nedenstående minimumskrav om sikkerhedsforanstaltninger: Ved transmission af oplysninger over det åbne Internet er der generelt en risiko for, at oplysningerne undervejs læses og endog ændres af uvedkommende. Derudover er der en risiko for, at parterne i kommunikationen ikke er dem, de udgiver sig for. Disse risici må vurderes af den dataansvarlige i den konkrete situation, således at der kan træffes de fornødne sikkerhedsforanstaltninger. Hvad angår fortrolighed kan denne sikres ved forsvarlig kryptering af de transmitterede oplysninger. Hvis der er tale om transmission af fortrolige oplysninger, herunder personnummer, skal der som minimum foretages en kryptering. Hvis de transmitterede oplysninger er af følsom karakter (omfattet af persondatalovens 7, stk. 1 og 8, stk. 1), skal der anvendes en stærk kryptering, baseret på en anerkendt algoritme. Sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) må sikres i fornødent omfang ved anvendelse af passende sikkerhedsforanstaltninger, f.eks. elektronisk signatur eller individuelle, fortrolige adgangskoder. Kapitel 3 Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger 15. Bestemmelserne i kapitel 3 finder ikke anvendelse i det omfang de behandlede oplysninger ikke i sig selv ville være omfattet af anmeldelsespligt til Datatilsynet. Behandlinger, som omfatter oplysninger af fortrolig karakter, er som hovedregel anmeldelsespligtige og skal ske under iagttagelse af de supplerende sikkerhedsbestemmelser i dette kapitel. Se nærmere om anmeldelsespligten i Datatilsynets vejledning nr. 125 af 10. juli Udover disse oplysninger af fortrolig karakter, som indgår i en anmeldelsespligtig behandling, vil der typisk i behandlingen også indgå oplysninger, som ikke er af fortrolig karakter. Bestemmelserne i dette kapitel gælder ikke for anvendelse af disse ikkefortrolige oplysninger og heller ikke for anvendelse af de fortrolige oplysninger, som efter lovens undtagelsesbestemmelser kan indgå i en behandling, uden at behandlingen er anmeldelsespligtig. Det vil f.eks. gælde for en anmeldelsespligtig behandling, hvori der indgår oplysninger om personers helbredsforhold, at alle anvendelse af oplysningerne om helbredsforhold skal logges efter denne bekendtgørelses 19, stk. 1. Derimod vil anvendelse af ikke-fortrolige oplysninger såsom personers adresse ikke skulle logges. Det er dog en forudsætning, at en sådan anvendelse af ikke-fortrolige oplysninger ikke indirekte kan afsløre fortrolige forhold vedrørende de berørte personer. De detaljerede undtagelsesbestemmelser og dermed beskrivelse af de oplysninger af fortrolig karakter, som kan indgå i en behandling, uden at den bliver anmeldelsespligtig, findes i lovens 44, stk. 1, samt i Justitsministeriets bekendtgørelse nr. 529 Side 20

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland Lovafdelingen Dato: Kontor: Databeskyttelseskontoret Sagsbeh: André Dybdal Pape/ Marcus Nymand Sagsnr.: 2016-766-0019 Dok.: 2104838 Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse

Læs mere

Oversigt (indholdsfortegnelse)

Oversigt (indholdsfortegnelse) Oversigt (indholdsfortegnelse) Kapitel 1 - Almindelige bestemmelser Kapitel 2 - Generelle sikkerhedsbestemmelser Kapitel 3 - Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger

Læs mere

Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.

Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Uddrag af Persondataloven, lov nr. 429 af 31. maj 2000 41. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

Sikkerhedsregler for Kalundborg Kommune

Sikkerhedsregler for Kalundborg Kommune Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

1. Indledende bestemmelser Formål. Område

1. Indledende bestemmelser Formål. Område 1. Indledende bestemmelser Formål 1.1 Formålet med bestemmelserne er, at den enkelte persons retsbeskyttelse og integritet ikke krænkes ved behandling af personoplysninger i Region Hovedstaden og på Steno

Læs mere

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem vedr. Indkøbsordning til visiterede borgere i eget hjem Mellem Hvidovre Kommune Hvidovrevej 278 2650 Hvidovre Glostrup Kommune Rådhusparken 2 2600 Glostrup (CVR nr. 65120119) Rødovre Kommune Rødovre Parkvej

