IST DANMARK APS ISAE 3000 ERKLÆRING
|
|
- Eva Hedegaard
- 6 år siden
- Visninger:
Transkript
1 MAJ 2017 IST DANMARK APS ISAE 3000 ERKLÆRING Uafhængig revisors erklæring om IST Danmark ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerheds- foranstaltninger til beskyttelse af personoplysninger. Beierholm Statsautoriseret Revisionspartnerselskab Knud Højgaards Vej Søborg CVR-nr Tlf
2 Erklæringsopbygning Kapitel 1: IST Danmark ApS ledelseserklæring Kapitel 2: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet Kapitel 3: Sikkerhedskrav, kontrolaktivitet, test og resultat heraf Kapitel 4: Andre oplysninger /2
3 K APITEL 1: IST Danmark ApS ledelseserklæring Denne beskrivelse og vurdering vedrører kontroller i relation til IST Danmarks ApS overholdelse af persondataloven i forbindelse med IST Danmark ApS rolle som databehandler ved håndtering af personoplysninger i erhvervet som anden aktør. Beskrivelsen knytter sig til kontrollerne, som disse var udformet perioden 1. marts februar IST Danmark ApS er som databehandler af personhenførbare informationer bl.a. omfattet af: Bekendtgørelse nr. 528 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen) Vejledning nr. 37 om - sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning Herved er IST Danmark ApS ansvarlig for at sikre implementeringen og funktionen af kontroller med henblik på at forebygge og opdage fejl, herunder bevidste fejl, med henblik på overholdelse af lovgivningens krav. Med baggrund i ovenstående vurderer IST Danmark ApS, at vi i relation til persondataloven i alle væsentlige forhold har udformet og implementeret kontroller på et betryggende niveau i perioden 1. marts februar 2017 i relation til Software as a Service (SaaS) produkter, som opbevarer data omfattet af persondataloven og sikkerhedsbekendtgørelsen. Roskilde, den 5. maj 2017 Adm. direktør Anne Frederiksen RISC Manager, Niels Højgaard IST Danmark ApS, Gammel Marbjergvej 9, 4000 Roskilde, CVR-nummer /3
4 K APITEL 2 : Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet Til kunder af IST Danmarks softwareprogrammer Omfang Vi har fået som opgave at afgive en erklæring om, hvorvidt IST Danmark ApS for perioden 1. marts februar 2017 har overholdt passende sikkerhedsforanstaltninger til beskyttelse af personoplysninger, jf. de mellem IST Danmark ApS og dennes kunder indgåede aftaler i relation til Software as a Service (SaaS) produkter: Folkeskole, Privat-, fri- og efterskole, Daginstitutioner, SFO, Klub og Ungdomsskole Vores revision har omfattet relevante sikkerhedskrav for den databehandling, der foretages hos IST Danmark ApS i henhold til følgende regler: Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen), som senest er ændret ved bekendtgørelse nr. 201 af 22. marts 2001, Vejledning nr. 37 af 2. februar 2001 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Vores revision omfatter ikke særlige forhold fra kundeaftaler, men omfatter relevante sikkerhedskrav, jf. indgåede databehandleraftaler. Sikkerhedskravene er oplistet i kapitel 3. Virksomhedens ledelse har ansvaret for, at sikkerhedskrav i relation til ovenstående regler er overholdt. Vores ansvar er, på grundlag af vores arbejde, at udtrykke en konklusion om, hvorvidt vi er enige i, at de etablerede kontroller er tilstrækkelige til at opfylde de relevante krav i persondataloven. Vores konklusion udtrykkes med høj grad af sikkerhed. Afgrænsning Erklæringen afdækker ikke de it-sikkerhedsmæssige kontrolmål og tilhørende kontroller, som er etableret hos underleverandør. IST Danmark ApS anvender underleverandør på følgende område: Co-location/ floorrent faciliteter (den fysiske sikkerhed for produktionsudstyr). Følende Tabulex programmer er ikke omfattet af nærværende erklæring Hjemmeside, Informationsportal, Lara, Skemalægning, Skolebestyrelse og Trio. Programmerne er ikke omfatter af erklæringen med baggrund i deres egenskab som enten distribueret database udenfor IST Danmarks driftsmiljø eller ikke indeholdende personhenførbar data. Produkter der hører under betegnelsen "Hypernet" er ligeledes ikke omfattet af erklæringen da driftsansvaret henligger hos IST International i Sverige. /4
