KONTRAKTBILAG 12. Databehandleraftale

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Starte visningen fra side:

Download "KONTRAKTBILAG 12. Databehandleraftale"

Transkript

1 KONTRAKTBILAG 12 Databehandleraftale Sagsnummer.: 17/24405 Region Syddanmark Side 1 af 19

2 DATABEHANDLERAFTALE vedrørende levering af forsikringsmæglerydelser For at sikre overholdelsen af de til enhver tid gældende regler om behandling af personoplysninger, herunder særligt persondataloven 1 og dertil hørende bekendtgørelser og vejledninger, har og Region Syddanmark Damhaven Vejle CVR-nummer: (herefter den Dataansvarlige ) Firmanavn Adresse Evt. underafdeling Kontaktperson CVR-nr. (herefter Databehandleren ) indgået nærværende databehandleraftale (herefter Databehandleraftalen ) som en del af Kontrakt om levering af forsikringsmæglerydelser af xx. xxxxxx 201x (herefter Hovedaftalen ) hvor data fysisk behandles på følgende adresse(r), lokale(r), placering af server(e): XXXXXXXXX 1 Lov nr. 429 af 31.maj 2000 om behandling af personoplysninger med senere ændringer 42, stk. 2 jf. 41. Region Syddanmark Side 2 af 19

3 1. Databehandlerens ansvar Databehandleren handler alene efter instruks fra den Dataansvarlige og alene i det omfang, det er nødvendigt for, at Databehandleren kan opfylde sine forpligtelser i henhold til Databehandleraftalen. Databehandleraftalen er således en del af den Dataansvarliges instruks til Databehandleren. Databehandleren forpligter sig til, til enhver tid at overholde den danske såvel som Databehandlerens nationale lovgivningsmæssige krav vedrørende databehandling og datasikkerhed samt den Dataansvarliges informationssikkerhedspolitik med tilhørende retningslinjer i forbindelse med den databehandling, som udføres for den Dataansvarlige. 2. Databehandlerens opgave Formålet med databehandlingen er at man som forsikringsmægler kan håndtere alle typer af forsikringsskader for Region Syddanmark. Databehandlerens opgave er at behandle forsikringsskader. Databehandlingen vil omfatte følgende kategorier af registrerede personer: Ansatte hos Region Syddanmark. Databehandlingen vil omfatte følgende kategorier af data: Generelle personoplysninger Økonomiske oplysninger Helbredsmæssige oplysninger Opgaven skal i øvrigt udføres i overensstemmelse med Hovedaftalen. 3. Tekniske og organisatoriske sikkerhedsforanstaltninger Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Databehandleren forpligter sig til at overholde de til enhver tid gældende lovgivningsmæssige krav vedrørende behandling af personoplysninger. Databehandlingen skal derfor foregå i overensstemmelse med de til enhver tid gældende regler om behandling af personoplysninger, herunder særligt persondataloven og dertil hørende bekendtgørelser 2 og vejledninger. Databehandler behandler oplysninger på den Dataansvarliges vegne og handler alene efter instruks fra den Dataansvarlige jf. bilag 1. Af instruksen fremgår minimumskrav til de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Databehandleren forpligter sig endvidere til at behandle personoplysningerne i overensstemmelse med den informationssikkerhedspolitik som den Dataansvarlige er underlagt jf. bilag 2. Principperne og anbefalingerne i ISO med senere ændringer vil således på alle relevante områder skulle efterleves som ramme, i det omfang andet ikke fremgår af nærværende databehandleraftale 4. Databehandlers brug af Underdatabehandler 2 Se f.eks. Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, der behandles for den offentlige forvaltning med senere ændringer. Region Syddanmark Side 3 af 19

4 Databehandleren må ikke indgå aftaler med en Underdatabehandler om behandling af personoplysninger omfattet af denne databehandleraftale, med mindre den Dataansvarlige skriftligt har givet samtykke til aftaleindgåelsen. Den Dataansvarlige er berettiget til at stille vilkår for et sådant samtykke. Databehandleren må endvidere ikke overføre eller tillade overførsel af personoplysninger til lande uden for EU og det Europæiske Økonomiske Samarbejdsområde uden den Dataansvarliges forudgående skriftlige samtykke. Såfremt den Dataansvarlige har givet tilladelse til en overførsel af personoplysninger til lande uden for EU og det Europæiske Økonomiske Samarbejdsområde, påhviler det Databehandleren at sikre, at data ikke overføres, før der foreligger et lovligt kontraktgrundlag for overførsel af personoplysninger til de pågældende lande herunder en direkte databehandleraftale mellem den Dataansvarlige og eventuelle Underdatabehandlere beliggende i tredjelande. Databehandleren skal i sin aftale med Underdatabehandleren sikre sig, at Underdatabehandleren som minimum kan opfylde de forpligtelser, som Databehandleren har påtaget sig ved denne databehandleraftale, for så vidt angår den behandling af personoplysninger, der varetages af Underdatabehandleren. Databehandleren indestår for kontraktsmæssigheden og lovligheden af Underdatabehandlerens behandling af personoplysninger. Det forhold, at Databehandler indgår aftale med en Underdatabehandler, fritager ikke Databehandleren for pligten til at efterleve nærværende Databehandleraftale. Ved ophør af en aftale med en Underdatabehandler om behandling af personoplysninger omfattet af denne Databehandleraftale, skal Databehandleren give den Dataansvarlige meddelelse herom. Databehandleren skal i den forbindelse sikre, at Underdatabehandleren sletter data behørigt i overensstemmelse med punkt 9. Såfremt Databehandleren anvender Underdatabehandler, skal oplysninger om denne fremgå af punkt Ad hoc arbejdspladser I det omfang, databehandlingen sker fra ad hoc arbejdspladser (fjernarbejdspladser eller hjemmearbejdspladser) skal dette beskrives i punkt 15. Såfremt Databehandleren foretager databehandling fra ad hoc arbejdspladser, skal Databehandleren sikre, at disse lever op til de sikkerhedsmæssige krav i denne Databehandleraftale med bilag samt Datatilsynets IT-sikkerhedstekster herom. Databehandleren skal blandt andet opfylde og dokumentere følgende: Beskrivelse af anvendt krypteret forbindelse mellem ad hoc arbejdspladsen og Databehandlerens/Dataansvarliges netværk Anvendelse af 2-faktor-autentifikation Databehandlers interne instruks til egne medarbejdere vedrørende ad hoc arbejdspladser 6. Tilsynsmyndigheder, audits og revisionserklæringer Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til at denne kan påse, at de nævnte tekniske og organisatoriske Region Syddanmark Side 4 af 19