Læs mere

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR. IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS 1. Vedrørende Databehandlerens ansvar 1.1. Databehandleren må alene behandle personoplysninger omfattet af Databehandleraftalen efter instruks fra den Dataansvarlige

Læs mere

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. om [Indsæt navn på aftale] Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune

Læs mere

Registerforskrifter. Den Centrale Venteliste

Registerforskrifter. Den Centrale Venteliste Dato: 25.04.2005. J.nr.: 42.20.05 Registerforskrifter Den Centrale Venteliste De foreliggende registerforskrifter er gældende for Registret Den Centrale Venteliste, som føres af Familiedirektoratet. Registerforskrifterne

Læs mere

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Dragør Kommune Borgmestersekretariat, IT og Personale Marts Bilag 5 Databehandleraftale 1. Overholdelse af gældende regler og forskrifter Databehandleren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten,

Læs mere

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) Databehandleraftale mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) og Hedensted Kommune Horsens Kommune Odder Kommune Niels Espes Vej 8 Rådhustorvet 4 Rådhusgade

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er

Læs mere

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående

Læs mere

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] DATABEHANDLERAFTALE Der er dags dato indgået følgende Databehandleraftale mellem

Læs mere

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration Side 1 af 2 Forside / Erhverv / Personaleadministration / Krav om datasikkerhed i forbindelse med personaleadministration Opdateret: 06.05.15 Krav om datasikkerhed i forbindelse med personaleadministration

Læs mere

Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning

Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning N O T A T Retningslinjer 26-10-2010 Sag nr. 09/2825 Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning i regionerne. Datatilsynet skelner ved anmeldelse af forskningsprojekter

Læs mere

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] !"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Driftskontrakt. Databehandleraftale. Bilag 14

Driftskontrakt. Databehandleraftale. Bilag 14 Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]

Læs mere

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Side 1 af 8 Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Kapitel 1 Lovens område 1. Stk. 7. Loven gælder for enhver form for behandling af personoplysninger i forbindelse

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

Vejledning til udfyldelse af anmeldelsesskema til Datatilsynet

Vejledning til udfyldelse af anmeldelsesskema til Datatilsynet Afdeling: Direktionssekretariatet Udarbejdet af: Dorte Riskjær Larsen Sagsnr.: 13/1121 E-mail: dorte.riskjaer.larsen @ouh.regionsyddanmark.dk Dato: 26. september 2013 Telefon: 2128 4616 Vejledning til

Læs mere

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] Tekst markeret med GRØN, udfyldes inden udsendelse til leverandøren Tekst markeret med TURKIS, udfyldes af leverandøren Side 1/16 Side 2/16 DATABEHANDLERAFTALE

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

Bilag X Databehandleraftale

Bilag X Databehandleraftale Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN

Læs mere

Kontraktbilag 7: Databehandleraftale

Kontraktbilag 7: Databehandleraftale Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør

Læs mere

Kontraktbilag 3. Databehandleraftale

Kontraktbilag 3. Databehandleraftale Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i

Læs mere

Anmeldelse af behandling af data

Anmeldelse af behandling af data - 1. Skema udfyldt af: Dato: Anmeldelse af behandling af data 2. Databehandlingen er omfattet af Region Hovedstadens paraplyanmeldelse vedr.: OBS: kun 1 X 2007-58-0006 Patientbehandling 2012-58-0023 Kliniske

Læs mere

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)

Læs mere

PERSONDATALOVEN OG SUNDHEDSLOVEN

PERSONDATALOVEN OG SUNDHEDSLOVEN KIROPRAKTIK 2014 PERSONDATALOVEN OG SUNDHEDSLOVEN Kort om Persondataloven og Sundhedsloven Sundhedsloven 'Hovedloven' på området Relevant i ft. oplysninger er særligt:» Tavshedspligt, indhentelse og videregivelse

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma 647-192717 JNA/jna 26.09.2016 DATABEHANDLERAFTALE mellem herningcentret (Dataansvarlig) og Emplate ApS (Databehandler) Advokatfirma Indholdsfortegnelse 1. Parterne... 3 2. De juridiske rammer... 3 3. Pligt

Læs mere

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik Vejledning om videregivelse af personoplysninger til brug for forskning og statistik 1 Indholdsfortegnelse 1. Baggrund 2. Definitioner 2.1. Personoplysning 2.2. Anonymiseret personoplysning (i persondatalovens

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

Dokumentation af sikkerhed i forbindelse med databehandling

Dokumentation af sikkerhed i forbindelse med databehandling - Dokumentation af sikkerhed i forbindelse med databehandling Al databehandling, der er underlagt persondataloven, skal overholde de tekniske krav, der er opstillet i Datatilsynets bekendtgørelse 528 (sikkerhedsbekendtgørelsen).