5 IST Danmark ApS ansvar IST Danmark ApS ledelse har ansvaret for, at sikkerhedskrav i relation til behandling af persondata er overholdt. Beierholms uafhængighed og kvalitetsstyring Vi har overholdt kravene til uafhængighed og andre etiske krav i FSR s Etiske Regler, som er baseret på grundlæggende principper om integritet, objektivitet, faglige kompetencer og fornøden omhu, fortrolighed samt professionel adfærd. Vi anvender ISQC 1 og opretholder derfor et omfattende system for kvalitetsstyring, herunder dokumenterede politikker og procedurer for overholdelse af etiske regler, faglige standarder samt gældende krav ifølge lov og øvrig regulering. Revisors ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om udformningen og funktionen af kontroller, der knytter sig til de sikkerhedskrav, der er anført i kapitel 3. Vi har udført vores undersøgelser i overensstemmelse med den internationale standard om andre erklæringsopgaver med sikkerhed og yderligere krav ifølge dansk revisorlovgivning med henblik på at opnå høj grad af sikkerhed for vores konklusion om overholdelse af sikkerhedsbekendtgørelsens regler om beskyttelse af personoplysninger i IST Danmark ApS. Vores arbejdede har omfattet forespørgsler, observationer og vurdering samt stikprøvevis efterprøvning af den information, vi har modtaget. I forhold til vurderingen af sikkerhedsframeworket er den foretaget med udgangspunkt i ISO27002:2013 Standard for informationssikkerhed. Det er Beierholms opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos IST Danmark ApS På grund af begrænsninger i ethvert kontrolsystem kan der opstå fejl eller besvigelser, som ikke afdækkes af vores arbejde. Endvidere vil en anvendelse af vores konklusion på efterfølgende perioders transaktioner være undergivet en risiko for, at der er foretaget ændringer af systemer eller kontroller, ændring i kravene til behandling af oplysninger eller i virksomhedens overholdelse af de beskrevne politikker og procedurer, hvorved vores konklusion eventuelt ikke længere vil være gældende. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos serviceleverandører kan blive utilstrækkelige eller svigte. Konklusion Det er vor opfattelse, at IST Danmark ApS for perioden 1. marts februar 2017 overholder forskrifterne i bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger jf. de mellem IST Danmark ApS og dennes kunder indgåede aftaler, i relation til Software as a Service (SaaS) produkter: Folkeskole, Privat-, fri- og efterskole, Daginstitutioner, SFO, Klub og Ungdomsskole. Søborg, den 5. maj 2017 Beierholm Statsautoriseret Revisionspartnerselskab Kim Larsen Statsautoriseret revisor Jesper Aaskov Pedersen IT-auditor, Manager /5
6 KAPITEL 3: Revisors beskrivelse af sikkerhedskrav, kontrolaktivitet, test og resultat heraf Vi har struktureret vores arbejde i overensstemmelse med IASE 3000 andre erklæringsopgaver med sikkerhed. Hvert kontrolmål har sit eget afsnit, som alle indledes med en opremsning af de krav, som Sikkerhedsbekendtgørelsen stiller (gråt tekstfelt). Under det grå felt er tre kolonner: Første kolonne viser de aktiviteter, som IST Danmark ApS jf. sin dokumentation har iværksat for at leve op til kravene, anden kolonne viser, hvordan vi har valgt at teste, om det forholder sig som beskrevet, mens tredje kolonneviser resultatet af vores test. Hvad angår periode har vi i vores test forholdt os til, om IST Danmark ApS har levet op til sikkerhedskravene perioden 1. marts februar KONTROLMÅL 1 : Virksomheder, der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, må kun behandle disse efter instruks fra den dataansvarlige. (Persondataloven 41, stk. 1). formaliserede processer til sikring af, at data behandles i overensstemmelse med kontrakt/tillæg fra dataansvarlig. Instruktion/ opgavebeskrivelser fra dataansvarlig er indarbejdet i IST Danmark ApS formaliserede forretningsgange (f.eks. gennem it-sikkerhedshåndbog). Vi har påset, at formaliserede processer til sikring af, at data behandles i overensstemmelse med kontrakt/tillæg fra dataansvarlig. Vi har påset, at it-sikkerhedshåndbogen indeholder alle relevante instruktioner fra en dataansvarlig. /6
7 KONTROLMÅL 2 : Databehandlere skal træffe tekniske og organisatoriske sikkerhedsforanstaltninger, som sikrer mod at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. (Persondataloven 41, stk. 3 og Sikkerhedsbekendtgørelsen 3, stk. 1) formaliserede processer til sikring mod, at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Disse kontroller omfatter: Retningslinjer for bortskaffelse af medier og udstyr, Retningslinjer for sikkerhedskopiering, Lagrede kopier gemmes på en anden fysisk lokalitet, som sikrer fortrolige eller følsomme personoplysninger mod uvedkommendes kendskab, misbrug eller øvrig behandling i strid med loven. Datamedier, der indeholdt fortrolige eller følsomme personoplysninger, afleveres il destruktion Sikkerhedskopi af lokale data (midlertidige arbejdskopier) hvor dette omfatter fortrolige eller følsomme personoplysninger, opbevares på en forsvarlig måde, og sådanne backup medier destrueres. Vi har påset, at formaliserede procedurer der sikrer mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven om personoplysninger. Vi har stikprøvevist efterprøvet, at kontrollerne vedrørende lagring, ulovlig destruktion samt uautoriseret adgang er effektive. /7
