VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing

Størrelse: px
Starte visningen fra side:

Download "VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing"

Transkript

1 VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing DI ITEK 1787 København V itek.di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik og kommunikation

2 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 2

3 VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing BAGGRUND Digitalisering er helt centralt for, at danske virksomheder kan øge produktiviteten og konkurrenceevnen i en global verden. Derfor er det vigtigt, at virksomhederne tager moderne teknologier og metoder som big data, internet of everything, cloud computing, sociale medier og mobile løsninger til sig. Cloud computing er af de teknologier, som europæiske virksomheder anser som særligt lovende. Ifølge et studie fra EU Kommissionen 1 brugte 19% af alle europæiske virksomheder cloud computing i Af disse bruger knapt halvdelen avancerede cloud løsninger til at styre regnskaber, kunder og andre forretningskritiske programmer. Danmark er med til at trække det europæiske gennemsnit op, idet 38% af danske virksomheder bruger cloud computing under en eller anden form. Nogle af teknologierne ændrer på de behov, der er til sikkerheden for, at data og systemer er til rådighed, når de skal være det (tilgængelighed), er sikre således, at kun dem, der skal have adgang, får adgang (fortrolighed), og således at data kun ændres af dem, der må (integritet). 39% af dem, der bruger cloud computing, betragter risikoen for en sikkerhedsbrist som en begrænsende faktor. 42% af de virksomheder, der ikke bruger cloud computing i dag, betragter manglende viden om cloud computing - herunder sikkerhed - som en begrænsende faktor. Der er derfor god grund til at hæve vidensniveauet om cloud computing og sikkerhed. Denne vejledning giver anbefalinger til informationssikkerheden, når virksomhederne lader eksterne parter drive og vedligeholde nogle af virksomhedens it-systemer. I denne vejledning gennemgås det indledningsvis, hvad outsourcing og cloud computing er. Herefter gennemgås de sikkerhedskrav, som en virksomhed bør opstille, 1 _statistics_on_the_use_by_enterprises VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 3

4 når de bruger eksterne leverandører. Der konkluderes med en tjekliste for god leverandørsikkerhed. OUTSOURCING Outsourcing betyder, at virksomhed køber en ydelse, som den tidligere selv har stået for, hos en underleverandør. Formålet er ofte at opnå en bedre pris eller en bedre kvalitet, ved at anvende en specialiseret leverandør. Outsourcing anvendes af næsten alle virksomheder - f.eks. ved at lægge produktion til fjernøsten eller ved at hyre et rengøringsselskab. Outsourcing af opgaver i it-afdelingen eller evt. udskillelse af hele it-afdelingen til en serviceleverandør er også meget udbredt. It-outsourcing betyder, at en virksomhed indgår en kontrakt med it-leverandør om at stå for drift og vedligehold af (dele af) virksomhedens it-systemer. Outsourcingpartneren stiller dermed noget it-infrastruktur i form af hardware, software og service til rådighed for kunden. Kunden er typisk i dialog med hostingprovideren om, hvordan han ønsker opgaven skal gennemføres. Kunden kan dermed i et betydeligt omfang påvirke udformningen af løsningen. CLOUD COMPUTING Der findes mange forskellige definitioner af cloud computing. Cloud computing defineres af den amerikanske standardiseringsorganisation, NIST, som en software og hardware infrastruktur, der giver let adgang til it-mæssige ressourcer overalt med en minimal indsats 2. Det Europæiske agentur for Netværks og Informationssikkerhed (ENISA), definerer cloud computing som en servicemodel for efterspørgsel af it-løsninger, der ofte er baseret på virtualisering og distribuerede it-teknologier 3. Cloud computing vil ofte samtidig indebære outsourcing. Cloud computings karakteristika Cloud computing har ifølge NIST fem grundliggende karakteristika: For det første er der tale om efterspørgselsorienteret selvbetjening, hvor kunderne kan tilvælge og fravælge it-ressourcer efter behov. For det andet er ressourcerne typisk direkte tilgængelige over et netværk, og de kan derfor tilgås fra platforme med meget forskellige karakteristika. For det tredje er ressourcerne poolet, således at der ofte serviceres flere kunder på den samme infrastruktur med høj grad af uafhængighed af fysisk lokation. For det fjerde er løsningen fleksibel således, at der kan skrues op og ned for efterspørgslen uden varsel. For det femte måles ressourceforbruget løbende, og der betales kun for de ressourcer, man bruger https://resilience.enisa.europa.eu/cloud-security-and-resilience/publications/cloud-computing-benefits-risks-and-recommendations-for-information-security VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 4

5 ENISA opsummerer karakteristikaene som abstrakte ressourcer, let skalerbarhed og høj grad af fleksibilitet, øjeblikkelig anskaffelse, delte ressourcer, efterspørgselsbaseret service kombineret med at der kun betales for det der bruges og endelig programmerbar styring af de efterspurgte ressourcer. Cloud computing servicemodeller Cloud computing har flere forskellige servicemodeller. For det første har vi Software as a Service (SaaS), hvor den software, kunden har købt adgang til, kører på en cloud computing infrastruktur. Kunden skal således ikke selv håndtere hardware, styresystemer, lagerplads osv. Eksempler inkluderer webmail, ERP og CRMsystemer. For det andet har vi Platform as a Service (PaaS), hvor kunden kan placere sit eget software på en cloud infrastruktur. Cloud udbyderen stiller dermed en programmeringsplatform til rådighed - f.eks. en.net eller en javaplatform. For det tredje har vi Infrastructure as a Service (IaaS), hvor kunden får adgang til en hardware infrastruktur, men selv har kontrol med styresystemer, applikationer og lager. Nogle gange nævnes også en fjerde servicemodel, Unified Communication as a Service, som er kommunikationsservices på tværs af forskellige typer af platforme. Cloud computings implementeringstyper Der er flere forskellige typer af implementeringer af cloud computing. Den mest almindeligt omtalte er en public cloud, hvor cloud infrastrukturen ejes og drives af en cloud udbyder. En variant er, når en sammenslutning af interessenter (community) sammen ejer og driver en cloud infrastruktur. Det er også muligt at have en privat cloud, som bruges af een kunde, og som enten ejer og driven clouden selv eller får den drevet hos en tredjepart (serviceleverandør cloud). Den private cloud kan fysisk være placeret hos kunden, men kan også være tilgængelig via nettet. Hybrid cloud, er en sammensætning af flere forskellige af de tre førstnævnte cloud infrastrukturer. Ved flere af de forskellige former for cloud computing, er der ikke altid klarhed over, hvor data befinder sig geografisk, hvilket kan skabe juridiske udfordringer. Beskrivelsen af de forskellige former for cloud computing kan sammenfattes som følger: VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 5