5 sikkerhedsforanstaltninger m.v. er truffet. Endvidere skal Databehandleren kunne dokumentere, at identificerede sårbarheder bliver imødegået ud fra en risikobaseret vurdering. I tilfælde af, at den Dataansvarlige og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en fysisk inspektion (audit) af de foranstaltninger, som Databehandler foretager i medfør af Databehandleraftalen, forpligter Databehandleren sig til - med et rimeligt varsel - at stille tid og ressourcer til rådighed herfor. Databehandleren forpligter sig på samme måde til at sikre, at sådanne audits også kan gennemføres hos dennes Underdatabehandlere. Som supplement eller alternativ til de ovenfor nævnte audits kan der indgås aftale om, at Databehandler og eventuelle Underdatabehandlere for egen regning sørger for, at en uafhængig ekspert årligt udarbejder en revisionserklæring på grundlag af en anerkendt standard angående Databehandlerens overholdelse af kravene til sikkerhedsforanstaltninger fastsat i Databehandleraftalen. Erklæringen skal være formuleret konkret i forhold til den opgave, som Databehandleren løser for den Dataansvarlige. En aftale herom kan fremgå af punkt Underretningspligt og assistance Databehandleren forpligter sig til straks og skriftligt at orientere den Dataansvarlige om enhver afvigelse fra kravene i databehandleraftalen, f.eks.: ved enhver fravigelse fra givne instrukser ved enhver afvigelse fra det aftalte om tilgængelighed ved planlagte releases, opgraderinger, tests mv. ved enhver mistanke om brud på fortroligheden ved enhver mistanke om misbrug, fortabelse og forringelse af data ved enhver hændelig eller uautoriseret videregivelse af eller adgang til personoplysningerne behandlet efter denne databehandleraftale Databehandleren og dennes eventuelle Underdatabehandlere skal straks assistere den Dataansvarlige med håndteringen af enhver henvendelse fra en registreret, herunder anmodning om indsigt, berigtigelse, blokering eller sletning, hvis de relevante personoplysninger behandles af Databehandleren. Databehandleren og dennes eventuelle Underdatabehandlere skal assistere den Dataansvarlige med at overholde øvrige forpligtelser, der måtte påhvile den Dataansvarlige efter gældende ret, hvor assistance er forudsat, samt hvor assistance er nødvendig for, at den Dataansvarlige kan overholde sine forpligtelser. 8. Aftalens ikrafttræden og varighed Databehandleraftalen træder i kraft samtidig med indgåelsen af Hovedaftalen som anført på side 1. Databehandleraftalen ophører, når al behandling af personoplysninger i henhold til Hovedaftalen er ophørt og Databehandleren har slettet data, jf. punkt Håndtering af data efter aftalens ophør Databehandleren og dennes eventuelle Underdatabehandlere forpligter sig til at tilbagelevere og/eller slette personoplysninger, når databehandlingen i henhold til aftale med den Dataansvarlige ophører. Den Dataansvarlige skal oplyse Databehandleren om det tidspunkt, hvor databehandlingen skal ophøre. Det påhviler herefter Databehandleren at tilbagelevere og/eller slette personoplysningerne på det oplyste tidspunkt. Region Syddanmark Side 5 af 19

6 Sletning må ikke ske, før den Dataansvarlige skriftligt har godkendt den påtænkte fremgangsmåde for sletning. Såfremt den Dataansvarlige ikke finder metoden tilstrækkelig sikker og i overensstemmelse med gældende regler om behandling af personoplysninger, skal den Dataansvarlige meddele Databehandleren hvilken metode, der kan anvendes i stedet. Der henvises til Datatilsynets itsikkerhedstekst ST3 fra 2014 med eventuelle opdateringer. Når sletningen er foretaget, skal Databehandleren fremsende en skriftlig erklæring på, at data er slettet som aftalt, inklusiv en beskrivelse af den anvendte metode. Såfremt Databehandler eller dennes Underdatabehandlere i forbindelse med konkurs el.lign. ophører med at behandle personoplysninger for den Dataansvarlige, skal alle personoplysningerne straks leveres tilbage til den Dataansvarlige på en måde, der gør det muligt for den Dataansvarlige at anvende disse fremadrettet. Herefter er Databehandler, dennes konkursbo el.lign. forpligtet til effektivt at slette oplysningerne fra egne systemer i overensstemmelse med ovenstående. 10. Tavshedspligt og fortrolighed Databehandlerens ansatte, samarbejdspartnere, eksterne konsulenter og vikarer mfl. vil i forbindelse med behandlingen af fortrolige oplysninger være omfattet af de regler om tavshedspligt, som gælder for ansatte i den offentlige forvaltning. Der henvises til forvaltningslovens 27 og straffelovens f. Det påhviler Databehandler og dennes Underdatabehandlere at informere egne ansatte, samarbejdspartnere, eksterne konsulenter og vikarer mfl. om udstrækningen af tavshedspligten og om konsekvenserne ved en eventuel overtrædelse. Databehandleren skal holde personoplysningerne fortrolige, og er således alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine forpligtelser i henhold til denne databehandleraftale og instruks. Databehandleren påtager sig endvidere at begrænse adgangen til personoplysningerne til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige. Databehandlerens forpligtelser om tavshedspligt og fortrolighed gælder også efter aftalens ophør. 11. Overdragelse Databehandleren må ikke overdrage sine rettigheder og forpligtelser i henhold til denne databehandleraftale uden den Dataansvarliges forudgående samtykke. 12. Misligholdelse Det betragtes som væsentlig misligholdelse af Hovedaftalen som anført på side 1, såfremt Databehandler ikke overholder forpligtelserne i Databehandleraftalen, de til enhver tid gældende lovgivningsmæssige krav og kravene i de dokumenter, der fremgår af Databehandleraftalens bilag. Den Dataansvarlige er i så fald berettiget til uden varsel at opsige samtlige gældende aftaler om databehandling, som udføres for denne. Uanset ophævelse/opsigelse af aftalen er Databehandleren dog forpligtet til at levere databehandling i henhold til Hovedaftalen og denne Databehandleraftale indtil databehandling er sikret hos anden databehandler. Region Syddanmark Side 6 af 19

7 Databehandleren skal levere relevant ophørsassistance til den Dataansvarlige. Dette inkluderer men er ikke begrænset til Hovedaftalen, som nævnt på side 1 og samtlige andre aftaler indgået med samme Databehandler og/eller Underdatabehandler vedrørende behandling af samme data. Databehandleren forpligter sig til at friholde og forsvare den Dataansvarlige imod alle krav, retskrav og ethvert ansvar, tab, bøder, omkostninger og udgifter forbundet derved som følge af Databehandlerens overtrædelse af databehandleraftalen eller gældende ret, begået af Databehandleren, Databehandlerens ansatte, Underdatabehandlere eller repræsentanter i forbindelse med levering af persondatabehandlingen, gennemførelse af aftalen eller som i øvrigt aftalt mellem parterne. Databehandleren kan ved misligholdelse af Databehandleraftalen ifalde bod, såfremt der i Hovedaftalen er fastsat vilkår herom. Henvisning til vilkår om bod kan fremgå nærmere af punkt Lovvalg og værneting Denne Databehandleraftale inklusiv ethvert spørgsmål om Databehandleraftalens gyldighed er undergivet dansk ret. Forhandling Såfremt der opstår en uoverensstemmelse mellem Parterne i forbindelse med Databehandleraftalen, skal Parterne med en positiv, samarbejdende og ansvarlig holdning søge at indlede forhandlinger med henblik på at løse tvisten. Hvis enighed ikke kan opnås via forhandling eller på anden vis, skal tvisten løses ved de danske domstole. 14. Genforhandling Databehandleraftalen kan af hver af parterne kræves genforhandlet i anledning af ændret lovgivning herunder ikrafttrædelsen af EU-forordningen om persondatabeskyttelse Ændringer til punkterne 3-12 Hvis det er tvingende nødvendigt at ændre punkterne 3-12, skal ændringerne beskrives her Hvis der anvendes Underdatabehandler jf. punkt 4, skal følgende oplysninger fremgå her: Virksomhedens navn Adresse CVR-nr. Ansvarlig hos Underdatabehandleren Kontaktperson hos Underdatabehandleren Beskrivelse af den databehandling som Underdatabehandleren deltager i. 16. Bilag Bilag 1: Databehandlerinstruks Bilag 2: Dataansvarliges informationssikkerhedspolitik Eventuelle yderligere bilag 17. Øvrige henvisninger 3 Forslag til Europaparlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse). Region Syddanmark Side 7 af 19