Læs mere

Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig

Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig Gældende fra 2. marts 2015 og erstatter tidligere vejledninger Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig forskning i Region Syddanmark Generelt om anmeldelse Alle forskningsprojekter

Læs mere

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål. Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Privat virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger om rent private forhold der foreta- ges for en privat dataansvarlig. Felter markeret

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Bilag 9 Databehandleraftale

Bilag 9 Databehandleraftale Bilag 9 Databehandleraftale Aftale om databehandling mellem Trafik-, Bygge- og Boligstyrelsen Edvard Thomsens Vej 14 2300 København S (i det følgende betegnet som den Dataansvarlige) og XXX XX XX (i det

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Advarselsregister Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at advare andre

Læs mere

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren

Læs mere

Anmeldelse forskningsprojekter herunder forskningsbiobanker

Anmeldelse forskningsprojekter herunder forskningsbiobanker Anmeldelse forskningsprojekter herunder forskningsbiobanker Dansk Selskab for GCP - 3. november 2014 Annette Sand juridisk konsulent www.regionmidtjylland.dk Program Præsentation og formål Kort om persondataloven

Læs mere

Iagttagelse af Datatilsynets vilkår, databehandleraftaler, og den dataansvarliges kontrol med databehandlere.

Iagttagelse af Datatilsynets vilkår, databehandleraftaler, og den dataansvarliges kontrol med databehandlere. Dato Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail dt@datatilsynet.dk www.datatilsynet.dk J.nr. 2015-019-0014 Sagsbehandler Camilla Knutsdotter

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn

Læs mere

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 Side 1/19 Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med gul er aftaletekst,

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Stillingsbesættende virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig

Læs mere

o o o En dataansvarlig kan vælge at overlade det til en anden at udføre selve den praktiske behandling af personoplysninger på den dataansvarliges vegne. Den, der herefter udfører databehandlingen,

Læs mere

Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU

Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU Bemærk: Der henvises til vejledningen ved udfyldelsen af nedenstående anmeldelsesskema. 1. Dataansvarlig myndighed Myndighedens navn:

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Furesø Kommune Stiager 2 3500 Værløse CVR. nr.: 29188327 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er der

Læs mere

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE INSTRUKTION TIL BESVARELSE AF BILAGET: Teksten i dette afsnit er ikke en del af Kontrakten og vil blive fjernet ved kontraktindgåelse.

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

7. Oktober Datatilsynet og forskningsregistrering

7. Oktober Datatilsynet og forskningsregistrering 7. Oktober 2015 Datatilsynet og forskningsregistrering Forskningsregistrering Rådgivning omkring datasikkerhed i forbindelse med forskningsdata Forskningsregistrering til regionens paraplyanmeldelse Registrering

Læs mere

Bekendtgørelse om tilsynet med de anerkendte arbejdsløshedskassers administration

Bekendtgørelse om tilsynet med de anerkendte arbejdsløshedskassers administration BEK nr 370 af 28/04/2011 (Gældende) Udskriftsdato: 23. januar 2017 Ministerium: Beskæftigelsesministeriet Journalnummer: Beskæftigelsesmin., Pensionsstyrelsen, j.nr. 10-22-0024 Senere ændringer til forskriften

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

Uddrag af persondataloven

Uddrag af persondataloven Uddrag af persondataloven Behandling af oplysninger 5. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og

Læs mere

Der søges samtidig om Datatilsynets tilladelse. 1.Dataansvarlig Navn* (projektleder) Stilling*

Der søges samtidig om Datatilsynets tilladelse. 1.Dataansvarlig Navn* (projektleder) Stilling* Blankettype: Privat forskning Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger om rent private forhold der foreta- ges for en privat dataansvarlig, og som udelukkende

Læs mere

DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup

DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup 24. september 2010 Vedrørende sikkerhedsforanstaltningerne omkring udstedelse af NemID Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk Brevdato: 23. maj 2006 Modtager: Scandinavian Airlines Danmark (SAS) J.nr. 2006-219-0370 Stikord: Fingeraftryk, personoplysninger, saglighed og proportionalitet, alternativ løsning, oplysningspligt, datasikkerhed.