6 Traditionel deployment Privat cloud Community Public Cloud Traditionel deployment er den typiske it-implementering, som de fleste virksomheder benytter idag. Denne deployment kan køre hos kunden og være styret af kunden eller en partner i kundens eget data center. I de fleste tilfælde, sker det altså som en enkelt implementering for en enkelt kunde. Privat Cloud er cloud computing hos een specifik virksomhed. Med privat cloud, får man mange af fordelene fra Public cloud og med øget control og fleksibilitet gennem dedikerede virksomhedsressourcer. Til gengæld har man typisk selv driften af miljøet og omkostningerne forbundet dermed. En Community Cloud er når en sammenslutning af interessenter sammen ejer og driver en cloud infrastruktur. En community cloud oprettes typisk, når der skal samarbejdes på tværs af organisationer om konkrete projekter eller om forskning. Public Cloud er cloud computing med globalt delte ressourcer. Online tjenester som giver fordele som: hurtig skalering, automatiske opdateringer af software, forbrugsafhængig omkostningsstruktur, så kunder kun betaler, for det de bruger. Hybrid løsning Kunder ønsker ofte udvikling af hybride løsninger, hvor man kombinerer de bedste elementer fra privat og public løsninger. Det gør det muligt at beslutte lokation og hvilke roller, der ønskes tildelt henholdsvis de private og de public dele af en løsning. SIKKERHEDSOVERVEJELSER I tilgift til de ofte klare økonomiske incitamenter, oplever virksomheder der anvender outsourcing- eller cloudleverandører, at der gennem adgangen til specialiserede kompetencer også opnås øget kvalitet i it-systemerne. Outsourcing vil typisk betyde mere direkte dialog med leverandøren og de specialiserede kompetencer, denne er i besiddelse af. Der er også større mulighed for at få skræddersyet systemer. Indenfor cloud computing tilbydes ofte mere standardiserede løsninger, der så til gengæld er billige og skalerbare i betydningen, at man kan skrue op og ned for behovet for ressourcer. Kunden har ved cloud computing ofte ikke mulighed for at komme direkte i dialog med leverandørens specialister. For begge gælder, at de specialiserede kompetencer hos leverandøren betyder, at sikkerheden typisk vil være bedre, end hvad virksomheden selv kan tilvejebringe, hvis virksomheden stiller de krav til leverandøren, som beskrives i denne vejledning. Når virksomheden overvejer at lade andre overtage driften og vedligeholdelsen af sine it-systemer, er det vigtigt, at virksomheden samtidig gør sig nogle overvejelser om sikkerheden. Mindre virksomheder, der hidtil ikke har haft fokus på sikkerhed, vil typisk få forbedret sikkerhed ved at outsource eller bruge cloudløsninger, mens virksomheder, med god fokus på sikkerhed, skal håndtere de ændringer i trusselsbilledet, som følger af at lagre data uden for virksomheden. VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 6

7 Ansvar og kompetencer Virksomheden kan ikke skille sig af med ansvaret for it-systemerne ved at udskille drift og vedligehold. Virksomheden har stadig ansvaret for, at lovgivningen er overholdt, og at risiko håndteres fornuftigt. Der er forskellig sikkerhed tilknyttet de forskellige servicemodeller: Ved SaaS kan man således stille krav om at få dokumentation for sikkerhedsniveauet, men ved IaaS har kunden selv langt mere kontrol med it-systemerne og dermed også selv en langt mere aktiv rolle at spille for at skabe et fornuftigt sikkerhedsniveau. Når kunden har systemerne kørende in-house i en såkaldt privat cloud, har man også en meget aktiv rolle at spille. Outsourcingleverandøren kan fungere som mellemmand og skabe hybride løsninger mellem drift on-premise og drift i clouden. Heller ikke i denne situation kan kunden dog skille sig af med ansvaret. Det er derfor vigtigt, at virksomheden beholder visse it-kompetencer, således at man på et fagligt grundlag kan gå i dialog med sin leverandør. Særlig vigtigt er det, at virksomheden har kompetencer indenfor informationssikkerhed således, at virksomheden kan stille de rette krav til sin leverandør og sikre, at de aftaler, som fremgår af kontrakten mellem de to parter, efterleves. Det er også vigtigt, at virksomheden har kompetencer til at kunne reagere på henvendelser fra leverandøren om eventuelle sikkerhedshændelser. De jurister, som er involveret i kontraktforhandlingerne, skal forstå at beskrive den fordeling af rollerne, som virksomheden selv og dens leverandør skal spille. Risikoanalyse og dataklassifikation Inden virksomheden vælger en leverandør, bør der foretages en risikoanalyse og en dataklassifikation. Risikoanalysen skal kortlægge de risici, som virksomheden står overfor. Der bør altid foretages en risikoanalyse årligt - uanset om der skal vælges en ekstern leverandør eller ej. Risici afhænger af konsekvenser og sandsynlighed for at trusler, som f.eks. hacking og virus, fejl på it-systemer og tyveri af data fra medarbejdere eller andre, får konsekvenser. Der kan med fordel tages udgangspunkt i OCTAVE- VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 7