8 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer Bekendtgørelse nr. 528 af 15. juni 2000 vedrørende sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning Vejledning til sikkerhedsbekendtgørelsen Datatilsynets it-sikkerhedstekst ST3 ISO 27001, ISMS - Ledelsessystem for informationssikkerhed 18. Underskrifter På vegne af den Dataansvarlige: Navn: Stilling: Adresse: Dato: Underskrift: Den Dataansvarliges projektansvarlige/systemejers kontaktperson: Navn: Stilling: Dato: Underskrift: På vegne af Databehandleren: Navn: Stilling: Adresse: Dato: Underskrift: Region Syddanmark Side 8 af 19

9 Underbilag 1: Databehandlerinstruks Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter denne instruks fra den dataansvarlige og kun vedrørende de opgaver, databehandleren har i henhold til databehandleraftalen og hovedaftalen. Ad. 2. Databehandlerens opgave Konkretisering af behandling af personoplysninger: Generelt (beskrivelse af databehandlerens opgave) Lokation (adresse for alle lokationer, hvor behandling af personoplysninger foregår) Registrerede personer (der indsættes en beskrivelse af kategorierne af personoplysninger for hver kategori af registrerede personer) Særlige kategorier af personoplysninger (der indsættes en beskrivelse af de særlige kategorier af registrerede personer, herunder personoplysninger af helbredsmæssig karakter og andre rent private forhold (samt f.eks. personoplysninger om seksuelle forhold, strafbare forhold, væsentlige sociale problemer, racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssige tilhørsforhold)) Ind- eller udland Ad. 3. Tekniske og organisatoriske sikkerhedsforanstaltninger Databehandleren skal som minimum træffe de nedenfor beskrevne tekniske og organisatoriske sikkerhedsforanstaltninger i forbindelse med behandlingen af personlysninger på vegne af den dataansvarlige. Såfremt mere omfattende tekniske og organisatoriske sikkerhedsforanstaltninger er nødvendige for at sikre efterlevelse af databehandleraftalens punkt 3, skal sådanne mere omfattende foranstaltninger altid træffes. Kontaktpunkt Databehandleren skal udpege et fast kontaktpunkt, som over for den dataansvarlige skal varetage ethvert forhold i relation til behandlingen af personoplysninger på vegne af den dataansvarlige. Risici for sikkerhed Databehandleren skal tage de nødvendige skridt til at identificere, vurdere og begrænse enhver, med rimelighed forudsigelig, intern og ekstern risiko for tilgængeligheden, fortroligheden, og/eller integriteten af alle personoplysninger omfattet af databehandleraftalen. Databehandleren skal have passende tekniske foranstaltninger til at begrænse risikoen for enhver uautoriseret adgang. Databehandleren skal desuden, hvor det er nødvendigt, evaluere og forbedre effektiviteten af sådanne forholdsregler. Region Syddanmark Side 9 af 19

10 Databehandleren skal dokumentere de identificerede risici og for enhver af disse risici hvordan risikoen er nedbragt til et acceptabelt niveau. Databehandleren skal have formelle processer for håndtering af sikkerhedshændelser. Databehandleren skal ved hændelser, hvor personoplysningers fortrolighed, integritet eller tilgængelighed kan være eller have været negativt påvirket, underrette den dataansvarlige uden ugrundet ophold. Autorisation og adgangskontrol Databehandleren skal især iagttage følgende vedrørende autorisation og adgangskontrol: 1. Autorisationer skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. 2. Databehandleren skal sikre, at der foretages et efter omstændighederne passende baggrundstjek for alt personale, der i forbindelse med deres ansættelse vil have adgang til personoplysninger omfattet af databehandleraftalen, uanset i hvilket format personoplysninger måtte være tilgængelige. 3. Kun de personer, som autoriseres dertil, må have adgang til personoplysninger, der behandles. 4. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. 5. Der må endvidere autoriseres personer, for hvem adgang til personoplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. 6. Den autoriserede bruger udstyres med en brugeridentifikation og et password, der skal anvendes hver gang, der logges på systemet. Som udgangspunkt anvendes 2-faktorautentificering ved adgang til systemer med følsomme personoplysninger via internettet eller andet usikkert netværk. Autentifikationsmetoden kan f.eks. være Nem-id, SMS-token, Rfid eller lignende. 7. Databehandleren skal sikre, at databehandlerens medarbejdere modtager tilstrækkelig uddannelse og instruktioner, inklusiv men ikke begrænset til uddannelse der tilsigter mod at øge medarbejdernes gennerelle sikkerhedsbevidsthed, introduktion af relevante sikkerhedspolitikker og procedurer, samt adgang til og uddannelse i dokumenterede processer og arbejdsbeskrivelser særligt vedrørende behandling af personoplysninger. Uddannelse og instruktioner skal omfatte de emner, der er relevante for at sikre, at personoplysninger behandles i overensstemmelse med såvel lovgivningen som databehandlerens og den dataansvarliges relevante politikker og procedurer. 8. Autorisation gives til den dataansvarliges systemer af den dataansvarlige efter den dataansvarliges indstilling. Region Syddanmark Side 10 af 19