8 KONTROLMÅL 3 : Databehandlere skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. (Persondataloven 41, stk. 3 og Sikkerhedsbekendtgørelsen 3, stk. 1) formaliserede processer til sikring af sikkerhedskopiering og restore af produktionsmiljøer, som IST Danmark ApS har driftsansvaret for. IST Danmark ApS anvender ikke deciderede testmiljøer udenfor omtalte produktionssetup. Vi har påset at formaliserede processer for sikring af produktionsmiljøet, gennemgang af backup og restore. Vi har stikprøvevist efterprøvet, at kontrollerne af backupmiljøet og tilhørende lagring, restore samt uautoriseret adgang fungerer som beskrevet. KONTROLMÅL 4 : For personoplysninger, som er af særlig interesse for fremmede magter, skal de dataansvarlige træffe foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. (Persondataloven 41, stk. 4 og Sikkerhedsbekendtgørelsen 3, stk. 2) formaliserede processer til sikring af bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Vi har påset, at formaliserede processer til sikring af bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. /8
9 KONTROLMÅL 5 : Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige. (Persondataloven 42, stk. 2) formaliserede processer til aftaleindgåelser til sikring af, at enhver databehandling, modtagelse eller videregivelse af data sker i henhold til instruks fra en dataansvarlig i henhold til indgåede databehandlingsaftaler. Vi har påset, at formaliserede processer for aftaleindgåelse, som sikrer, at IST Danmark ApS alene handler efter instruks fra en dataansvarlig. Vi har stikprøvevist efterprøvet, at der foreligger databehandleraftaler for IST Danmark ApS kunder. KONTROLMÅL 6 : Den dataansvarlige skal give den fornødne instruktion til de medarbejdere, som behandler personoplysninger. (Sikkerhedsbekendtgørelsen 5) formaliserede processer, som sikrer at de organisatoriske forhold understøtter sikkerhedsforanstaltningerne i persondataloven. Alle medarbejdere underskriver hvert år en sikkerhedserklæring, hvori der gøres opmærksom på såvel politik som sikkerhedshåndbog med de gældende retningslinjer. Ved indgåelse af aftaler med eksterne parter sikres den fornødne information om it-sikkerhedsmæssige krav, indgåelse af tavshedserklæringer o.l. Vi har påset, at de organisatoriske forhold, så sikkerhedsforanstaltningerne i persondataloven understøttes. Vi har stikprøvevist testet, at medarbejderne hvert år underskriver en sikkerhedserklæring, hvori der gøres på såvel politik som sikkerhedshåndbog med de gældende retningslinjer. Vi har desuden påset, at der er indhentet en revisionserklæring fra en underleverandør, som sikrer, at tilsvarende krav overholdes på områder, hvor der er foretaget outsourcing. Vi har derudover drøftet underleverandørens setup i forhold til adgang til IST Danmark ApS produktionsmiljø. /9
10 KONTROLMÅL 7 : Databehandlere skal fastlægge retningslinjer til sikring af fysisk sikkerhed. (Sikkerhedsbekendtgørelsen 5, 8 og 10) kontroller til sikring af fysisk sikkerhed. Disse kontroller omfatter en række adgangskontroller i bygninger, hvor der behandles personoplysninger (adgangskort og adgangskode). Ved indgåelse af aftaler med eksterne parter sikres det, at den eksterne part modtager den fornødne information om de it-sikkerhedsmæssige krav. Vi har påset, at kontroller til sikring af den fysiske sikkerhed. Vi har stikprøvevist testet, at de fysiske adgangskontroller fungerer som beskrevet. Vi har desuden påset, at der er indhentet en revisionserklæring fra en underleverandør som sikrer, at tilsvarende krav overholdes på områder, hvor der er foretaget outsourcing. Vi har herudover drøfter underleverandørens setup i forhold til adgang til IST Danmark ApS produktionsmiljø. KONTROLMÅL 8 : Databehandlere skal fastlægge retningslinjer for sikkerhedsorganisationen. (Sikkerhedsbekendtgørelsen 5) IST Danmark ApS er der placeret et organisatorisk ansvar for itsikkerhed, og det er dokumenteret og implementeret. It-sikkerheden er koordineret på tværs af virksomhedens organisatoriske rammer. Der foreligger passende forretningsgange for medarbejdere omkring angivelse af tavshedserklæring. Gennem inspektion og test har vi sikret, at det organisatoriske ansvar for it-sikkerhed er dokumenteret og implementeret. Vi har kontrolleret, at it-sikkerheden er forankret på tværs af organisationen i forhold til SaaS produkter. Ved interview har vi kontrolleret, at den itsikkerhedsansvarlige har kendskab til rollen og de tilhørende ansvarsområder. Gennem stikprøve på ansættelsesaftale har vi kontrolleret, at medarbejdere i IST Danmark ApS er bekendte med deres tavshedspligt. /10