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Kreditoplysning Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig videregivelse

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Procedure for tilsyn af databehandleraftale

Procedure for tilsyn af databehandleraftale IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen ) 25. november 2016 Versionshistorik Versionsnr. Dato Beskrivelse 0.8 25.11.2016 Høringsudkast til kombit.dk DATABEHANDLERAFTALE Mellem [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen

Læs mere

Bekendtgørelse om offentlige arkivalier og om offentlige arkivers virksomhed

Bekendtgørelse om offentlige arkivalier og om offentlige arkivers virksomhed Bekendtgørelse nr. 591 af 26. juni 2003 Bekendtgørelse om offentlige arkivalier og om offentlige arkivers virksomhed I medfør af 9, 10, stk. 1-3, 12, stk. 2, 13, stk. 2-3, 14, 20, 21, stk. 2, 41, stk.

Læs mere

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet Om Datatilsynet Datatilsynet er den statslige myndighed, der fører tilsyn med lov om behandling af personoplysninger

Læs mere

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.:

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.: Abonnementsaftale om håndtering af data i ClinicCare Udgave Januar 2016 Der er krav om at klinikken har en databehandler hos den leverandør der lagre klinikkens data. Dvs. at hvis man har en udgave af

Læs mere

Uddrag af lov om behandling af personoplysninger

Uddrag af lov om behandling af personoplysninger Myndighed: Justitsministeriet Udskriftsdato: 7. oktober 2016 (Gældende) Uddrag af lov om behandling af personoplysninger 1-4. (Udelades) Afsnit II Behandlingsregler Kapitel 4 Behandling af oplysninger

Læs mere

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.:

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.: Abonnementsaftale om håndtering af data i ClinicCare 1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.: 1. Lagring og opbevaring af

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

Databehandleraftale Leverandør

Databehandleraftale Leverandør , Beskæftigelses- og Integrationsforvaltningen Bilag L - 1 Leverandør Dags dato er indgået nedenstående aftale mellem: Københavns Kommune Beskæftigelses- og Integrationsforvaltningen CVR.nr.: 64 94 22

Læs mere

Bekendtgørelse om krav til a-kassernes kontrol og administration.

Bekendtgørelse om krav til a-kassernes kontrol og administration. Den fulde tekst UDKAST 11. maj 2016 Bekendtgørelse om krav til a-kassernes kontrol og administration. I medfør af 88, stk. 4-6, 90 a, stk. 3, 91, stk. 3, 4 og 10 og 100 a, stk. 3, i lov om arbejdsløshedsforsikring

Læs mere

Underbilag 14A DATABEHANDLERAFTALE

Underbilag 14A DATABEHANDLERAFTALE Journalnummer: Underbilag 14A DATABEHANDLERAFTALE Vedrørende levering og vedligeholdelse af EPJ-/PAS-løsning System-/projektansvarlig person Tel. +45 XXXX XXXX e-mail@e-mail.dk For at sikre overholdelsen

Læs mere

Disse forretningsbetingelser gælder for alle CERTA s opdrag, medmindre andet er aftalt med klienten.

Disse forretningsbetingelser gælder for alle CERTA s opdrag, medmindre andet er aftalt med klienten. CERTA S FORRETNINGSBETINGELSER Disse forretningsbetingelser gælder for alle CERTA s opdrag, medmindre andet er aftalt med klienten. Opdraget CERTA s opdrag omfatter bistand i forbindelse med sikkerhedsmæssige

Læs mere

DATABEHANDLERAFTALE. Journalnummer.: X-X-XX-XX-XX. Vedrørende projektnavn/titel/system/beskrivelse

DATABEHANDLERAFTALE. Journalnummer.: X-X-XX-XX-XX. Vedrørende projektnavn/titel/system/beskrivelse Regionshuset Viborg Journalnummer.: X-X-XX-XX-XX Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk DATABEHANDLERAFTALE Vedrørende projektnavn/titel/system/beskrivelse

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]

Læs mere

Deltagelse i indkøbsdatasamarbejdet:

Deltagelse i indkøbsdatasamarbejdet: Bilag 1 til Tilmeldingsskemaet til Deltagelse i indkøbsdatasamarbejdet: Databehandleraftale Dags dato er indgået nedenstående aftale mellem (Kommunenavn) (CVR nr.) (Adresse) (Postnummer og by) (Herefter

Læs mere