11 9. Der skal træffes foranstaltninger til at sikre, at kun autoriserede brugere kan få adgang til personoplysninger, og at brugeren kun kan få adgang til de personoplysninger og anvendelser (behandlinger), som den pågældende er autoriseret til. 10. Alle ansatte hos databehandleren, der har med elektronisk databehandling at gøre, udstyres med en brugeridentifikation og et password med henblik på adgang til databehandlerens netværk. Brugeridentifikation og password skal anvendes hver gang, brugeren skaber sig intern adgang til databehandling. Eksternt skal adgange til databehandling etableres med 2-faktor-autentifikation. Databehandleren skal have rimelige restriktioner for fysisk adgang. Områder, hvor der sker behandling af personoplysninger skal ved etablering af ovennævnte adgangskontrolmekanismer være effektivt adskilt fra områder, hvortil der er generel adgang. Databehandleren skal have formelle procedurer for håndtering af nulstilling af adgangskoder og andre situationer, hvor den normale logiske adgangskontrol sættes ud af kraft. Der skal mindst en gang hvert halve år foretages kontrol af, at brugerne kun er tildelt de adgange, som de har behov for. Denne kontrol kan f.eks. indebære, at der i systemerne dannes en statistik over den enkelte brugers anvendelse af systemet, således at det kan konstateres, om der er udstedte autorisationer, som ikke er anvendt, og som derfor eventuelt bør inddrages. Ved anvendelse af en sådan statistisk opfølgning vil der fortsat være behov for en konkret vurdering af, om medarbejderen har et fortsat arbejdsmæssigt behov for adgang. Databehandleren skal uden ugrundet ophold inddrage autorisationer (og herunder adgange) for brugere, der ikke længere har behov for autorisationen i forbindelse med brugerens arbejde. Kontrol med afviste adgangsforsøg og logning Databehandleren skal iagttage følgende vedrørende kontrol med afviste adgangsforsøg og logning: 1. Der skal foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret højst 5 på hinanden følgende afviste adgangsforsøg med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Adgangen åbnes først, når årsagen til afviste adgangsforsøg er klarlagt. 2. Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger omfattet af lov om behandling af personoplysninger 7 og 8 og sikkerhedsbekendtgørelsens Loggen skal mindst indeholde oplysninger om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte eller det anvendte søgekriterium. Loggen skal opbevares i seks måneder, hvorefter den skal slettes, medmindre der i overensstemmelse med loggens formål fastsættes en længere opbevaringsperiode, dog højest 5 år, af hensyn til at kunne anvende den som værktøj til brug ved efterforskning. 4 Lov nr. 429 om behandling af personoplysninger og bekendtgørelse nr. 528 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Region Syddanmark Side 11 af 19

12 3. Bestemmelsen i punkt 2 finder ikke anvendelse for personoplysninger, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for 30 dage. Logningkravet vil fortsat gælde ved rutinemæssig administration som har karakter af føring af et edb-register. 4. Bestemmelsen i punkt 2 finder ikke anvendelse, hvis behandlingen af personoplysninger sker ved afvikling af programmer, som foretager en foruddefineret massebehandling af personoplysninger, eller hvis behandlingen sker med henblik på statistiske eller videnskabelige undersøgelser, og identifikationsoplysningerne forinden enten er krypteret eller erstattet med kodenummer eller lignende. Der skal dog i begge tilfælde foretages maskinel logning af brugeren og tidspunktet for behandlingen, jf. punkt 2. Inddatamateriale som indeholder personoplysninger Databehandleren skal iagttage følgende vedrørende inddatamateriale, der indeholder personoplysninger: 1. Inddatamateriale, som ikke indgår i en manuel sag eller et manuelt register, må kun anvendes af personer, som er beskæftiget med inddateringen. Inddatamateriale, som er omfattet af anmeldelsesreglerne i kapitel 12 i persondataloven (dvs. inddatamateriale indeholdende fortrolige personoplysninger), skal opbevares på en sådan måde, at uvedkommende ikke kan få adgang til at gøre sig bekendt med de personoplysninger, der er indeholdt heri, når det ikke anvendes. 2. Inddatamateriale, som er nævnt i punkt 1, skal slettes eller tilintetgøres, når det ikke længere er nødvendigt at bevare det af hensyn til de formål, som behandlingen varetager eller til kontrol med de inddaterede personoplysninger. 3. Bestemmelsen i pkt. 2 gælder ikke, såfremt materialet er omfattet af bevarings- /kassationsbestemmelser fastsat i henhold til anden lovgivning. Inddatamateriale, der er journaliseret i henhold til gældende journaliseringsbestemmelser, behandles efter de almindelige arkivbestemmelser om bevaring, herunder aflevering af arkivalier til Statens Arkiver. 4. Ved tilintetgørelse af inddatamateriale skal der træffes fornødne sikkerhedsforanstaltninger for at undgå, at materialet misbruges eller, at materialet kommer til uvedkommendes kendskab. Uddatamateriale som indeholder personoplysninger Databehandleren skal iagttage følgende vedrørende uddatamateriale som indeholder personoplysninger: 1. Uddata må kun anvendes af personer, der er beskæftiget med de formål, til hvilke behandlingen af personoplysningerne foretages. Region Syddanmark Side 12 af 19

13 2. Udover bestemmelsen i punkt 1 må uddatamateriale anvendes af personer, som er beskæftiget med sikkerheds- og/eller forvaltningsmæssig revision eller drifts- og systemtekniske opgaver vedrørende det pågældende system og systemets anvendelse. 3. Uddatamateriale skal både fysisk og teknisk opbevares på en sådan måde, at uvedkommende ikke kan få adgang til at gøre sig bekendt med de personoplysninger, som er indeholdt i materialet. 4. Uddatamateriale skal tilintetgøres, når det ikke længere er nødvendigt til de formål, som behandlingen varetager. 5. Bestemmelsen i punkt 4 gælder ikke, såfremt materialet er omfattet af bevarings- /kassationsbestemmelser i henhold til anden lovgivning. 6. Uddatamateriale, der er journaliseret i henhold til vedtagne journaliseringsbestemmelser, behandles efter de almindelige arkivbestemmelser om bevaring, herunder aflevering af arkivalier til Statens Arkiver. 7. Ved tilintetgørelse af uddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger for at undgå, at materialet misbruges eller, at materialet kommer til uvedkommendes kendskab. 8. Bestemmelserne i punkterne 1-5 gælder ikke for uddatamateriale, som indgår i en manuel sag eller i et manuelt register. Mobile lagringsmedier Databehandleren skal iagttage følgende vedrørende mobile lagringsmedier: 1. Mobile lagringsmedier med personoplysninger skal være mærket og skal opbevares krypteret under opsyn eller under lås, når de ikke benyttes. 2. Mobile lagringsmedier med personoplysninger må kun udleveres til medarbejdere samt til autoriserede personer, der har adgang til personoplysningerne, med henblik på revision eller drifts- og systemtekniske opgaver. 3. Der skal føres en fortegnelse over, hvilke mobile lagringsmedier, der benyttes i forbindelse med databehandlingen. 4. Der skal udarbejdes skriftlige instrukser for anvendelse og opbevaring af udtagelige mobile lagringsmedier. 5. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, samt ved salg og kassation af anvendte datamedier skal der træffes fornødne foranstaltninger for at sikre, at personoplysningerne ikke hændeligt eller bevidst tilintetgøres, fortabes eller forringes eller, at personoplysningerne kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataloven. Sikkerhedskopier Region Syddanmark Side 13 af 19