11 KONTROLMÅL 9 : Databehandlere skal fastlægge interne retningslinjer for administration af og kontrol med autorisationer. (Sikkerhedsbekendtgørelsen 5) processer for administration af, og kontrol med, interne autorisationer. Alle interne autorisationer godkendes af medarbejdernes nærmeste chef. Vi har påset, at processer for administration af og kontrol med autorisationer. Vi har stikprøvevist testet, at der foreligger godkendelse fra nærmeste chef i forhold til med adgang til produktionsmiljøet (i relation til Software as a Service (SaaS) produkter). KONTROLMÅL 10: Databehandlere skal fastlægge interne retningslinjer for logisk sikkerhed, herunder logning og kontrol af afviste adgangsforsøg. (Sikkerhedsbekendtgørelsen 5, 12 og 18) foranstaltninger for logisk sikkerhed, herunder logning og kontrol af afviste adgangsforsøg. Disse kontroller omfatter: Kvalitetskrav til password Kontrol af afviste adgangsforsøg Log og opfølgning over afviste adgangsforsøg. Vi har påset, at foranstaltninger for logisk sikkerhed, herunder logning og kontrol af afviste adgangsforsøg. Vi har stikprøvevist testet opsætningen af Windows domænekontroller samt i forhold til SaaS produkter og påset, at Kvalitetskravene til password lever op til kravene i Datatilsynets anbefalinger til god skik. Der foretages lockout af brugere efter tre afviste adgangsforsøg ved forkert password. Vi har desuden påset, at der foretages opfølgning på eventuelle afviste adgangsforsøg. /11
12 KONTROLMÅL 11: Databehandlere skal fastlægge interne retningslinjer for anvendelsen af it-udstyr. (Sikkerhedsbekendtgørelsen 5) IST Danmark ApS har udarbejdet retningslinjer, som beskriver anvendelsen af it-udstyr. Vi har påset, at IST Danmark ApS retningslinjer for anvendelse af it-udstyr indeholder alle relevante kontroller, og vi har påset, at de indeholder alle for sikkerhedsbekendtgørelsen 5 s relevante retningslinjer. Vi har desuden påset, at disse retningslinjer omtales i den årlige sikkerhedserklæring, som underskrives af medarbejderne. KONTROLMÅL 12: De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold hos databehandleren. (Sikkerhedsbekendtgørelsen 5, stk. 2) formaliserede processer, som sikrer, at alle retningslinjer gennemgås mindst én gang årligt, og at ændringer i retningslinjerne dokumenteres i en log. Vi har påset, at der foreligger dokumentation for IST Danmark ApS it-sikkerhedspolitik, og vi har testet, at håndbogen revurderes og opdateres mindst én gang årligt. /12
13 KONTROLMÅL 1 3 : Databehandleren skal sikre, at kun autoriserede brugere har adgang til personfølsomme data, og at de tildelte brugeradgange er i overensstemmelse med arbejdsmæssigt betingede behov. (Sikkerhedsbekendtgørelsen 11 og 16, autorisation og adgangskontrol) formaliserede processer, som sikrer, at tildelte brugeradgange er i overensstemmelse med arbejdsmæssigt betingede behov. Alle autorisationer godkendes af medarbejdernes nærmeste chef og indeholder begrundelse for den ønskede adgang til applikation og tilhørende data Vi har påset, at formaliserede processer for brugeradministration og rettighedsstyring. Vi har stikprøvevist testet, at der for tildelte autorisationer foreligger begrundelse for den ønskede adgang og godkendelse fra nærmeste chef. KONTROLMÅL 14: Tildelte brugeradgange revurderes mindst én gang hvert år for at sikre, at de autoriserede personer fortsat opfylder betingelserne. (Sikkerhedsbekendtgørelsen 17) formaliserede processer, som sikrer, at egne autorisationer revurderes mindst én gang hvert halve år. For så vidt angår autorisationer til produktionsmiljøet udstedes disse for en begrænset periode, og der kræves nye autorisationer ved forlængelse. Vi har påset, at der er tilrettelagt formaliserede processer for brugeradministration og rettighedsstyring. Vi har stikprøvevist testet, at brugeradgange revurderes mindst én gang hvert år. /13
14 KONTROLMÅL 1 5 : Databehandlere skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. (Sikkerhedsbekendtgørelsen 6) IST Danmark ApS har fastsat regler for uddannelse, træning og oplysninger om informationssikkerhed ved håndtering af personoplysninger. Den enkelte medarbejder underskriver en sikkerhedserklæring hvert år. Vi har gennemgået IST Danmark ApS rammer for awereness træning af medarbejder i forbindelse med håndtering behandling af personoplysninger. Vi har påset, at undervisningsmaterialet er tilstrækkeligt til at afdække sikkerhedskravene. Vi har testet, at der foreligger underskrevne sikkerhedserklæringer fra alle medarbejdere. KONTROLMÅL 1 6 : Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren. (Sikkerhedsbekendtgørelsen 7, stk. 1) Der foreligger en skriftlig aftale med den dataansvarlige, hvori det fremgår, at behandling af personoplysninger skal foregå i overensstemmelse med reglerne i sikkerhedsbekendtgørelsen. Vi har påset, at der foreligger en skriftlig aftale mellem IST Danmark ApS kunder og IST Danmark ApS, som henviser til reglernes i sikkerhedsbekendtgørelsen. /14