8 modellen 4, når der skal tilvejebringes et overblik over truslerne. En model for selve risikoanalysen kan findes i ISO Risikoanalysen skal foruden at adresserer virksomhedens egne risici også kortlægge hvilke risici, der er ved at vælge en ekstern leverandør fremfor selv at drive it-systemerne. Så snart virksomhedens data forlader virksomheden, opstår der nye former for risici - f.eks. kabelbrud, leverandørens manglende evne til at forsætte sin forretning, leverandørens oppetid, leverandørens sikkerhedsniveau set i forhold til hvad virksomheden selv ville kunne tilvejebringe, fremmede landes adgang til data med domstolskendelse og opsnapning af data på internettet på vej til leverandørens datacenter. Omvendt vil andre risici forsvinde, når der vælges en ekstern leverandør. Når der bruges en kombination af servicemodeller, f.eks. en SaaS, der kører på en IaaS, skal risikoanalysen sikre, at der kortlægges risici og stilles sikkerhedskrav, som også tager højde for kombinationen af risici hos de forskellige leverandører. Det europæiske agentur for netværks- og informationssikkerhed har lavet en risikovurdering af nogle af de mest almindelige risici, der er ved at anvende en ekstern leverandør 5. Desuden skal der på baggrund af risikoanalysen foretages en dataklassifikation. På baggrund af de risici, der findes ved at beholde systemer og data inhouse eller hos en ekstern leverandør, skal det afgøres, hvilke data man vil lægge ud til en ekstern part. Særligt opmærksom skal man være på data, som er forretningskritiske - f.eks. forskningsdata - tillige med data som kan være omfattet af lovkrav - f.eks. personoplysninger eller bogføringsdata. Sikkerhedsstandarder og best practises Når man skal vurdere eksterne leverandørers sikkerhed, er det ofte relevant at se på, hvilket holistisk sikkerhedsniveau de kan tilbyde. Der findes flere meget omfattende standarder og best practises, som kan bruges til at foretage en sikkerhedsmæssig vurdering. Vi kan ikke gennemgå dem alle og fokuserer derfor på ISO, NIST, ISAE, CSA og EU. ISO27001 opstiller krav til, hvordan sikkerheden hos en leverandør styres. Leverandøren skal have implementeret et såkaldt Information Security Management System (ISMS), som sikrer, at sikkerheden er på et konstant højt niveau og løbende forbedres. Som kunde bør man kræve, at standarden efterleves af både cloud- og outsourcingleverandører. ISO27002 opstiller en række kontrolmål og operationelle kontroller, som leverandøren bør implementere eller argumentere for, hvorfor han ikke implementerer. Kontrollerne sikrer f.eks., at personalet har de rette kompetencer, at sårbarheder i software patches, og at hændelser på systemerne logges. Som kunde bør man kræve, at standarden efterleves af både cloud- og outsourcingleverandører https://resilience.enisa.europa.eu/cloud-security-and-resilience/publications/cloud-computing-benefits-risks-and-recommendations-for-information-security VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 8

9 ISO27001 og ISO27002 bør i forvejen være kendt af virksomhederne, fordi de også typisk bruges til at etablere et forsvarligt sikkerhedsniveau på inhouse it-løsninger. Samlet set stiller standarderne følgende krav: Ledelsens ansvar og rolle skal præciseres Der skal udarbejdes sikkerhedspolitikker med retningslinjer Der skal fastlægges roller og ansvar til forskellige aktører i organisationen Der skal ske håndtering af risici og muligheder - herunder risikoanalyse og etablering af kontroller i forhold til: politikker, organisering, personalesikkerhed, styring af aktiver (herunder klassifikation), adgangsstyring, kryptering, fysisk sikring, driftssikkerhed (herunder malware, logning, sårbarheder), kommunikationssikkerhed, anskaffelse, udvikling og vedligeholdelse af udstyr, styring af leverandører, styring af nedbrud, beredskab og compliance med lovgivning Der skal laves en målsætning for informationssikkerheden og laves planer for opfyldelse af mål Ressourcer, kompetencer og bevidsthed skal tilvejebringes hos organisationens medarbejdere Der skal laves planer for, hvordan kommunikation håndteres, herunder hvem der må sige hvad hvornår til hvem Det skal dokumenteres, hvilke tiltag der er sat i værk for at understøtte informationssikkerheden Der skal ske planlægning og styring af it-driften - herunder vurdering af og håndtering af risici Der skal løbende ske overvågning, måling, analyse og evaluering Sikkerhedskontroller skal løbende revideres og godkendes af ledelsen Der skal være en proces, der løbende sikrer forbedringer I overordnede termer er det disse krav, som kunderne bør stille til cloud og outsourcingleverandørerne. NIST har i standarden r4 6 ligesom ISO opstillet en række krav og kontroller, som bør være på plads for at skabe god sikkerhed. Der er et betydeligt overlap mellem de krav, der stilles i de standarderne, hvorfor de ikke gennemgås detaljeret her. Pointen er, at en leverandør, der er certificeret efter den ene eller anden standard, må forventes at have fornuftig styr på sikkerheden. Når man skal bruge en cloudleverandør, vil det typisk være vanskeligt at få adgang til de fysiske lokationer, hvor systemer og data kører. Det vil simpelthen være en sikkerhedsbrist for de øvrige kunder at lukke en kunde ind i et datacenter. Derfor lukker man i praksis en ekstern revisor ind, som så på vegne af alle kunderne kan sikre sig, at sikkerhedsniveauet er som ønsket. Den eksterne revisor udarbejder på baggrund af inspektion og dialog med leverandøren en revisionserklæring. Erklæringen dokumenterer, at en række kontroller er implementeret og fungerer. For de almindelige it-kontroller hedder revisionserklæringen ISAE (tidligere SAS 70). Erklæringen bruges både af cloud- og outsourcingleverandører, og man bør VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 9