14 Databehandleren skal sikre, at systemer og personoplysninger sikkerhedskopieres regelmæssigt. Sikkerhedskopierne skal opbevares betryggende, og således at sikkerhedskopier ikke fortabes ved hændelser, der medfører tab af originale personoplysninger. Databehandleren skal regelmæssigt kontrollere, at sikkerhedskopier er læsbare. Opdateringer og ændringer Databehandleren skal have formelle procedurer til sikring af, at opdateringer til operativsystemer, databaser, applikationer og anden software bliver vurderet og implementeret inden for rimelig tid. Databehandleren skal have formelle procedurer for ændringshåndtering med henblik på at sikre, at enhver ændring er behørigt autoriseret, testet og godkendt inden implementering. Proceduren skal understøttes af en effektiv funktionsadskillelse eller ledelsesopfølgning med henblik på at sikre, at ingen enkeltpersoner kan implementere en ændring alene. Driftsafbrydelser Databehandleren skal have dokumenterede beredskabsprocedurer, der sikre genetablering af services inden for rimelig tid i tilfælde af driftsafbrydelser. Bortskaffelse af udstyr Databehandleren skal have formelle processer med henblik på at sikre, at der sker effektiv sletning af personoplysninger inden bortskaffelse af elektronisk udstyr i overensstemmelse med den dataansvarliges krav. Tilsyn Databehandleren skal føre og dokumentere et tilsyn med databehandlerens organisations overholdelse af lovkrav, politikker og procedurer. Ad. 5. Ad hoc arbejdspladser Databehandleren må ikke foretage databehandling fra ad hoc arbejdspladser (fjernarbejdspladser eller hjemmearbejdspladser), medmindre databehandleraftalens punkt 15 indeholder en beskrivelse heraf. Databehandleren skal i så fald iagttage følgende krav vedrørende eksterne kommunikationsforbindelser: 1. Den dataansvarlige skal godkende brug af ad hoc arbejdspladser. 2. Der skal anvendes 2-faktor-autentifikation. 3. Der må kun etableres eksterne IT-kommunikationsforbindelser, hvis der efter godkendelse og efter nærmere aftale herom træffes foranstaltninger til at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Region Syddanmark Side 14 af 19

15 4. Der skal foretages foranstaltninger, der sikrer at personoplysninger, der transmitteres over åbne net som for eksempel Internettet, ikke fortabes, ændres eller kommer til uvedkommendes kendskab under transmissionen. 5. Den dataansvarlige fastlægger retningslinjer herfor og angiver, hvilke særlige foranstaltninger, der konkret skal træffes for at efterleve disse krav. Ad. 7. Underretningspligt og assistance Databehandleren har pligt til uden unødig ophold at underrette den dataansvarlige ifald der er indtruffet en sikkerhedshændelse. Denne underretning skal således ske umiddelbart efter en sikkerhedshændelse er indtruffet, eller blevet opdaget af databehandleren. En underretning vil derfor typisk være to-delt. - En underretning om at en hændelse er indtruffet - En underretning om de nærmere omstændigheder, herunder men ikke udelukkende: En situationsrapport Hvilke personoplysninger der er kompromitteret Hvilke tiltag databehandleren har iværksat / påtænker at iværksætte Dato: På vegne af den dataansvarlige: Dato: På vegne af databehandler: Region Syddanmark Side 15 af 19

16 Bilag 2: Dataansvarliges informationssikkerhedspolitik 1. Formål Den Fællesregionale Informationssikkerhedspolitik er udarbejdet i et samarbejde mellem Region Hovedstaden, Region Sjælland, Region Syddanmark, Region Midtjylland og Region Nordjylland. Formålet med informationssikkerhed er at beskytte oplysninger, så fortrolighed, integritet og tilgængelighed bevares. Hver eneste dag behandles følsomme personoplysninger og andre fortrolige oplysninger af medarbejdere i de fem regioner. Det er absolut nødvendigt, at data er korrekte, fuldstændige og tilgængelige, da adgang til relevante og tidstro persondata er en forudsætning for god og sammenhængende behandling af den enkelte borger. Det er en forudsætning for, at regionerne fortsat kan tilbyde et moderne og effektivt sundhedsvæsen. Denne brug af data skal ske på en måde som sikrer borgerne fortsatte tillid til regionerne. Informationssikkerhed skal af den grund være en integreret del af den ydelse, som regionerne leverer til borgere, patienter, virksomheder, samarbejdsparter m.fl., ligesom det skal være en integreret del af det daglige arbejde for medarbejderne og andre brugere. Informationssikkerhed er derfor fundamentet for anvendelse af data, således at patienterne får den bedste behandling samtidig med at deres oplysninger er i trygge hænder. Følsomme persondata, herunder sundhedsdata, er personlige, og når regionerne behandler dem, har de et særligt ansvar for, at sikkerheden er høj. Derfor har Danske Regioner i 2015 lagt en politisk linje for informationssikkerhed, som nærværende politik skal udmønte. Den politiske linje lægger vægt på at: Informationssikkerhed bruges som fundament for et stadig bedre sundhedsvæsen Regionerne sætter et tilstrækkeligt højt niveau for informationssikkerhed Informationssikkerhed og brugervenlighed går hånd i hånd Alle medarbejdere forstår, at deres adfærd er fundament for informationssikkerhed Regionerne samarbejder og lærer af hinanden Regionerne stiller krav til leverandører Den politiske linje definerer følgende tre overordnede områder. Mennesker, organisation og processer Alle medarbejdere skal gøres bevidste om, hvordan deres adfærd påvirker informationssikkerheden. Medarbejderne skal have kendskab til lovgivning, regionernes egne politikker, retningslinjer og instrukser - og selvfølgelig også overholde dem. Derfor bør regionerne sikre en organisation, der fordrer, at medarbejderne har kendskab til, hvordan man behandler følsomme personoplysninger sikkert. Informationssikkerhed handler derfor også om at indrette regionernes organisationer, så medarbejdere og ledelse har gode betingelser for at arbejde med følsomme personoplysninger It-systemer og fysisk sikkerhed Fordi mange faggrupper og medarbejdere har adgang til følsomme personoplysninger, er regionerne forpligtet til at beskytte personoplysningerne samt generelt sikre en høj grad af Region Syddanmark Side 16 af 19