15 KONTROLMÅL 1 7 : Databehandlere skal fastlægge interne retningslinjer for sikkerhedsreglerne i forbindelse med anvendelse af hjemmearbejdspladser. (Sikkerhedsbekendtgørelsen 7, stk. 2) IST Danmark ApS har udarbejdet retningslinjer for overholdelse af sikkerhedsreglerne i forbindelse med anvendelse af hjemmearbejdspladser. Disse kontroller omfatter: Krav til opkobling via en sikker VPN-forbindelse Forbud mod at etablere andre kommunikationsforbindelser på pc en Retningslinjer for behandling af data, herunder forbud mod at gemme data lokalt Den enkelte medarbejder bekræfter i den årlige sikkerhedserklæring, at ovenstående retningslinjer overholdes. Vi har påset, at der foreligger retningslinjer for overholdelse af sikkerhedsreglerne i forbindelse med anvendelse af hjemmearbejdspladser. Vi har stikprøvevist testet IST Danmark ApS adgangskontroller via VPN og vurderet, at disse overholder de sikkerhedsmæssige krav i persondataloven. Vi har desuden påset, at de årlige sikkerhedserklæringer, som underskrives af medarbejderne, indeholder omtale af retningslinjerne for brug af hjemmearbejdspladser, herunder forbud mod at downloade personfølsomme oplysninger på pc er, som anvendes ved hjemmearbejdspladser. /15
16 KONTROLMÅL 1 8 : Databehandlere skal fastlægge interne retningslinjer for bortskaffelse, salg, kassation, reparation og service af it-udstyr med persondata. (Sikkerhedsbekendtgørelsen 9) IST Danmark ApS har udarbejdet retningslinjer for bortskaffelse, salg, kassation, reparation og service af it-udstyr indeholdende persondata. Vi har påset, at IST Danmark ApS har udarbejdet retningslinjer for bortskaffelse, salg, kassation, reparation og service af it-udstyr indeholdende persondata. Vi har stikprøvevist testet, at udstyr med persondata bortskaffes i henhold til retningslinjerne. KONTROLMÅL 1 9 : Databehandlere skal fastlægge interne retningslinjer for behandling af inddata. (Sikkerhedsbekendtgørelsen 10) IST Danmark ApS har udarbejdet retningslinjer for behandling af inddata. Den enkelte medarbejder underskriver en sikkerhedserklæring hvert år, hvor der kvitteres for, at retningslinjerne for behandling af inddata overholdes. Vi har påset, at IST Danmark ApS har udarbejdet retningslinjer for behandling af inddata. Vi har stikprøvevist testet, at de årlige sikkerhedserklæringer indeholder omtale af retningslinjerne for inddata, og underskrives hvert år af medarbejderne /16
17 KONTROLMÅL 20: Databehandlere skal fastlægge interne retningslinjer for behandling af uddatamaterialer. (Sikkerhedsbekendtgørelsen 13) IST Danmark ApS har udarbejdet retningslinjer for behandling af uddatamaterialer. Den enkelte medarbejder underskriver en sikkerhedserklæring hvert år, hvor der kvitteres for, at retningslinjerne for behandling af uddata overholdes. Vi har påset, at IST Danmark ApS har udarbejdet retningslinjer for behandling af uddatamaterialer. Vi har stikprøvevist testet, at de årlige sikkerhedserklæringer indeholder omtale af retningslinjerne for uddata, og underskrives hvert år af medarbejderne. KONTROLMÅL 2 1 : Databehandleren skal udarbejde retningslinjer for sikring af eksterne kommunikationslinjer og træffe foranstaltninger, der sikrer, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. (Sikkerhedsbekendtgørelsen 14) IST Danmark ApS har udarbejdet retningslinjer for sikring af eksterne kommunikationslinjer, og formaliserede processer, som sikrer, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Disse kontroller omfatter: Retningslinjer for netværksadgang Stærk kryptering af kommunikationslinjer. Vi har påset, at IST Danmark ApS har udarbejdet retningslinjer for sikring af eksterne kommunikationslinjer. Vi har foretaget gennemgang af netværksopsætningen og testet, at kommunikationslinjerne er stærkt krypteret. /17
18 KONTROLMÅL 2 2 : Databehandleren skal udarbejde retningslinjer for sikring af eksterne kommunikationslinjer og Databehandleren skal sikre, at der foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. (Sikkerhedsbekendtgørelsen 19) en række formaliserede processer til logning og håndtering af logoplysninger. Loggen opbevares i henhold til aftale med IST Danmark ApS kunder i 6 måneder, hvorefter den destrueres. IST Danmark ApS procedurer omfatter: Alle medarbejderes adgang til systemerne logges med de nødvendige oplysninger om, hvilken bruger der har tilgået systemet, samt hvilke personer der er tilgået. Stikprøvekontrol af brugernes systemanvendelse. Vi har påset, at formaliserede processer for logning og håndtering af log-oplysninger. Vi har ydermere foretaget inspektion af IST Danmark ApS egenkontrol af brugernes adgange til og anvendelse af systemerne. /18
19 KAPITEL 4: Andre oplysninger Det er kundernes ansvar at skabe sammenhæng mellem kravene i persondataloven og kundernes egne processer, herunder: IST Danmark ApS er ikke ansvarlig for adgangsrettigheder, herunder tildeling, ændring og nedlæggelse, i forhold til den enkelte kundes brugere og deres adgange til SaaS produkter. Kunden er selv forpligtiget til at sikre, at administrere egne medarbejderes adgang til de forskellige funktioner (roller). Kunderne er ansvarlige for datatransmission til SaaS produkter, og det er kundernes ansvar at skabe den nødvendige datatransmission til IST Danmarks datacenter. Kunden skal selv sikre de nødvendige kontroller i tilknytning til dette kontrolmål. /19
Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018
www.pwc.dk Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018 Indhold 1. Ledelsens udtalelse... 3 2. Uafhængig revisors
Læs mere1. Ledelsens udtalelse
www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens
Læs mereNetic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.
www.pwc.dk Netic A/S Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser Juni 2018 Indhold 1. Ledelsens udtalelse 2 2. Uafhængig revisors
Læs mereEG Cloud & Hosting
www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017
Læs mereEG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser
www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...
Læs mereISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer
plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger
Læs mereTabulex ApS. Februar erklæringsår. R, s
Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår
Læs mereFonden Center for Autisme CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataloven og tilhørende bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger med senere ændringer
Læs mereTabulex ApS. Februar 2011 7. erklæringsår. R, s
Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereDATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]
DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE Flakhaven 2, 5000 Odense C OG [INDSÆT NAVN CVR xxxxxxxx Adresse ] 1. INDLEDNING... 3 2. ALMINDELIGE BESTEMMELSER... 3 3. SUPPLERENDE KRAV... 4 4. UNDERSKRIFTER...
Læs mereEksempel på KOMBITs instruks til ISAE 3000 revisionserklæring
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,
Læs mereUdkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland
Lovafdelingen Dato: Kontor: Databeskyttelseskontoret Sagsbeh: André Dybdal Pape/ Marcus Nymand Sagsnr.: 2016-766-0019 Dok.: 2104838 Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse
Læs mereMedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende
Læs mereBilag 9 Databehandleraftale
Bilag 9 Databehandleraftale Aftale om databehandling mellem Trafik-, Bygge- og Boligstyrelsen Edvard Thomsens Vej 14 2300 København S (i det følgende betegnet som den Dataansvarlige) og XXX XX XX (i det
Læs mereDatabehandlerinstruks
1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren
Læs mereIshøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.
IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens
Læs mereProcedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Læs mereRetningsgivende databehandlervejledning:
Retningsgivende databehandlervejledning: 1. Databehandleren handler alene efter vejledning af den dataansvarlige og vedrører de opgaver, datahandleren har i henhold til bilag 1 til databehandleraftalen
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataforordningen (GDPR) pr. 25-05-2018 ISAE 3000-I CVR-nr.: 33 07 66 49 Maj 2018 REVI-IT A/S statsautoriseret
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs mereLector ApS CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesloven (GDPR) pr. 06-07-2018 ISAE 3000-I Lector ApS CVR-nr.: 10 02 16 18 Juli 2018 REVI-IT A/S statsautoriseret
Læs mereIMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer
MARTS 2019 IMS A/S CVR-nummer 25862015 ISAE 3402 TYPE 1 ERKLÆRING Revisors erklæring vedrørende overholdelse af sikkerhedsprocedurer omkring dataudveksling. Rammen for sikkerhedsprocedurer er angivet i
Læs mereAFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN
AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør
Læs mereFront-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.
Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København
Læs mereSikkerhedsregler for Kalundborg Kommune
Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til
Læs mereRammeaftalebilag 5 - Databehandleraftale
Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)
Læs mereUnderbilag Databehandlerinstruks
Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter
Læs mereMedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende
Læs merePlan og Handling CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov pr. 29-01-2019 ISAE 3000 CVR-nr.: 18 13 74 37
Læs mereAftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )
Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) og Steuermann ApS Flæsketorvet 68 1711 København V CVR. nr. 35809422 (i det følgende betegnet Databehandler ) (herefter samlet
Læs mereTilladelsen gives på følgende vilkår:
Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,
Læs mereBilag A Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (Beierholms kunde) indgåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandleren (Beierholm)
Læs mere- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)
Læs mereKontraktbilag 7: Databehandleraftale
Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør
Læs mereDatabehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]
Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn
Læs mereDatabehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:
Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter
Læs mereDatabehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem
Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")
Læs mereFront-data Danmark A/S
Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560
Læs mereDatabehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes
Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn
Læs mereDatabehandleraftale. om [Indsæt navn på aftale]
Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune
Læs mere3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.
Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling
Læs mereDATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx
DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående
Læs mereDatabehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.
Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke Herefter benævnt Dataansvarlig Og Leverandør navn Adresse Herefter benævnt Databehandler side 1 af 5 Generelt Databehandleren
Læs mereKomiteen for Sundhedsoplysning CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) pr. 20-12-2018 ISAE 3000 Komiteen for Sundhedsoplysning CVR-nr.: 14 03 53 38 December
Læs mereDATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )
DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:
Læs mere1. Ledelsens udtalelse
www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden
Læs mereBilag B Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (s kunde) indgåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren () behandling af personoplysninger,
Læs mereDragør Kommune Borgmestersekretariat, IT og Personale Marts
Bilag 5 Databehandleraftale 1. Overholdelse af gældende regler og forskrifter Databehandleren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten,
Læs mereDATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Januar 2018 Version 1.1 Udarbejdet af: Jansson Gruppen A/S på vegne af: Jansson EL A/S, CVR nr.: 73 28 93 19 Jansson Alarm A/S, CVR nr.: 74 78
Læs mereDriftskontrakt. Databehandleraftale. Bilag 14
Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]
Læs mereUnderbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]
Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] DATABEHANDLERAFTALE Der er dags dato indgået følgende Databehandleraftale mellem
Læs mereAftale omkring behandling af persondata.
Databehandleraftale Aftale omkring behandling af persondata. Aftalen Denne databehandleraftale er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig) og ApS (Databehandler), og er gældende
Læs mereMichael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk
Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,
Læs mereBILAG 14: DATABEHANDLERAFTALE
BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav
Læs mereDATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem
vedr. Indkøbsordning til visiterede borgere i eget hjem Mellem Hvidovre Kommune Hvidovrevej 278 2650 Hvidovre Glostrup Kommune Rådhusparken 2 2600 Glostrup (CVR nr. 65120119) Rødovre Kommune Rødovre Parkvej
Læs mereAFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )
AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik
Læs mere1. Indledende bestemmelser Formål. Område
1. Indledende bestemmelser Formål 1.1 Formålet med bestemmelserne er, at den enkelte persons retsbeskyttelse og integritet ikke krænkes ved behandling af personoplysninger i Region Hovedstaden og på Steno
Læs mereDATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]
DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] Tekst markeret med GRØN, udfyldes inden udsendelse til leverandøren Tekst markeret med TURKIS, udfyldes af leverandøren Side 1/16 Side 2/16 DATABEHANDLERAFTALE
Læs mereDATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS
DATABEHANDLERAFTALE General aftale omkring behandling af persondata Udarbejdet af: ZISPA ApS Aftalen Denne databehandleraftale (Aftalen) er ZISPA s generelle databehandler aftale til den indgåede samhandelsaftale
Læs mereCC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Aftalen foreligger mellem Adresse Post nr. og By CVR. nr. xx xx xx xx (i det følgende betegnet Dataansvarlig ) og CC GROUP DENMARK Møllebugtvej 5 7000 Fredericia Att: CVR. nr. 27415032
Læs mereDatabehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )
#BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]
Læs mereCuranet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Åstvej 10, B 7190 Billund CVR. nr. 30 56 13 17 (i det følgende betegnet Dataansvarlig ) og Curanet A/S Højvangen 4 8660 Skanderborg CVR. nr. 29
Læs mereDATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr
DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr. 29189668 (herefter Kommunen ) og Firmanavn Adresse Postnr. og by CVR.nr. (herefter Leverandøren ) er der indgået nedenstående
Læs mereBilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS
Side: 1 DATABEHANDLERAFTALE Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS 1. Baggrund 1.1 Den Dataansvarlige er den juridiske enhed/kunde som har indgået
Læs mereDATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)
DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: By: (i det følgende benævnt KUNDEN) MICO ApS CVR 29220646 Bådehavnsgade 42 2450 København SV (i det følgende benævnt MICO) INDLEDNING Nærværende
Læs mereDatabehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)
Databehandleraftale mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) og Hedensted Kommune Horsens Kommune Odder Kommune Niels Espes Vej 8 Rådhustorvet 4 Rådhusgade
Læs merePr. 31. december 2014
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Emini A/S Uafhængig revisors
Læs mereUNDERBILAG 14A.1 DATABEHANDLERINSTRUKS
UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS 1. Vedrørende Databehandlerens ansvar 1.1. Databehandleren må alene behandle personoplysninger omfattet af Databehandleraftalen efter instruks fra den Dataansvarlige
Læs merelov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).
Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.
Læs mereBilag X Databehandleraftale
Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN
Læs mereDatatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration
Side 1 af 2 Forside / Erhverv / Personaleadministration / Krav om datasikkerhed i forbindelse med personaleadministration Opdateret: 06.05.15 Krav om datasikkerhed i forbindelse med personaleadministration
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov for leverancen af rekrutteringsydelser i perioden
Læs mereDatabehandleraftale. Dags dato er indgået nedenstående aftale mellem
Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]
Læs mereDatabehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )
#BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs mereDatabehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)
Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at
Læs merefrcewtfrhousf(wpers ml
frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende
Læs mereDatabehandleraftale 2013
Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE
Læs mereDATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren )
Læs mereDato: 6. oktober 2011 Side 1 af 7. Fælles Databehandlerinstruks -
Dato: 6. oktober 2011 Side 1 af 7 Fælles Databehandlerinstruks - FLIS Dato: 6. oktober 2011 Side 2 af 7 Issue/ Version Forfatter Beskrivelse 1.0 Brian Jørgensen Første godkendte udgave af fælles databehandlerinstruks
Læs mereKontraktbilag 3. Databehandleraftale
Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i
Læs mereTønder Kommune BILAG 10
Tønder Kommune BILAG 10 Databehandleraftale mellem Tønder kommuner og Leverandør Side 1/14 DATABEHANDLERAFTALE Mellem Tønder Kommune Wegners Plads 2 6270 Tønder CVR. nr.: 29189781 (herefter Kommunen )
Læs mereSKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017
SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 Side 1/19 Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med gul er aftaletekst,
Læs mereDATABEHANDLERAFTALE. Aftale omkring behandling af persondata
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Denne databehandleraftale (Aftalen) er er et tillæg til den indga ede samtykke mellem kunden (Dataansvarlig) og GSGroup Esbjerg (Databehandler)
Læs merehos statslige myndigheder
IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet
Læs mereDATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde
DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde sig til indholdet evt.
Læs mereOPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE
OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE Bilag 14, IT-sikkerhed og databehandleraftale v.1.0 / Option til RM og RN INSTRUKTION TIL LEVERANDØREN VED UDNYTTELSE
Læs mereBekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
Uddrag af Persondataloven, lov nr. 429 af 31. maj 2000 41. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller
Læs mereForsvarsministeriets Materiel- og Indkøbsstyrelse
Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.
Læs mere1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.
Aftalens omfang 1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden. 1.2 Personoplysninger, der behandles af Leverandøren,
Læs mereBekendtgørelse om tilsynet med de anerkendte arbejdsløshedskassers administration
BEK nr 370 af 28/04/2011 (Gældende) Udskriftsdato: 23. januar 2017 Ministerium: Beskæftigelsesministeriet Journalnummer: Beskæftigelsesmin., Pensionsstyrelsen, j.nr. 10-22-0024 Senere ændringer til forskriften
Læs mereStaten og Kommunernes Indkøbsservice
Staten og Kommunernes Indkøbsservice ISAE 3000-erklæring fra uafhængig revisor vedrørende procedurer og kontroller etableret til beskyttelse af pr. 31. december 2018 Indhold 1 Serviceleverandørens udtalelse
Læs mereorigo Databehandleraftale
Databehandleraftale MED ORIGO SYSTEMS APS Baseret på Kombits skabelon version 1.0 af 3. april 2017 Side! 1/! DATABEHANDLERAFTALE Mellem CVR. nr.: (herefter Kunden ) og Origo Systems ApS Sjællandsgade 72
Læs mereTlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S
Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN
Læs mere(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )
Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter
Læs mereDatabehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD
INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel
Læs mereIDQ A/S CVR-nr.:
Uafhængig revisors ISAE 3000 - erklæring med sikkerhed om beskrivelsen af kontroller rettet mod databeskyttelse og behandling af personoplysninger pr. 28. marts 2019 ISAE 3000 IDQ A/S CVR-nr.: 34 04 62
Læs mereDatabehandlervilkår. 1: Baggrund, formål og definitioner
Databehandlervilkår 1: Baggrund, formål og definitioner 1.1 Denne databehandleraftale (herefter kaldet Databehandleraftalen ) vedrører de af den Dataansvarlige indkøbte løsninger og ydelser, hvor behandling
Læs mere