10 som kunde stille krav om forevisning af disse erklæringer. En sådan revisionserklæring kan være et krav fra den revisionsvirksomhed, der udarbejder kundens eget årsregnskab. I forhold til outsourcingleverandører kan man også i kontrakten stille eksplicitte krav om at få adgang til datacenteret. I forhold til danske outsourcingleverandører har brancheforeningen BFIH lavet et hostingmærke, som udstedes til de leverandører, der lever op til forskellige krav, der går ud over revisionserklæringen. Som supplement til en ISAE3402 kan man også få en SSAE 16 SOC 2 erklæring. SSAE-erklæringen ser mere på risiko ved, at outsourcing eller cloud leverandørens eget personale udfører bevidst skadelige handlinger end ISAE-erklæringen. Cloud Security Alliance (CSA) er en organisation af cloud interessenter og brugere, som har lavet en sikkerhedsguide til cloudløsninger, Security Guidance for Critical Areas of Focus in Cloud Computing 8. Guiden opstiller en række sikkerhedsmæssige krav til styring og drift af en cloud, som cloududbydere og deres kunder bør være opmærksomme på. Guiden indeholder også en del overvejelser om og kortlægger fordele og ulemper ved cloud-løsninger i forskelligt perspektiv. Igen er der et væsentligt overlap med de krav og kontroller, der stilles i ISO- og NIST-standarderne. Guiden er dog mere cloud specifik end de øvrige standarder. CSA har lavet en rigtig god mapping af sine egne kontroller op mod ISO, NIST og en række andre standarder og lovkrav, CSAs Cloud Control Matrix 9. CSA har også tilvejebragt en certificering af personalets cloud computing kompetencer, CCSK. Hvis man skal i dialog med konsulenter indenfor cloud computing, kan det være værd at se efter denne certificering. På europæisk plan har der været stor politisk interesse for at få udnyttet de effektiviseringsmuligheder, der ligger i at anvende eksterne leverandører. Foruden ENI- SAs risikovurdering har EU Kommissionen lavet en strategi for cloud computing. I den forbindelse er der nedsat en række arbejdsgrupper, der skal levere en række produkter, som bidrager til at nedbryde nogle af de sikkerhedsmæssige barrierer ved cloud anvendelse 10. Produkterne er (i de udkast som i skrivende stund foreligger) meget cloud specifikke og for en dels vedkommende tæt relateret til at skabe compliance med europæisk lovgivning og fortolkningspraksis. Blandt produkterne forventes der at komme: en samlet indstilling vedrørende alle de forskellige sikkerhedsstandarder, der berører området standard service level agreements, som kan tilknyttes kontrakten mellem kunde og leverandør certificering af cloud leverandører et code of conduct for cloudleverandører, som bl.a. vil stille krav til behandling af personoplysninger, sikkerhedskrav og kontroller (som igen er 8 https://downloads.cloudsecurityalliance.org/initiatives/guidance/csaguide.v3.0.pdf 9 https://cloudsecurityalliance.org/research/ccm/ 10 https://ec.europa.eu/digital-agenda/en/cloud-computing-strategy-workinggroups VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 10

11 meget i overensstemmelse med de kontroller, standarderne peger på) og governance. Når kunden stiller de ovenfor nævnte krav om dokumentation af sikkerheden hos leverandøren, er det vigtigt at være opmærksom på, om den fremviste dokumentation er gældende for hele den service, kunden køber af leverandøren. Dette er særlig relevant, når leverandørens ydelse er baseret på en kombination af servicemodeller. Hvis der ikke er dokumentation for løsningens helhed, må kunden give sig i kast med en mere manuel risikovurdering af løsningen. Særlige sikkerhedskrav Alle rimelige sikkerhedskrav vil blive efterlevet, hvis leverandøren kan dokumentere efterlevelse af en eller flere af de ovenfor nævnte standarder. Nogle virksomheder kan have behov for yderligere præcis dokumentation af efterlevelse af visse kontroller. Man kan derfor undersøge, om der fra leverandøren foreligger eller kan rekvireres: resultatet af en penetrationstest beskrivelse af sikkerhedsorganisation og - politikker beskrivelse af anvendelsen af kryptering af transmitterede og lagrede data, herunder hvordan nøgler opbevares tillige med mulighederne for at anvende sin egen kryptering med egne nøgler beskrivelse af hvilke underleverandører der behandler data beskrivelse af hvor data befinder sig, herunder indenfor EU beskrivelse af hvordan data slettes - herunder på backup, f.eks. jf. standarden for sletning, NIST r1 11. beskrivelse af hvad der logges beskrivelse af hvordan håndtering af autentifikation og autorisation hos såvel leverandør som kunde foregår, med henblik på at sikre at der er præcis den adgang til data og systemer, som der er brug for beskrivelse af hvordan man kommer i kontakt med leverandører, hvis man har forskellige typer af spørgsmål beskrivelse af hvad der sker hvis leverandøren går konkurs, skifter forretningsområde eller bliver solgt, herunder beskrivelse af om kurator holder datacenteret kørende beskrivelse af hvordan man bliver orienteret af leverandøren, hvis der er opstået sikkerhedsbrister beskrivelse af under hvilket lands lovgivning eventuelle tvister løses beskrivelse af hvem der ejer data og hvordan virksomhedens data evt. må bruges af leverandøren, f.eks. til at forbedre tekniske filtre. Lovkrav til behandling af personoplysninger Der er en række særlige forhold, som skal iagttages, når de data, der behandles hos leverandøren, er personoplysninger. I Danmark er behandlingen af personoplysninger reguleret i Lov om behandling af personoplysninger (persondataloven) 12. Denne lov implementerer EU direktiv 95/46/EF, som regulerer behandlingen af https://www.retsinformation.dk/forms/r0710.aspx?id=828 VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 11