17 sikkerhed.. Det kræver bl.a., at regionerne håndterer oplysningerne fortroligt, bevarer datas integritet og ikke ændrer oplysningerne uden autorisation. Data skal kun være tilgængelige for dem, som må og skal bruge dem. Behandlingen af følsomme personoplysninger stiller store tekniske krav. De tekniske krav har blandt andet fokus på it-sikkerhed i forbindelse med udvikling, implementering og drift af itløsninger samt den fysiske sikring af hardware og lignende. Lovkrav og kontraktkrav Det skal sikres, at relevante lov- og kontraktkrav overholdes i regionernes daglige arbejde. Regionerne må kun behandle borgernes oplysninger i tilfælde, hvor det nødvendige lovgrundlag foreligger, eller hvor det er nødvendigt for, at regionerne kan varetage og udføre retlige forpligtelser. Borgere, patienter, virksomheder, samarbejdsparter og andre interessenter skal kunne stole på, at regionerne har etableret nødvendige tiltag til at sikre borgernes oplysninger samt en nødvendig grad af fortrolighed, tilgængelighed og integritet. Borgerne skal kunne have tillid til, at regionerne forvalter deres følsomme personoplysninger sikkert og forsvarligt. Den politiske linje for informationssikkerhed sætter desuden krav til at regionerne skal efterleve ISO standarden som rammeværktøj forarbejdet med informationssikkerhed i regionerne. Den fællesregionale politik skal sammen med den enkelte regions egen politik understøtte og sikre et ensartet sikkerhedsniveau. Det skal ske ved, at den enkelte region etablerer, implementerer, vedligeholder og løbende forbedrer et ledelsessystem for informationssikkerhed inden for rammerne af informationssikkerhedsstandarden ISO Organisation For at sikre at behandling og opbevaring af følsomme personoplysninger lever op til lovens krav, er det vigtigt at indrette sin organisation på en måde, der gør det naturligt i praksis at efterleve informationssikkerhedsreglerne. Dette arbejde starter med en forankring i topledelsen. Hver region skal have et entydigt og nedskrevet ledelsesansvar for informationssikkerhed, som afspejler en struktureret tilgang til informationssikkerhed i organisationen. Det skal dække hele den organisatoriske kæde fra topledelse til afdelingsniveau. Det er topledelsens ansvar at træffe den endelige beslutning om et tilstrækkeligt og acceptabelt sikkerhedsniveau, der er afstemt efter risiko og væsentlighed og offentlighedens interesser. Niveauet skal overholde relevante lov- og kontraktkrav. Topledelsen har ansvar for at understøtte politikker, retningslinjer og instrukser samt allokere nødvendige ressourcer til at gennemføre arbejdet med informationssikkerhed i regionen. Den skal sikre, at regionens medarbejdere har den fornødne viden om informationssikkerhed. Linjeledelsen har med udgangspunkt i topledelsens udstukne politikker, retningslinjer og instrukser ansvar for, at disse efterleves i egen enhed. 5 Et ledelsessystem, også kaldet et InformationsSikkerhedsManagementSystem (ISMS), er i denne sammenhæng et udtryk for de politikker, procedurer, processer, organisatoriske beslutningsgange og aktiviteter, som tilsammen udgør regionernes styring af informationssikkerhed. Den enkelte region har fastlagt en struktur samt rammer og arbejdsgange for informationssikkerhedsarbejdet. Region Syddanmark Side 17 af 19

18 Ledelsen skal arbejde for en kultur, hvor ansvarlighed i forhold til informationsbehandling falder naturligt for alle. Alle medarbejdere har et ansvar for at bidrage til, at regionernes oplysninger ikke kommer i de forkerte hænder. Det er ledelsens ansvar at sikre, at alle medarbejdere har den fornødne viden om informationssikkerhed, og at der i relevant omfang sker en løbende uddannelse i informationssikkerhed. Tilsvarende er medarbejderne forpligtede til at gøre sig bekendt med den information om informationssikkerhed, der stilles til rådighed. 3. Gyldighedsområde Den Fællesregionale Informationssikkerhedspolitik og hver regions egen informationssikkerhedspolitik gælder, hvor regionens oplysninger og særligt regionens følsomme personoplysninger opbevares eller behandles. Det har ingen betydning for anvendelsesområdet, hvordan de opbevares eller behandles. Behandling af regionens oplysninger må kun finde sted efter aftale med den pågældende region. Informationssikkerhedspolitikken gælder således for: Alle brugere. Ved en bruger forstås fx medarbejdere, forskere, konsulenter, regionsrådsmedlemmer, elever, studerende og andre, der midlertidigt eller for en længere periode har adgang til regionens personoplysninger. Samarbejdspartnere der opbevarer, anvender eller behandler biomateriale, papirbaserede eller elektroniske følsomme personoplysninger efter aftale med regionen. Det har i denne sammenhæng ingen betydning, om samarbejdspartnerne befinder sig i eller uden for Danmark. Fællesregionale samarbejdspartnere. Hvor flere regioner anvender samme samarbejdspartner eller leverandør til fælles løsninger, skal den fællesregionale informationssikkerhedspolitik anvendes. Den fællesregionale og regionernes egne informationssikkerhedspolitikker gælder derimod ikke borgere, der har adgang til egne oplysninger. 4. Målsætninger I efterlevelsen af ISO standarden har regionerne følgende fælles målsætninger: For at sikre et tilstrækkeligt og acceptabelt sikkerhedsniveau er det nødvendigt at vurdere risikobilledet, lige fra sårbarheder i de enkelte systemer til risikoen for at blive udsat for hackerangreb. 1.) Regionens sikkerhedsniveau og risikobillede fastlægges med afsæt i en overordnet risikovurdering. Risikovurderingen skal: identificere en hensigtsmæssig og overordnet governance, herunder etablering af et ISMS. skabe overblik over risikoprofilen, der er et overblik over identificerede informationssikkerhedsrisici. sikre udarbejdelse og vedligeholdelse af et katalog over identificerede trusler. identificere de mest kritiske systemer. sikre ledelsens involvering i definitionen af sikkerhedsniveauet. Region Syddanmark Side 18 af 19

19 skabe bevidsthed om sikkerhed i organisationen. udarbejde en handlingsplan for at imødegå identificerede trusler mod systemerne. 2.) Med udgangspunkt i den enkelte regions risikovurdering fastlægger regionen egen tidsramme og metode for at udarbejde og vedligeholde et SoA 6 dokument (Statement of Applicability) udarbejde politikker, retningslinjer og instrukser samt føre tilsyn med, at de bliver overholdt udarbejde og teste it-beredskabsplaner og nødprocedurer udarbejde og iværksætte opmærksomhedsskabende tiltag rapportere jævnligt til relevante ledelseslag om informationssikkerhed I efterlevelsen af gældende lovgivning har regionerne følgende målsætninger: 1.) Den til enhver tid gældende lovgivning på området, særligt lovgivning inden for persondatabeskyttelse, skal efterleves i regionerne og hos deres samarbejdspartnere, herunder: sikring af, at enhver behandling af følsomme personoplysninger foregår efter en risikovurdering og lovmedholdelighed. sikring af, at videregivelse og overladelse af oplysninger udelukkende sker i henhold til lovhjemmel og databehandleraftaler. dokumentation af datastrømme, sikringstiltag og kontroltiltag. tekniske krav til logning, autorisation og rollestyring. dokumentation af systematisk logopfølgning. forpligtelse af leverandører til at sikre et tilstrækkeligt og forsvarligt informationssikkerhedsniveau gennem krav og kontrol. registrering af brud eller mulige brud på informationssikkerheden. 5. Godkendelse Den Fællesregionale Informationssikkerhedspolitik er godkendt af RSI den 8. juni SoA kan forstås som en erklæring af, hvilket sikkerhedsniveau organisationen aktivt har besluttet sig for og hvorfor. Region Syddanmark Side 19 af 19

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS 1. Vedrørende Databehandlerens ansvar 1.1. Databehandleren må alene behandle personoplysninger omfattet af Databehandleraftalen efter instruks fra den Dataansvarlige

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6

Læs mere

EU-udbud af WAN infrastruktur. Bilag 11 - Databehandleraftale

EU-udbud af WAN infrastruktur. Bilag 11 - Databehandleraftale EU-udbud af WAN infrastruktur Bilag 11 - Databehandleraftale INDHOLD 1. DATABEHANDLERENS ANSVAR... 4 2. DATABEHANDLERENS OPGAVE... 4 3. SIKKERHEDSFORANSTALTNINGER... 4 4. DATABEHANDLERS BRUG AF UNDERDATABEHANDLER...

Læs mere

Underbilag 14A DATABEHANDLERAFTALE

Underbilag 14A DATABEHANDLERAFTALE Journalnummer: Underbilag 14A DATABEHANDLERAFTALE Vedrørende levering og vedligeholdelse af EPJ-/PAS-løsning System-/projektansvarlig person Tel. +45 XXXX XXXX e-mail@e-mail.dk For at sikre overholdelsen

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

DATABEHANDLERAFTALE. Journalnummer.: X-X-XX-XX-XX. Vedrørende projektnavn/titel/system/beskrivelse

DATABEHANDLERAFTALE. Journalnummer.: X-X-XX-XX-XX. Vedrørende projektnavn/titel/system/beskrivelse Regionshuset Viborg Journalnummer.: X-X-XX-XX-XX Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk DATABEHANDLERAFTALE Vedrørende projektnavn/titel/system/beskrivelse

Læs mere

Kontraktbilag 16 - Databehandleraftale

Kontraktbilag 16 - Databehandleraftale Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Revideret version Kontraktbilag 16 - Databehandleraftale Side 1/12 Indholdsfortegnelse 1. DATABEHANDLERENS ANSVAR...3 2. DATABEHANDLERENS

Læs mere

Kontraktbilag 16 - Databehandleraftale

Kontraktbilag 16 - Databehandleraftale Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Kontraktbilag 16 - Databehandleraftale Kontraktbilag 16 Databehandleraftale Side 1/9 Indholdsfortegnelse 1. DATABEHANDLERENS ANSVAR...3

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Kontraktbilag 7: Databehandleraftale

Kontraktbilag 7: Databehandleraftale Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er

Læs mere

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående

Læs mere

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. om [Indsæt navn på aftale] Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune

Læs mere

Driftskontrakt. Databehandleraftale. Bilag 14

Driftskontrakt. Databehandleraftale. Bilag 14 Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland Lovafdelingen Dato: Kontor: Databeskyttelseskontoret Sagsbeh: André Dybdal Pape/ Marcus Nymand Sagsnr.: 2016-766-0019 Dok.: 2104838 Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse

Læs mere

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] Tekst markeret med GRØN, udfyldes inden udsendelse til leverandøren Tekst markeret med TURKIS, udfyldes af leverandøren Side 1/16 Side 2/16 DATABEHANDLERAFTALE

Læs mere

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Fællesregional Informationssikkerhedspolitik Indhold 1. Formål...1 2. Organisation...2 3. Gyldighedsområde...3 4. Målsætninger...3 5. Godkendelse...4 1. Formål Den Fællesregionale Informationssikkerhedspolitik

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] DATABEHANDLERAFTALE Der er dags dato indgået følgende Databehandleraftale mellem

Læs mere

Kontraktbilag 3. Databehandleraftale

Kontraktbilag 3. Databehandleraftale Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i

Læs mere

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 Side 1/19 Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med gul er aftaletekst,

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Furesø Kommune Stiager 2 3500 Værløse CVR. nr.: 29188327 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er der

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål. Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling

Læs mere

1. Indledende bestemmelser Formål. Område

1. Indledende bestemmelser Formål. Område 1. Indledende bestemmelser Formål 1.1 Formålet med bestemmelserne er, at den enkelte persons retsbeskyttelse og integritet ikke krænkes ved behandling af personoplysninger i Region Hovedstaden og på Steno

Læs mere

Vejledning til den fællesregionale skabelon Databehandleraftale

Vejledning til den fællesregionale skabelon Databehandleraftale Vejledning til den fællesregionale skabelon Databehandleraftale Den fællesregionale skabelon Databehandleraftale er opbygget på den måde, at man skriver egen tekst i stedet for den eksisterende, hvor denne

Læs mere

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)

Læs mere

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Dragør Kommune Borgmestersekretariat, IT og Personale Marts Bilag 5 Databehandleraftale 1. Overholdelse af gældende regler og forskrifter Databehandleren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten,

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

Bilag 9 Databehandleraftale

Bilag 9 Databehandleraftale Bilag 9 Databehandleraftale Aftale om databehandling mellem Trafik-, Bygge- og Boligstyrelsen Edvard Thomsens Vej 14 2300 København S (i det følgende betegnet som den Dataansvarlige) og XXX XX XX (i det

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR. IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma 647-192717 JNA/jna 26.09.2016 DATABEHANDLERAFTALE mellem herningcentret (Dataansvarlig) og Emplate ApS (Databehandler) Advokatfirma Indholdsfortegnelse 1. Parterne... 3 2. De juridiske rammer... 3 3. Pligt

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part ) Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

DATABEHANDLERAFTALE Bilag til Aftale om Danløn

DATABEHANDLERAFTALE Bilag til Aftale om Danløn DATABEHANDLERAFTALE Bilag til Aftale om Danløn Denne databehandleraftale er et bilag til den mellem Parterne indgåede Aftale om Danløn ( Aftalen om Danløn ) og udgør en integreret del deraf jf. Aftalen

Læs mere

Databehandleraftale. 1. Baggrund, formål og definitioner. mellem. xxxxxxxxxx xxxxxxxxxx xx xxxx xxxxxxx CVR.nr. xxxxxx

Databehandleraftale. 1. Baggrund, formål og definitioner. mellem. xxxxxxxxxx xxxxxxxxxx xx xxxx xxxxxxx CVR.nr. xxxxxx #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem xxxxxxxxxx xxxxxxxxxx xx xxxx xxxxxxx CVR.nr. xxxxxx (herefter benævnt

Læs mere

Sikkerhedsregler for Kalundborg Kommune

Sikkerhedsregler for Kalundborg Kommune Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til

Læs mere

Bilag 11 - Databehandleraftale

Bilag 11 - Databehandleraftale Bilag 11 - Databehandleraftale [Vejledning til tilbudsgiver: Bilaget skal ikke udfyldes af tilbudsgiver. Bilaget er i sin helhed at betragte som et mindstekrav (MK), jf. udbudsbetingelsernes punkt 3.2.3.2

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Side 1 af 8 Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Kapitel 1 Lovens område 1. Stk. 7. Loven gælder for enhver form for behandling af personoplysninger i forbindelse

Læs mere

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE INSTRUKTION TIL BESVARELSE AF BILAGET: Teksten i dette afsnit er ikke en del af Kontrakten og vil blive fjernet ved kontraktindgåelse.