12 personoplysninger i EU 13. Outsourcing og cloudleverandører, som behandler personoplysninger om danske borgere, skal iagttage disse regler. I praksis giver dette anledning til, at der er nogle juridiske forhold, som skal håndteres og sikres gennem kontraktuelle og praktiske implementeringer - f.eks. med hensyn til eventuel behandling af data i lande udenfor EU, fordeling af rollerne som dataansvarlig og databehandler samt de øgede sikkerhedskrav til it-løsningen, hvis der behandles personoplysninger. Da flere af cloududbyderne opererer udenfor EU eller har tredjepartsleverandører, som opererer udenfor EU, skal der være aftaler om udveksling af data. Der er i retsgrundlaget flere forskellige muligheder for, at personoplysninger kan forlade EU. For det første er de cloududbydere, som er omfattet af Safe Harbourreglerne, i princippet godkendt. Flere EU-lande stiller dog spørgsmål ved denne godkendelse, fordi der er tale om udfyldelse af en self-assessment. Der pågår pt. forhandlinger mellem USA og EU om at revidere grundlaget for Safe-Harbour reglerne. Et alternativ er at lave Binding Corporate Rules. Men disse regler bruges alene indenfor koncerner og kan typisk ikke anvendes i forbindelse med cloud computing. Et bedre alternativ er at vælge cloud udbydere, som efterlever EU's model clauses 14, der er EU Kommissionens standardkontrakt for udveksling af data med visse lande udenfor EU. Det danske datatilsyn har udtalt sig om betingelserne for at anvende cloud computing løsninger ved behandling af personoplysninger og henviser netop til anvendelse af EU Kommissionens model clauses 15. Fordelingen af de juridiske roller som henholdsvis dataansvarlig (controller) og databehandler (processor) skal være præcist defineret i kontrakten. Som udgangspunkt vil kunden være dataansvarlig og leverandøren være databehandler. Imidlertid vil der være visse behandlinger, som kræver en konkret juridisk vurdering. F.eks. vil leverandøren ofte kunne anskues som dataansvarlig for administrative processer knyttet til behandlingen 16. De enkelte lande har fastsat særlige nationale regler, som understøtter fortolkningen af EU direktivet i den nationale lovgivning. I Danmark er der en række bekendtgørelser, som uddyber fortolkningen af persondataloven. En særlig vigtig bekendtgørelse er sikkerhedsbekendtgørelsen 17, som udmønter sikkerhedskravene til it-systemer, der behandler personoplysninger. Bekendtgørelsen gælder kun for den offentlige sektor, men det må anbefales, at også private virksomheder stiller krav om, at deres leverandør efterlever - eller i det mindste lader sig inspirere af - bestemmelserne i bekendtgørelsen https://www.retsinformation.dk/forms/r0710.aspx?id=842 VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 12

13 ISO27018 uddyber og supplerer ISO27002 og opstiller nogle ekstra kontroller, som leverandører af cloud computing løsninger bør efterleve, når der behandles personoplysninger. Der er bl.a. tale om følgende kontroller: styring af adgangskontrol, muligheder for anvendelse af kryptering, krav til underleverandører og information under leverandører, log af hændelser, logning af behandling af personoplysninger og håndtering af sikkerhedshændelser. Kunderne kan overveje at stille krav til leverandøren om en fuld implementering af ISO27018, når der behandles personoplysninger. I den danske fortolkningspraksis stilles der på en række områder krav om anvendelse af kryptering, når personoplysninger transmitteres over internettet, herunder på vej mellem virksomhed og outsourcing eller cloudleverandør. I hovedtræk går Datatilsynets praksis på, at det er obligatorisk at kryptere følsomme personoplysninger og CPR-nummer. Desuden skal der krypteres, hvis det er meddelt som vilkår af Datatilsynet 18. I en række andre tilfælde er det kun en anbefaling fra Datatilsynet, at der bruges kryptering. I relation til anvendelsen af cloud computing blev det af Datatilsynet meddelt som et vilkår, at der bruges kryptering. Kryptering findes i mange former. Virksomheden skal tage stilling til, om den vil bruge sin egen kryptering, eller om den vil bruge en eventuel kryptering fra cloudleverandøren. Virksomheden skal desuden tage stilling til, hvor kraftig kryptering der skal bruges. Retsgrundlaget for behandling af personoplysninger i EU stammer tilbage fra 1995, og er derfor i skrivende stund under revision. EU Kommissionen er kommet med et udspil til ny regulering, der har til formål at modernisere, harmonisere og effektivisere reglerne samtidig med, at der gives en bedre beskyttelse af personoplysninger. Når reglerne er vedtaget, vil der komme en to års implementeringsfrist. Vi må derfor forvente, at de i dette afsnit omtalte regler vil blive ændret. Et element i de nye regler, som formodentlig vil blive vedtaget, er kravet om at gennemføre en privacy impact assessment, PIA. En PIA er en risikovurdering ved, at der behandles personoplysninger - set fra den registreredes synspunkt. Det vil være at udvise rettidig omhu at sikre sig, at en sådan analyse laves for de it-systemer, der i væsentligt omfang behandler personoplysninger. Ved anvendelse af meget standardiserede løsninger (SaaS, public cloud) bør det undersøges, om leverandøren har lavet en PIA. Desuden bør virksomheden selv lave en PIA for virksomhedens egen behandling af personoplysninger. DI har lavet en skabelon 19, som med fordel kan anvendes, når man skal lave en PIA. Kontrakten Kontrakten mellem virksomheden og cloud- eller outsourcingleverandøren er afgørende for, hvilke services der leveres, og dermed også for hvilket sikkerhedsniveau der aftales. Der kan stilles helt konkrete krav til de enkelte kontroller til outsourcingleverandører - men ikke til cloudleverandører. Derfor stilles de sikkerhedsmæssige krav ofte som henvisninger til efterlevelse af standarder, hvor man så evt. i et vist omfang kan henvise til kontroller, som virksomhedens risikoanalyse har fremhævet som særligt vigtige. Af kontrakten bør det derfor fremgå, at (dele af) de ovenstående standarder efterleves. Desuden bør det fremgå, hvor ofte og i hvilket VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 13

14 omfang der gennemføres revision og kan forelægges revisionserklæringer. Det er virksomhedernes ansvar løbende kontrollere, at der ikke er bemærkninger i revisionserklæringerne, og at sikkerheden derfor til stadighed er på det aftalte niveau. Kontrakterne bør også indeholde bestemmelser om, hvordan sikkerhedshændelser håndteres samt et krav om løbende rapportering af sikkerhedsniveauet. Virksomheden bør have kompetencer inhouse til at kunne forstå disse erklæringer og reagere på dem. Kontrakter bør udarbejdes af advokatfirmaer med erfaring på dette område. VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 14

15 TJEKLISTE Cloud computing og outsourcing kan forbedre virksomhedernes produktivitet og konkurrenceevne betydeligt. Det er derfor vigtigt, at virksomhederne adresserer denne nye teknologi. For at gøre brug af teknologien og samtidig fortsat kunne leve op til sit ansvar for behandlingen af data bør virksomheden selv have fokus på sikkerhed og gennemføre en risikoanalyse og en dataklassifikation. Desuden bør virksomheden stille en række sikkerhedsmæssige krav til sine leverandører. Grundet den høje grad af standardiserede løsninger vil det i en række sammenhænge ikke være muligt at stille specifikke krav om bestemte kontroller til leverandøren. Kunderne er derfor henvist til at stille generelle krav og bør vurdere om leverandørerne kan: Fremlægge en ISAE3402-erklæring uden bemærkninger Efterleve en eller flere af standarderne: o Efterlevelse af eller certificering efter ISO27001 og ISO27002 o Efterlevelse af eller certificering efter NIST o Efterlevelse af eller certificering efter CSA Security Guidance for Critical Areas of Focus in Cloud Computing Fremlægge en SSAE 16 SOC 2 erklæring uden bemærkninger Fremlægge dokumentation for specifikke sikkerhedstiltag som f.eks. penetrationstests Hvis leverandøren kan dokumentere efterlevelse af en eller flere af de tre standarder tillige med en ISAE3402-klæring uden bemærkninger, er der rimelig grund til at tro, at sikkerheden er på plads. Når der behandles personoplysninger i en cloud løsning, skal det desuden undersøges, om leverandøren kan dokumentere: Efterlevelse af eller certificering efter ISO27018 Anvendelse af EUs model clauses ved indgåelse af kontrakt, alternativt at der henvises til en safe harbour godkendelse i kontrakten Gennemførelse af en privacy impact assessment Efterlevelse af fremtidige guidelines fra EU Kommissionen, som omtalt i denne vejledning. Hvis leverandøren kan efterleve de punkter, er der rimelig grund til at tro, at der kan behandles personoplysninger i overensstemmelse med dansk lovgivning. Hverken ved outsourcing eller ved cloud computing er sikkerheden på plads ved at stille krav til leverandøren. Virksomheden skal i kontrakten sikre sig, at det er præciseret, hvilke sikkerhedstiltag leverandøren tager, og dermed hvilke resterende sikkerhedstiltag virksomheden selv skal udføre. Virksomheden bør sikre sig, at den i virksomheden har kompetencer til at stille krav til leverandørerne, være i dialog med leverandøren om eventuelle sikkerhedshændelser og udføre eventuelle egne supplerende sikkerhedstiltag. VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing 15

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

ANALYSE Informationssikkerhed blandt DI s medlemmer

ANALYSE Informationssikkerhed blandt DI s medlemmer ANALYSE Informationssikkerhed blandt DI s medlemmer DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab Carsten Jørgensen 7 marts 2012 Carsten Jørgensen 1999 2001 2006 2009 2011 CloudSecurity.dk Falck 2012 Falck 2011 Emergency Assistance Healthcare

Læs mere

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)

Læs mere

ITEK og Dansk Industris vejledning om betalingskortsikkerhed

ITEK og Dansk Industris vejledning om betalingskortsikkerhed ITEK og Dansk Industris vejledning om betalingskortsikkerhed Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN: 87-7353-674-1 0.11.07 2 Beskyttelse af betalingskortoplysninger Summary

Læs mere

Business Continuity og Cloud

Business Continuity og Cloud Business Continuity og Cloud af: Michael Christensen, Certified Business Continuity and IT-security Consultant, CISSP, CSSLP, CISM, CRISC, CCM, CPSA, ISTQB, PRINCE2, COBIT5 For rigtig mange danske virksomheder

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Cloud Computing De juridiske aspekter

Cloud Computing De juridiske aspekter Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed

Læs mere

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Customer Managed Hvorfor vælger man som kunde Cloud? Customer Customer No cloud (On-Premise)

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

Security & Risk Management Summit

Security & Risk Management Summit Security & Risk Management Summit Hvor og hvornår skaber Managed Security Services værdi? Business Development Manager Martin Jæger Søborg, 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN

CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN WWW.JCD.DK HVAD ER CLOUD COMPUTING? Cloud er en fælles betegnelse for en række netbaserede løsninger løsninger du tidligere har

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind

PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind 1 1 MIT KØREKORT 16 år i Topdanmark i it-sikkerhedschefstolen Complianceansvarlig

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

- for forretningens skyld

- for forretningens skyld Produkt og produktionssikkerhed - for forretningens skyld DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne

Læs mere

DI og DI ITEKs vejledning om cookiebekendtgørelsen

DI og DI ITEKs vejledning om cookiebekendtgørelsen DI og DI ITEKs vejledning om cookiebekendtgørelsen Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-989-7 0.02.13 Kort baggrund Det er på baggrund af EU-lovgivning forbudt af lagre og

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

IT-sikkerhedspanelets anbefalinger vedrørende privacy

IT-sikkerhedspanelets anbefalinger vedrørende privacy Anbefalinger vedr. privacy IT-sikkerhedspanelet under Ministeriet for Videnskab, Teknologi og Udvikling har i løbet af de seneste møder drøftet nødvendigheden af at forbedre borgere og virksomheders privacy

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet. Cloud og persondataloven Forskningsnetkonferencen 2011 Klarskovgaard Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Sten Hansen IT-chef

Læs mere

DI og DI ITEK's vejledning om bevissikring

DI og DI ITEK's vejledning om bevissikring DI og DI ITEK's vejledning om bevissikring Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN 978-87-7353-974-3 0.05.12 2 Indledning Denne vejledning er lavet med det formål at ruste danske virksomheder

Læs mere

Hvad er cloud computing?

Hvad er cloud computing? Hvad er cloud computing? Carsten Jørgensen cjo@devoteam.dk Devoteam Consulting COPYRIGHT 11/05/2010 Architecture & Information Simplificering af it og effektiv it til forretningen Business Intelligence

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Cloud med omtanke! 10 gode råd

Cloud med omtanke! 10 gode råd Cloud med omtanke! 10 gode råd Oversigt Cloud med omtanke har mange vinkler Risiko 360 - og afdækning i aftalen Særlig fokus på persondataretlige krav 2 17. september 2015 Agenda - Risikoafdækning 1 Vejledningen

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen NemHandel i cloud - sikkerhedsmæssige overvejelser Helle Schade-Sørensen IT og Telestyrelsen Agenda Lidt om NemHandel Rationalet for valg af cloud Overvejelser vedr. sikkerhed Løsning og erfaringer indtil

Læs mere

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting Vi skaber muligheder & realiserer potentialet sammen Et højt niveau af it-sikkerhed og privatlivsbeskyttelse er med til

Læs mere

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledningen og tilhørende bilag skal betragtes som inspiration og støtte til den overordnede vejledning Departementets

Læs mere

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer Digitalisering og sikkerhed i den offentlige sektor Sikkerhed & Revision 2012 6. september 2012 Digitalisering og sikkerhed i den offentlige sektor Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen

Læs mere

Rollen som DPO. September 2016

Rollen som DPO. September 2016 Rollen som September 2016 2 Udpegning af Hvilke organisationer (både dataansvarlige og databehandlere) skal have en (artikel 37)? Offentlige myndigheder (undtagen domstole) Private virksomheder, hvis kerneaktivitet

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel

ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele,

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

DI ITEK og DI s vejledning om Cloud Computing - sikker outsourcing i skyen

DI ITEK og DI s vejledning om Cloud Computing - sikker outsourcing i skyen DI ITEK og DI s vejledning om Cloud Computing - sikker outsourcing i skyen Baggrund Cloud Computing er et begreb, som i den senere tid er blevet hypet ganske meget i alverdens medier. Begrebet dækker over

Læs mere

Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt

Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt Grundnotat til Folketingets Europaudvalg og Folketingets Udvalg for Videnskab og Teknologi Kommissionens meddelelse til Europa-Parlamentet, Rådet,

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen Persondataforordningen Data Protection Officer Advokat, Marie Albæk Jacobsen 2 Data Protection Officer - DPO Data Protection Officer (DPO) Databeskyttelsesrådgiver Ny bestemmelse - har ikke tidligere været

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

- Der bør ikke ske en førtidig implementering af kravet om operationel revision

- Der bør ikke ske en førtidig implementering af kravet om operationel revision Finanstilsynet Att.: Helene Miris Møller Høringssvar på revisionsbekendtgørelsen 06.11.2014 har modtaget Finanstilsynets udkast til ændring af revisionsbekendtgørelsen og har følgende bemærkninger: Indledende

Læs mere

Struktur på privatlivsimplikationsrapporten

Struktur på privatlivsimplikationsrapporten Struktur på privatlivsimplikationsrapporten Appendiks 6 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Struktur på rapport over privatlivsimplikationsanalysen... 3 Introduktion...

Læs mere

Plesner Certifikat i Persondataret

Plesner Certifikat i Persondataret Plesner Certifikat i Persondataret Plesner Certifikat i Persondataret Med vedtagelsen af EU's persondataforordning indføres et krav om udpegning af en Data Protection Officer (DPO) for en række organisationer,

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

To Cloud or not. Myndigheder og virksomheders valg af cloud computing. To Cloud or Not

To Cloud or not. Myndigheder og virksomheders valg af cloud computing. To Cloud or Not To Cloud or Not To Cloud or not Myndigheder og virksomheders valg af cloud computing Bjørn Borre, Chefkonsulent IT-Branchen, bjb@itb.dk Mobil 27522524 1 Om IT-Branchen Om Bjørn Borre 300 it-virksomheder.

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

Bekendtgørelse om rammerne for informationssikkerhed og beredskab 1)

Bekendtgørelse om rammerne for informationssikkerhed og beredskab 1) (Gældende) Udskriftsdato: 14. januar 2015 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Ministeriet for Videnskab, Teknologi og Udvikling, IT- og Telestyrelsen, j.nr. 09-076167 Senere ændringer

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

28 August 2015. Data privacy i SAP Lyngby 27/8 2015

28 August 2015. Data privacy i SAP Lyngby 27/8 2015 28 August 2015 Data privacy i SAP Lyngby 27/8 2015 Agenda Om 2BM - Compliance Sikker håndtering af person data i SAP 1. Revisorerklæring for håndtering af personfølsomme data 2. Personfølsomme data definition

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

INTRO TIL PERSONDATAFORORDNINGEN. Væsentligste nyskabelser af relevans for IT-leverandører 8. juni 2016

INTRO TIL PERSONDATAFORORDNINGEN. Væsentligste nyskabelser af relevans for IT-leverandører 8. juni 2016 INTRO TIL PERSONDATAFORORDNINGEN Væsentligste nyskabelser af relevans for IT-leverandører 8. juni 2016 DAGENS PROGRAM 1. Introduktion Dagens emne Dagens indlægsholder Persondataforordningen 2. Persondata

Læs mere

RISIKOANALYSE CYBER RISK / DATA OG NETFORSIKRING

RISIKOANALYSE CYBER RISK / DATA OG NETFORSIKRING 1 Involverede parter 1.1 Virksomheden Navn: CVR.nr. Kontaktperson: Juridiske enheder omfattet af analysen: 1.2 Willis Adresse Forsikringsmægler E-mail / Telefon @willis.dk / 88 139 2 Om virksomheden 2.1

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Lever din myndighed op til persondatalovens krav?

Lever din myndighed op til persondatalovens krav? Lever din myndighed op til persondatalovens krav? COMPLIANCE-TJEK Persondataloven har gennem de seneste år fået større betydning, og antallet af sager ved Datatilsynet stiger. Alene fra 2012 til 2013 steg

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013 Statement of Applicability Hjørnestenen i jeres ISMS Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013 Af Jesper E. Siig Senior Security Advisor hos Neupart 2014 Neupart 1 Introduktion

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Anbefalinger til styrkelse af sikkerheden i statens outsourcede

Læs mere

DANSK ERHVERV ERHVERVSJURA RETNINGSLINJER FOR OVERHOLDELSE AF REGLER OM PERSONDATABESKYTTELSE

DANSK ERHVERV ERHVERVSJURA RETNINGSLINJER FOR OVERHOLDELSE AF REGLER OM PERSONDATABESKYTTELSE fremtiden starter her... DANSK ERHVERV ERHVERVSJURA RETNINGSLINJER FOR OVERHOLDELSE AF REGLER OM PERSONDATABESKYTTELSE Introduktion 3 Grundlæggende om persondatabeskyttelse 3 Hvad gælder for køb, salg

Læs mere

IT Infrastruktur. Nu en broget affære? KENN BACH THOMSEN KEYACCOUNT MANAGER BFIH CERTIFICERET IT-HOSTING PARTNER ÅRETS HOSTING PARTNER HOS MICROSOFT

IT Infrastruktur. Nu en broget affære? KENN BACH THOMSEN KEYACCOUNT MANAGER BFIH CERTIFICERET IT-HOSTING PARTNER ÅRETS HOSTING PARTNER HOS MICROSOFT IT Infrastruktur Nu en broget affære? KENN BACH THOMSEN KEYACCOUNT MANAGER 1 ÅRETS HOSTING PARTNER HOS MICROSOFT 31-01-2014 Lidt om min baggrund 2000: Telefonsupport hos Symantec i Holland 2000-2003: Webmaster

Læs mere

spørgsmål vedrørende privatlivets fred

spørgsmål vedrørende privatlivets fred Problemidentificerende spørgsmål vedrørende privatlivets fred Appendiks 4 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Brug af problemidentificerende spørgsmål... 3

Læs mere

EU-udbud af Beskæftigelsessystem og ESDHsystem

EU-udbud af Beskæftigelsessystem og ESDHsystem EU-udbud af Beskæftigelsessystem og ESDHsystem Beskæftigelses- og Integrationsforvaltningen Københavns Kommune Underbilag 2 A Københavns Kommunes IT-sikkerhedspolitik Indholdsfortegnelse 1. IT-sikkerhedspolitik

Læs mere

Træningsmodul4. EPC intermediate & advanced markets

Træningsmodul4. EPC intermediate & advanced markets Træningsmodul4. EPC intermediate & advanced markets EPC Support Strategi Project Transparense Motivationsfaktorer Indeklima og miljø Garanteret forbedring af indeklima i Reduceret miljøpåvirkning Finansiering

Læs mere

Sikkerhedsvurderinger

Sikkerhedsvurderinger Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

DE 4 NØGLEFUNKTIONER UNDER SOLVENS II A PUBLICATION BY FCG THE FINANCIAL COMPLIANCE GROUP

DE 4 NØGLEFUNKTIONER UNDER SOLVENS II A PUBLICATION BY FCG THE FINANCIAL COMPLIANCE GROUP DE 4 NØGLEFUNKTIONER UNDER SOLVENS II A PUBLICATION BY FCG THE FINANCIAL COMPLIANCE GROUP Made simple Solvens II udgør den mest omfattende reform af de fælleseuropæiske regler for forsikringsselskaber,

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995) Persondataforordningen & kommuner Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall Forordningen I dag Persondataloven (fra 2000) Baseret på persondatadirektivet (fra 1995) Forskelle i implementering

Læs mere

Persondataforordningen. Henrik Aslund Pedersen Partner

Persondataforordningen. Henrik Aslund Pedersen Partner www.pwc.dk Persondataforordningen Morgenmøde Henrik Aslund Pedersen Partner Revision. Skat. Rådgivning. Hvorfor en ny Persondataforordning? EU persondataforordning - Morgenmøde Hillerød 2 Hvorfor en ny

Læs mere