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn

Læs mere

Deltagelse i indkøbsdatasamarbejdet:

Deltagelse i indkøbsdatasamarbejdet: Bilag 1 til Tilmeldingsskemaet til Deltagelse i indkøbsdatasamarbejdet: Databehandleraftale Dags dato er indgået nedenstående aftale mellem (Kommunenavn) (CVR nr.) (Adresse) (Postnummer og by) (Herefter

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem vedr. Indkøbsordning til visiterede borgere i eget hjem Mellem Hvidovre Kommune Hvidovrevej 278 2650 Hvidovre Glostrup Kommune Rådhusparken 2 2600 Glostrup (CVR nr. 65120119) Rødovre Kommune Rødovre Parkvej

Læs mere

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker Vandforsyningens håndtering af den kommende persondataforordning Danske Vandværker Praktiske spørgsmål vi modtog Hvem har ansvaret for beskyttelse af forbrugernes persondata? Er medlemslister i ringbindsmapper

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen ) 25. november 2016 Versionshistorik Versionsnr. Dato Beskrivelse 0.8 25.11.2016 Høringsudkast til kombit.dk DATABEHANDLERAFTALE Mellem [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen

Læs mere

Vejledning til skabelonen Databehandleraftale_feb2015

Vejledning til skabelonen Databehandleraftale_feb2015 Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Vejledning til skabelonen Databehandleraftale_feb2015 Skabelonen Databehandleraftale_feb2015

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] !"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

Hvidovre Kommune. DATABEHANDLERAFTALE 2016 version 1.1

Hvidovre Kommune. DATABEHANDLERAFTALE 2016 version 1.1 Hvidovre Kommune DATABEHANDLERAFTALE 2016 version 1.1 1 Dags dato er indgået nedenstående aftale mellem Hvidovre Kommune Hvidovrevej 278 2650 Hvidovre (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) Databehandleraftale mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) og Hedensted Kommune Horsens Kommune Odder Kommune Niels Espes Vej 8 Rådhustorvet 4 Rådhusgade

Læs mere

Databehandleraftale Leverandør

Databehandleraftale Leverandør , Beskæftigelses- og Integrationsforvaltningen Bilag L - 1 Leverandør Dags dato er indgået nedenstående aftale mellem: Københavns Kommune Beskæftigelses- og Integrationsforvaltningen CVR.nr.: 64 94 22

Læs mere

Procedure for tilsyn af databehandleraftale

Procedure for tilsyn af databehandleraftale IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af

Læs mere

Overblik over persondataforordningen

Overblik over persondataforordningen Overblik over persondataforordningen November 2016 2 Sanktioner Overtrædelsestype: Indhentning af samtykke ift. børn Behandlinger, som ikke kræver identifikation Data protection by Design/Default Delt

Læs mere

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration Side 1 af 2 Forside / Erhverv / Personaleadministration / Krav om datasikkerhed i forbindelse med personaleadministration Opdateret: 06.05.15 Krav om datasikkerhed i forbindelse med personaleadministration

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Persondataforordningen. Henrik Aslund Pedersen Partner

Persondataforordningen. Henrik Aslund Pedersen Partner www.pwc.dk Persondataforordningen Morgenmøde Henrik Aslund Pedersen Partner Revision. Skat. Rådgivning. Hvorfor en ny Persondataforordning? EU persondataforordning - Morgenmøde Hillerød 2 Hvorfor en ny

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Disse forretningsbetingelser gælder for alle CERTA s opdrag, medmindre andet er aftalt med klienten.

Disse forretningsbetingelser gælder for alle CERTA s opdrag, medmindre andet er aftalt med klienten. CERTA S FORRETNINGSBETINGELSER Disse forretningsbetingelser gælder for alle CERTA s opdrag, medmindre andet er aftalt med klienten. Opdraget CERTA s opdrag omfatter bistand i forbindelse med sikkerhedsmæssige

Læs mere

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.:

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.: Abonnementsaftale om håndtering af data i ClinicCare Udgave Januar 2016 Der er krav om at klinikken har en databehandler hos den leverandør der lagre klinikkens data. Dvs. at hvis man har en udgave af

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.

Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Uddrag af Persondataloven, lov nr. 429 af 31. maj 2000 41. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Overordnet Informationssikkerhedsstrategi. for Odder Kommune Overordnet Informationssikkerhedsstrategi for Odder Kommune Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5

Læs mere

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.:

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.: Abonnementsaftale om håndtering af data i ClinicCare 1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.: 1. Lagring og opbevaring af

Læs mere

1 Parterne 3. 2 Baggrund 3. 3 Fortolkningsprincipper 3. 4 Beskrivelse af opgaven 3. 5 Rettigheder og forpligtelser 4

1 Parterne 3. 2 Baggrund 3. 3 Fortolkningsprincipper 3. 4 Beskrivelse af opgaven 3. 5 Rettigheder og forpligtelser 4 Konsulentaftale Vedrørende bistand til sanering af lovgivning på lufttrafikstyrings- og luftfartstjenesteområdet (Air Traffic Management/Air Navigation Services) 1 Parterne 3 2 Baggrund 3 3 Fortolkningsprincipper

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Uddrag af lov om behandling af personoplysninger

Uddrag af lov om behandling af personoplysninger Myndighed: Justitsministeriet Udskriftsdato: 7. oktober 2016 (Gældende) Uddrag af lov om behandling af personoplysninger 1-4. (Udelades) Afsnit II Behandlingsregler Kapitel 4 Behandling af oplysninger

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

Tjekliste til databehandleraftaler

Tjekliste til databehandleraftaler Tjekliste til databehandleraftaler Bruun & Hjejle har i november 2017 udarbejdet denne tjekliste til brug for gennemgang af databehandleraftaler modtaget fra samarbejdspartnere. Tjeklistens pkt. 1 indeholder

Læs mere

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet Om Datatilsynet Datatilsynet er den statslige myndighed, der fører tilsyn med lov om behandling af personoplysninger

Læs mere

MELLEM. 2300 København S. (herefter SKI )

MELLEM. 2300 København S. (herefter SKI ) BRUGERTILSLUTNINGSAFTALE SKI. dk MELLEM Staten og Kommunernes Indkøbs Service A/S Zeppelinerhallen, Islands Brygge 55 2300 København S CVR 17472437, EAN 57900002758477 (herefter SKI ) og (Herefter Kunden

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Anmeldelse af offentlige videnskabelige forskningsprojekter

Anmeldelse af offentlige videnskabelige forskningsprojekter Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 7841 0000 kontakt@rm.dk www.rm.dk Anmeldelse af offentlige videnskabelige forskningsprojekter VEJLEDNING om anmeldelse

Læs mere

Oversigt (indholdsfortegnelse)

Oversigt (indholdsfortegnelse) Oversigt (indholdsfortegnelse) Kapitel 1 - Almindelige bestemmelser Kapitel 2 - Generelle sikkerhedsbestemmelser Kapitel 3 - Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger

Læs mere

September Indledning

September Indledning September 2016 Eksempel fra KOMBIT: Vejledning til gennemførelse af indledende overordnet kortlægning af it-løsningers parathed i forhold til efterlevelse af kendte krav i Databeskyttelsesforordningen

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

Dokumentation af sikkerhed i forbindelse med databehandling

Dokumentation af sikkerhed i forbindelse med databehandling - Dokumentation af sikkerhed i forbindelse med databehandling Al databehandling, der er underlagt persondataloven, skal overholde de tekniske krav, der er opstillet i Datatilsynets bekendtgørelse 528 (sikkerhedsbekendtgørelsen).

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere