Databeskyttelse gennem Design
|
|
- Sidsel Jakobsen
- 6 år siden
- Visninger:
Transkript
1 s vejledning om Databeskyttelse gennem Design Databeskyttelse gennem Design I denne vejledning gennemgår, RfDS, begrebet Databeskyttelse gennem Design, som adresseres i persondataforordningen. Konklusionen er, at Databeskyttelse gennem Design stiller krav om, at den dataansvarlige i hele livscyklen for en applikation, der behandler personoplysninger, understøtter alle de garantier, der stilles i forordningen. Den dataansvarlige skal dermed overveje, om applikationen kan designes på en sådan måde, at man med tekniske og organisatoriske foranstaltninger kan understøtte f.eks. databeskyttelsesprincipperne, fastlæggelsen af hjemmel til behandlingen, de registreredes rettigheder og de pligter, som påhviler dataansvarlige og databehandlere. Dermed rækker begrebet langt ud over blot at iværksætte tekniske og organisatoriske sikkerhedsforanstaltninger, jf. den oprindelige definition af begrebet som stammer fra Ann Cavoukian. I denne vejledning giver RfDS nogle eksempler på, hvad der i praksis kan ligge i begrebet. Baggrund og disclaimer Persondataforordningen, som adresserer hvordan personoplysninger må behandles fra maj 2018, kan være noget af en mundfuld for de fleste organisationer at gå i gang med. RfDS har derfor besluttet at komme med nogle få vejledninger på området, hvor vi forklarer forskellige dele af forordningen, som det i praksis kan være særlig vanskeligt at arbejde med. Vejledningerne er fortrinsvist blevet til på baggrund af henvendelser fra organisationer, der har ønsket at få belyst et konkret problem. Vejledningerne er ikke autoritative i betydningen, at man kan støtte ret på dem. Vejledningerne har heller ikke et politisk eller kommercielt sigte. Endelig er der ikke et rådgiveransvar tilknyttet vejledningerne. I stedet skal vejledningerne ses som et praktisk anvendelige bud på, hvordan RfDS som en gruppe af professionelle eksperter anskuer et begreb eller en problemstilling. Vejledningerne kan aldrig erstattes af en konkret vurdering. Historik Databeskyttelse gennem Design stammer fra Ann Cavoukian, der siden 90 erne har spillet en væsentlig international rolle for at beskytte personoplysninger. Over tid nåede Cauvokian frem til den væsentlige konklusion, at databeskyttelse bedst kan opnås ved at designe sine løsninger på en sådan måde at databeskyttelsen er understøttet igennem selve designet af løsningen. Hun kondenserede sit arbejde ud i syv principper, der fremgår af nedenstående figur.
2 Ann Cauvokians privacy by design principper 1. Proaktiv, ikke reaktiv Foranstaltninger skal altså iværksættes inden en risiko materialiserer sig. 2. Privacy som standardindstilling Den registrerede skal ikke selv foretage sig noget for at beskytte sine oplysninger; beskyttelsen skal være slået til fra starten. 3. Privacy skal være indlejret i systemet Foranstaltningerne skal designes ind i et systems arkitektur og ikke tilføjes efterfølgende. 4. Der skal være fuld funktionalitet Der skal være både fuld funktionalitet og fuld sikkerhed, og der må således ikke være en modstrid mellem sikkerhed og databeskyttelse. 5. Beskyttelse i hele livscyklussen Beskyttelsen skal indbygges i designfasen inden systemet sættes i drift og være aktiv i hele systemets levetid. 6. Transparens Der skal være gennemsigtighed i forretningsmodeller og teknologier, og det der signaleres, skal kunne verificeres (af en uafhængig tredjepart). 7. Brugeren i centrum De registreredes interesser skal være i fokus f.eks. gennem standardindstillinger, notifikation og empowerment af brugerne, så de er i kontrol. Flere andre parter har siden arbejdet videre med dette begreb. ENISA har f.eks. i 2014 i rapporten Privacy and Data Protection by Design plæderet for anvendelsen af designstrategier med design- eller arkitekturmønstre, ud fra hvilke man kan vælge i værktøjskassen af privatlivsfremmende teknologier, PETs. Artikel 29-gruppen ønskede i rapporten The Future of Privacy fra 2009, at der blev etableret et nyt Privacy by Design Principle i europæisk ret. Med persondataforordningen har begrebet fået sin egen artikel. I artikel 25, stk. 1 hedder det således, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger,, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper,, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder. Foranstaltningerne skal gennemføres på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen. Dette må fortolkes således, at efterlevelsen af forordningens bestemmelser skal designes ind på så tidligt et stadie i et it-projekt som
3 muligt og vedblive at understøtte forordningen indtil den sidste behandling af personoplysningerne, som vil være en sletning eller anonymisering; altså i hele it-systemets lifecycle. Allerede designede systemer berøres altså ikke af bestemmelsen - med mindre de re-designes eller ikke lever op til eksisterende lovgivning. Mere end sikkerhed Der har fra forskellig side været en udlægning af Databeskyttelse som Design som om det alene handlede om at implementere foranstaltninger, der understøttede it-sikkerhed. It-sikkerhed er bestemt et af de formål, som er omfattet af bestemmelsen. Men som det fremgår af ovenstående, er begrebet langt bredere og det er altså nødvendigt, men ikke tilstrækkeligt at kigge ned i sikkerhedsværktøjskassen, når der skal vælges design. Tværtimod er man nødt til at kigge på det bredest mulige spektrum af organisatoriske og teknologiske muligheder, når man skal fastlægge et design, der understøtter hele forordningen. Den dataansvarlige har altså en pligt til at overveje sine muligheder i bred forstand, men man kan ikke pege på bestemte tiltag, som skal implementeres efter artikel 25. Det må forventes, at vi over de kommende år gennem praksis vil få fastslået, hvad der konkret som minimum skal overvejes at implementere. Databeskyttelse gennem Design cases For at forstå bredden i begrebet er det relevant at se på nogle eksempler. 1. Fritekstfelt versus dropdown I mange systemer med strukturerede data er der lavet fritekstfelter, hvor der kan tilføjes oplysninger efter konkret behov. Man kunne f.eks. forestille sig, at der i tilknytning til håndtering af betalinger i et økonomiprogram kunne tilføjes noter til betalingsfrister. Tanken kunne være at en regnskabsmedarbejder kunne tilføje, at der er givet kredit i 14 dage grundet kortvarige likviditetsproblemer hos en kunde. Men når nu feltet er lavet som et fritekstfelt kunne regnskabsmedarbejdere også skrive andre ting som f.eks. at der er givet kredit i 14 dage grundet at kunden ikke kan komme til computeren som følge af kemobehandling på hospital. Feltet kunne i øvrigt også bruges til subjektive og usaglige vurderinger af kunden. Når der i designet anvendes fritekstfelter mister den dataansvarlige kontrollen med, om de registreringer, der foretages i systemet, er saglige og lovlige. Systemet kunne måske re-designes således, at fritekstfeltet blev erstattet med en dropdownmenu med prædefinerede og saglige valgmuligheder. 2. Tab af personoplysningers fortrolighed Der sker med jævne mellemrum, at personoplysninger ved menneskelige fejl bliver offentliggjort på en hjemmeside. Typisk er der tale om sagsakter eller lister af personer med tilknyttet personnummer. Man kunne designe sit CMS-system således, at der automatisk blev foretaget skanning efter personoplysninger i det materiale, som uploades til hjemmesiden. Denne disciplin kaldes data discovery. Programmet søger så f.eks. på en syntaks på seks_cifre-fire_cifre. Hvis programmet finder en sådan syntaks, spørger det brugeren om der er tale om CPR-numre og i bekræftende fald blokeres upload til hjemmesiden. 3. Automatiseret oplysning og indsigt Den registrerede skal oplyses forinden behandling foretages og har desuden ret til at få indsigt i hvilke personoplysninger der behandles til hvilke formål. Disse processer kan automatiseres. Oplysningen kan indbygges automatisk i flowet af data, der går umiddelbart forud for indhentningen af personoplysninger. Indsigtsretten kan designes ved at lave en knap, som brugeren
4 af et system kan klikke på og dermed få indsigt i hvilke personoplysninger organisationen er i besiddelse af f.eks. navn, adresse, forsendelsesadresse, kundenummer, købshistorik og historik for anvendelse af hjemmeside. 4. Automatiseret sletning når samtykke trækkes tilbage I en række tilfælde har den dataansvarlige lov til at behandle personoplysninger fordi den registrerede har givet sin tilladelse - hvilket kaldes samtykke. Hvis den registrerede af personlige grunde fortryder, at han har givet samtykke kan han trække dette tilbage igen, hvorefter databehandleren ikke har lov til at behandle personoplysningerne (med mindre den dataansvarlige kan finde en anden hjemmel). I sådanne tilfælde kunne systemet designes således at alle personoplysninger, der blev behandlet med hjemmel i samtykke automatisk blev slettet i det øjeblik samtykket blev trukket tilbage. 5. Udløbsdatoer I en række tilfælde kan den dataansvarlige designe sine systemer således, at der tilknyttes en sletningsdato til personoplysninger allerede på det tidspunkt, hvor de fødes ind i et system. Det kan f.eks. være, at man designer sit økonomisystem således, at alle bogførte data slettes eller anonymiseres, når der er gået fem år efter registreringen (og dermed ikke er hjemmel til at behandle oplysningerne efter bogføringsloven). Et andet eksempel er, at man kan fastlægge en politik for sit -system således, at s automatisk slettes senest et år efter at de er modtaget. s, som der er et formål med at behandle ud over eet år, kan så overflyttes til et ESDH-system eller et fildrev indenfor det pågældende år. 6. Biometriske identifikatorer Biometriske identifikatorer er typisk en beregnet talværdi, der siger noget om et biologisk kendetegn ved en registreret. Det kan f.eks. være en talværdi beregnet for et fingeraftryk, hvor flere observationspunkter ved fingeren vægtes sammen af en algoritme, som så udregner et tal. Når beregningen foretages flere gange på den samme finger bliver talværdien altid den samme. Hvis en anden fingers observationspunkter vægtes sammen findes en anden talværdi. Fingeraftryk står ikke til at ændre, og derfor er det ganske indgribende at miste kontrollen med talværdien for sin finger. Derfor er det allerede en del af praksis at fingeraftryk kun i særlige tilfælde opsamles i centrale systemer, hvor den registrerede mister kontrollen med anvendelsen. I stedet kan man designe en løsning, hvor den registrerede tildeles et smartcard, hvor den registrerede selv udregner talværdien for sit fingeraftryk og på den baggrund giver en PIN-kode, der kan bruges til at identificere den registrerede. 7. Pseudonymer I en række tilfælde er det ikke relevant at dem, som behandler personoplysninger kan identificere den registrerede, mens de behandler oplysningerne. Man kan derfor adskille indholdsoplysninger fra identificerende oplysninger. En patient (den registrerede) kunne f.eks. få taget en blodprøve hos sin læge. Lægen kunne så tildele blodprøven et løbenummer, når den sendes til analyse på et laboratorium. Laboratoriet kender ikke den registrerede, men kan sagtens analysere blodprøven alligevel. Laboratoriet sender diagnosen tilbage til lægen sammen med løbenummeret. Lægen genskaber så forbindelsen mellem løbenummeret og diagnosen og kan fastslå, hvilken diagnose patienten (den registrerede) har. Dette kaldes pseudonymisering.
5 8. Privacy credentials / partielle identiteter I stedet for at bede brugere (de registrerede) om at afsløre deres identitet kunne man bede om noget andet, som afslører det man har brug for at vide. F.eks. er det tilstrækkeligt i en række sammenhænge at vide om den registrerede har et gyldigt kørekort, er mand eller kvinde, er myndig eller er medlem af en forening og har betalt kontingent. Fordelen er, at den registrerede er i langt højere kontrol med sine oplysninger, når de ikke har identificeret sig, men det alene er autentificeret, at de opfylder et bestemt relevant kriterium for at blive autoriseret til et eller andet. Konklusion Eksemplerne ovenfor illustrerer, hvordan forordningens hensigter kan understøttes gennem et godt design, der tager udgangspunkt i at beskytte de registrerede i forhold til mange af de garantier, der findes i forordningen. Det er næsten kun kreativiteten, der stiller grænser for, hvad der kan tænkes at ligge i begrebet. Men der er en pligt til at vælge et godt design. Ann Cavokians designprincipper og ENISAs designstrategier med design- eller arkitekturmønstre er gode inspirationskilder til, hvordan man kan tænke sit design på en måde, der understøtter forordningen. Som tiden går og vi får mere praksis at forholde sig til, vil vi blive klogere på det konkrete materielle indhold, som ligger i artikel 25, og som hele tiden vil udvikle sig og til stadighed give mulighed for bedre beskyttelse af de registrerede.
Implementering af persondataforordningen
Implementering af persondataforordningen - Med fokus på sikkerhed og design Situationsbillede Standarder og best practises Trusler ISO2700X PCI DSS Kontrakt styring IT-kriminelle Udvikling Biometri Fremmede
Læs mereBILAG 3: PRIVATLIVSFREMMENDE TEKNOLOGIER
BILAG 3: PRIVATLIVSFREMMENDE TEKNOLOGIER Beskyttelsen af personoplysninger kan forbedres ved at designe sin teknologi således, at den reducerer graden af indgriben i de registreredes privatliv. Dette kaldes
Læs mereDen registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.
Ansvarsfordeling Anvendelsesområde Retningslinje om ansvarsfordeling er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereOPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE
OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE Bilag 14, IT-sikkerhed og databehandleraftale v.1.0 / Option til RM og RN INSTRUKTION TIL LEVERANDØREN VED UDNYTTELSE
Læs mereVandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker
Vandforsyningens håndtering af den kommende persondataforordning Danske Vandværker Praktiske spørgsmål vi modtog Hvem har ansvaret for beskyttelse af forbrugernes persondata? Er medlemslister i ringbindsmapper
Læs mereRetningslinje om ansvarsfordeling - dataansvarlig vs. databehandler
Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler Anvendelsesområde Retningslinje om ansvarsfordeling er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereBILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE
BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE INSTRUKTION TIL BESVARELSE AF BILAGET: Teksten i dette afsnit er ikke en del af Kontrakten og vil blive fjernet ved kontraktindgåelse.
Læs mereRetningslinje om dataansvarlig/databehandler
N. Zahles Skole Nørre Voldgade 5 1358 København K Danmark Retningslinje om dataansvarlig/databehandler t: + 45 33 69 79 00 e: kontakt@zahles.dk Anvendelsesområde Retningslinje om ansvarsfordeling er udarbejdet
Læs mere! Databehandleraftale
! Databehandleraftale Indledning 1.1. Denne aftale vedrørende behandling af personoplysninger ( Databehandleraftalen ) regulerer Pensopay APS CVR-nr. 36410876 (databehandleren) og Kunden (den Dataansvarlige
Læs mere[Firma navn] [Adresse] [Postnummer] [Land] [CVR-nr.] [Navn på kontaktperson] [ ] [Phone number] PSUPPORT.DK ApS. Plantagevej 51, 3460 Birkerød.
Databehandleraftale Imellem Dataansvarlig: [Firma navn] [Adresse] [Postnummer] [Land] [CVR-nr.] Kontaktperson: [Navn på kontaktperson] [email] [Phone number] og Databehandler: PSUPPORT.DK ApS Plantagevej
Læs mereSeptember Indledning
September 2016 Eksempel fra KOMBIT: Vejledning til gennemførelse af indledende overordnet kortlægning af it-løsningers parathed i forhold til efterlevelse af kendte krav i Databeskyttelsesforordningen
Læs merePia Conradsen, 25. april 2017 Finder anvendelse pr. d. 25. maj 2018 i Danmark Baggrund, formål og anvendelse Interessenter Databehandler Persondata Sonlincs aktiviteter og overordnet plan Anbefalinger
Læs mereJeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )
DATABEHANDLERAFTALEN Databehandleraftale ( Aftalen ) mellem: Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK-36726350 ( Leverandøren ) A: OMFANG A.1 Databehandleraftale
Læs merePERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?
PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET? Jimmy Povlsen og Toke Arndal Aabenraa, den 19. januar 2018 Baggrunden for persondataloven Hvorfor en persondatalov? Persondataloven af 1. juli
Læs mereAftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi
Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi Indledning Denne aftale er udarbejdet af Dansk Boldspil-Union under henvisning til databeskyttelsesforordningen
Læs merePersondataforordningen. Hvad kan vi bruge KITOS til?
Persondataforordningen Hvad kan vi bruge KITOS til? Kort om persondataforordningen Persondataforordningen blev vedtaget den 14. april 2016 og træder i anvendelse den 25. maj 2018 Et af de overordnede formål
Læs merePersondataforordningen. Konsekvenser for virksomheder
Persondataforordningen Konsekvenser for virksomheder Sikkerhedsforanstaltninger (A32) Sikkerhedsforanstaltninger Der skal iværksættes passende tekniske og organisatoriske sikkerhedstiltag Psedonymisering
Læs mereDigital verden post GDPR
Digital verden post GDPR Målet! Beskytte de registreredes fundamentale rettigheder mod vores behandlinger (Jf. EU s charter om fundamentale rettigheder, artikel 8) GDPR er bare den laveste fællesnævner
Læs mereSletteregler. v/rami Chr. Sørensen
Sletteregler v/rami Chr. Sørensen 1 Generelt om retten til berigtigelse og sletning efter artikel 16-17 Efter begæring (artikel 5, stk. 1, litra d) Skal angå den registrerede selv Ingen formkrav Den dataansvarlige
Læs mereCirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer
CIS nr 9223 af 23/03/2018 (Gældende) Udskriftsdato: 14. maj 2019 Ministerium: Finansministeriet Journalnummer: Finansmin., Moderniseringsstyrelsen Senere ændringer til forskriften Ingen Cirkulæreskrivelse
Læs mereProcedure for håndtering af personoplysninger - GDPR Denne udgave: /TW
Procedure for håndtering af personoplysninger - GDPR Denne udgave: 23.08.2018/TW DolphinEyes ApS (i det følgende virksomheden) beskriver med denne procedure, hvordan vi opfylder persondataloven. Proceduren
Læs mereDATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS
DATABEHANDLERAFTALE General aftale omkring behandling af persondata Udarbejdet af: ZISPA ApS Aftalen Denne databehandleraftale (Aftalen) er ZISPA s generelle databehandler aftale til den indgåede samhandelsaftale
Læs merePersondatapolitik Vordingborg Gymnasium & HF
Persondatapolitik Vordingborg Gymnasium & HF Indholdsfortegnelse Indhold Baggrund for persondatapolitikken... 3 Formål... 3 Definitioner... 3 Ansvarsfordeling... 4 Ansvarlighed... 4 Lovlighed, rimelighed
Læs merePersondataforordningen
Persondataforordningen - Et øjebliksbillede Om oplægsholderen Uddannelse - Cand. Scient. Pol., BA Oecon, Enkeltfag på ITU og Ålborg Universitet, Exam ESL Job - CISO/CPO, Brødrene A&O Johansen - Medlem
Læs merePERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger ) Generelt om databeskyttelse Gennemsigtighed og samtykke...
PERSONDATAPOLITIK Indholdsfortegnelse Kontaktoplysninger... 2 1) Generelt om databeskyttelse... 2 Gennemsigtighed og samtykke... 2 Videregivelse af personoplysninger... 2 2) Registreredes rettigheder...
Læs mere- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)
Læs mereOrdliste begreber om håndtering af personoplysninger til patientbehandling og forskningsbrug
Sundheds- og Ældreministeriet NOTAT Enhed: SPOLD Sagsbeh.: DEPSSHP Koordineret med: SDS Sagsnr.: 1702041 Dok. nr.: 419300 Dato: 27-11-2017 Bilag 6 Ordliste begreber om håndtering af personoplysninger til
Læs mereBilag A Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (Beierholms kunde) indgåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandleren (Beierholm)
Læs mereDatabehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD
INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel
Læs mereDatabehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")
Databehandleraftale Mellem Webdomain CVR 21548995 (herefter "Databehandleren") og CVR 39708914 flex-job.dk IVS Kundenummer 171742 (herefter den "Dataansvarlige") er der indgået nedenstående databehandleraftale
Læs mereBilag B Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (s kunde) indgåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren () behandling af personoplysninger,
Læs mereDATABESKYTTELSE GENNEM DESIGN. Gert Læssøe Mikkelsen Head of Security Lab.
DATABESKYTTELSE GENNEM DESIGN Gert Læssøe Mikkelsen Head of Security Lab. Alexandra Instituttet er en non-profit virksomhed, der arbejder med anvendt forskning, udvikling og innovation inden for it Vi
Læs mereDen Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".
DATABEHANDLERAFTALE mellem KUNDEN (som defineret i punkt 2 nedenfor) (den "Dataansvarlige") og TECHEM DANMARK A/S CVR-nr. 29 41 69 82 Trindsøvej 7 A-B 8000 Aarhus C ("Databehandleren") Den Dataansvarlige
Læs mereAftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )
Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) og Steuermann ApS Flæsketorvet 68 1711 København V CVR. nr. 35809422 (i det følgende betegnet Databehandler ) (herefter samlet
Læs mereKonsekvensanalyse vedrørende databeskyttelse
Konsekvensanalyse vedrørende databeskyttelse [Projektets navn] info@gefion-gym.dk, www.gefion-gym.dk 1 Indhold INDLEDNING OG FORMÅL... 3 RESUMÉ... 3 BESKRIVELSE AF BEHANDLINGERNE... 3 VURDERING AF RISICI
Læs mereDATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Januar 2018 Version 1.1 Udarbejdet af: Jansson Gruppen A/S på vegne af: Jansson EL A/S, CVR nr.: 73 28 93 19 Jansson Alarm A/S, CVR nr.: 74 78
Læs merePersondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].
Baggrund for persondatapolitikken Nykøbing Katedralskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs merePersondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.
Persondatapolitik for Horsens HF & VUC Baggrund for persondatapolitikken Horsens HF & VUCs persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU)
Læs mereEKSTERN PERSONDATAPOLITK
EKSTERN PERSONDATAPOLITK 1. GENERELT 1.1. Denne politik om behandling af personoplysninger ( Persondatapolitik ) beskriver, hvorledes FOCUS leasing A/S, Focus Finans ApS, FOCUS flex leasing A/S og Focus
Læs mereCirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring
Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring 1. Indledning 1.1. Denne cirkulæreskrivelse er udarbejdet af Styrelsen
Læs mereBilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner
Bilag 7 Retningslinje om behandlingssikkerhed Anvendelsesområde Retningslinje om behandlingssikkerhed er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679
Læs mereCIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.
CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj 2018 Ministerium: Kirkeministeriet Journalnummer: Kirkemin., j.nr. 7520 Senere ændringer til forskriften Ingen Cirkulære om fælles dataansvar
Læs merePersondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018
Persondatareguleringen Hvorfor, hvornår, systemet og lidt om maj 2018 Hvorfor? I er så meget i et brændpunkt for persondataretten, at vi er nødt til at stige op i helikopteren. Hvad tænker EU? Hvad tænker
Læs mereopfylde vores kontraktuelle forpligtelser over for dig, samt at
PRIVATLIVSPOLITIK Det er vigtigt for FloodFrame A/S ( FloodFrame ), at du føler dig tryg ved at overlade persondata til os. Det er derfor også vigtigt, at du er oplyst om, hvilke oplysninger FloodFrame
Læs merePERSONDATAPOLITIK maj 2018
PERSONDATAPOLITIK maj 2018 1 INDHOLDSFORTEGNELSE 1. Indsamling af personoplysninger...3 2. Brug af personoplysninger, formål og behandlingsgrundlag...3 3. Sletning af personoplysninger...3 4. Sikkerhed...4
Læs mereCuranet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Åstvej 10, B 7190 Billund CVR. nr. 30 56 13 17 (i det følgende betegnet Dataansvarlig ) og Curanet A/S Højvangen 4 8660 Skanderborg CVR. nr. 29
Læs mereDATABEHANDLERAFTALE. Aftale omkring behandling af persondata
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Denne databehandleraftale (Aftalen) er er et tillæg til den indga ede samtykke mellem kunden (Dataansvarlig) og GSGroup Esbjerg (Databehandler)
Læs merePersondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den
Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den 25.05.2018 Indholdsfortegnelse 1 Baggrund... 3 2 Formål... 3 3 Omfang... 3 4 Roller og ansvar...
Læs merePersondatapolitik. for Social- og Sundhedsskolen Esbjerg
Persondatapolitik for Social- og Sundhedsskolen Esbjerg Indhold Baggrund for persondatapolitikken... 2 Formål... 2 Definitioner... 2 Ansvarsfordeling... 3 Øverste ledelse (bestyrelsen)... 3 Daglig ledelse
Læs mereDatabehandleraftale. Version A. Imellem: Dataansvarlig: Den kunde der har købt/erhvervet retten til at anvende app s fra itn vision aps
Databehandleraftale Version A Imellem: Dataansvarlig: Den kunde der har købt/erhvervet retten til at anvende app s fra itn vision aps og Databehandler: Itn vision aps, Lille Borgergade 19 1. tv. 9400 Nørresundby
Læs merePersondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.
Baggrund for persondatapolitikken Kolding Gymnasiums persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs merePersondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.
Persondatapolitik for Horsens Statsskole Baggrund for persondatapolitikken Horsens Statsskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereDen registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.
Behandlingsgrundlag Anvendelsesområde Retningslinje om behandlingsgrundlag er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs merePERSONDATAFORORDNING - at blive klar til. Kirkeministeriets syn på den nye Persondataforordning FDK temadag i Vejle - 19.
PERSONDATAFORORDNING - at blive klar til Kirkeministeriets syn på den nye Persondataforordning FDK temadag i Vejle - 19. april 2018 FOLKEKIRKENS IT hvad jeg vil sige noget om 1. Hvad er det der sker den
Læs mereBackup, sletning og genskabelse af personoplysninger
Backup, sletning og genskabelse af personoplysninger Teknologier der understøtter persondataforordningen Henrik Andersen Country Manager Agenda Uheld (hvis bare vi vidste alt)! Falsifikationisme (lidt
Læs merePersondatapolitik for Aabenraa Statsskole
Persondatapolitik for Aabenraa Statsskole Baggrund for persondatapolitikken s persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
Læs mereAftale vedrørende fælles dataansvar
Aftale vedrørende fælles dataansvar Mellem Dataansvarlig 1 Dansk Kennel Klub (DKK) CVR 11881815 Parkvej 1 2680 Solrød Strand og Dataansvarlig 2 Specialklubben Dansk Gravhundeklub CVR nr. 71889815 Høedvej
Læs merePersondata politik for GHP Gildhøj Privathospital
Persondata politik for GHP Gildhøj Privathospital Baggrund for persondatapolitikken Denne persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU)
Læs mereAftale vedrørende fælles dataansvar
Aftale vedrørende fælles dataansvar Mellem Dataansvarlig 1 og Dataansvarlig 2 Baptisternes Børne- og Ungdomsforbund CVR 28536364 Fælledvej 16 7200 Grindsted 1. Fælles dataansvar 1.1. Denne aftale fastsætter
Læs mereVejledende tekst om risikovurdering. Datatilsynet og Rådet for Digital Sikkerhed
Vejledende tekst om risikovurdering Datatilsynet og Rådet for Digital Sikkerhed Juni 2019 Indhold Forord 3 1. Sikkerhed 4 2. Risici 5 3. Risikovurdering set fra de registreredes perspektiv 6 4. Risikovurderingsmetodik
Læs mereAlmindelig viden om persondataforordningen
Almindelig viden om persondataforordningen Hvad er persondata? En Personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person ( den registrerede ). Dette gælder
Læs merePersondatapolitik. Dataansvarlig Vision Management A/S Kongevejen Holte Danmark CVR-nr.:
Persondatapolitik Dataansvarlig Vision Management A/S Kongevejen 426 2840 Holte Danmark CVR-nr.: 31941660 1 1. Indledning 1.1 Denne politik om indsamling og behandling af personoplysninger og anvendelse
Læs mereCC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Aftalen foreligger mellem Adresse Post nr. og By CVR. nr. xx xx xx xx (i det følgende betegnet Dataansvarlig ) og CC GROUP DENMARK Møllebugtvej 5 7000 Fredericia Att: CVR. nr. 27415032
Læs mereUVMs bidrag til GDPR implementering i uddannelsessektoren
UVMs bidrag til GDPR implementering i uddannelsessektoren Danske Gymnasiers temadag om databeskyttelse Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse Hvad har UVM gjort i forbindelse med
Læs mereBILAG 14: DATABEHANDLERAFTALE
BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav
Læs merePer Løkken, Partner. CAMPUS November 2018
1 Per Løkken, Partner CAMPUS 2018 21. November 2018 2 Tilgange til Persondataforordningen Usikkerhed og iver efter at få styr på det. Organisationer som også ser en værdi i at have styr på data og processer
Læs merePersondatapolitik for Tørring Gymnasium 2018
Persondatapolitik for Tørring Gymnasium 2018 Baggrund for persondatapolitikken Tørring Gymnasiums persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereBILAG A: DATABEHANDLERAFTALE ( AFTALEN ) 1 AFTALENS OMFANG 2 BEHANDLING AF PERSONOPLYSNINGER INDHOLDSFORTEGNELSE. Version 1.1 af 25.
BILAG A: DATABEHANDLERAFTALE ( AFTALEN ) Version 1.1 af 25. september 2018 INDHOLDSFORTEGNELSE 1 AFTALENS OMFANG 2 BEHANDLING AF PERSONOPLYSNINGER 3 KRAV TIL CONFERENCE MANAGER A/S 4 KRAV TIL KONFERENCEAFHOLDER
Læs mereKontraktbilag 3. Databehandleraftale
Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i
Læs mereIntroduktion til persondataforordning
Introduktion til persondataforordning Lektor Dorte Høilund Anvendelse fra 25. maj 2018 Direktiv contra forordning Mange muligheder for nationale særregler Opbygning og struktur Forslag til Databeskyttelseslov
Læs merePersondataforordningen. Henrik Aslund Pedersen Partner
www.pwc.dk Persondataforordningen Morgenmøde Henrik Aslund Pedersen Partner Revision. Skat. Rådgivning. Hvorfor en ny Persondataforordning? EU persondataforordning - Morgenmøde Hillerød 2 Hvorfor en ny
Læs merePersondatapolitik. Dataansvarlig Paarup Hansen ApS Enghaven Roskilde Danmark CVR-nr.:
Persondatapolitik Dataansvarlig Paarup Hansen ApS Enghaven 59 4000 Roskilde Danmark CVR-nr.: 66234118 1 1. Indledning 1.1 Denne politik om indsamling og behandling af personoplysninger og anvendelse af
Læs merePERSONDATAREGLERNE MOCH STANDARDKURSUS. Persondata reglerne ET KURSUS OM BEHANDLING AF PERSONOPLYSNINGER
PERSONDATAREGLERNE MOCH STANDARDKURSUS Persondata reglerne ET KURSUS OM BEHANDLING AF PERSONOPLYSNINGER INDHOLD Side 4 Side 6 Side 7 Side 8 Persondatareglerne Kursets indhold Kursets form Det praktiske
Læs merePersondataforordningen
Persondataforordningen http://eur-lex.europa.eu/legal-content/da/txt/?uri=celex:32016r0679 https://www.youtube.com/watch?v=xyzthipktqg&feature=youtu.be Hvem og hvad? Automatisk databehandling af personoplysninger
Læs mereBEHANDLING AF PERSONOPLYSNINGER OM KUNDER I REFA DATTERSELSKABER
BEHANDLING AF PERSONOPLYSNINGER OM KUNDER I REFA DATTERSELSKABER 1. INTRODUKTION 1.1 Denne informationsskrivelse har til formål at oplyse dig om, hvordan vi behandler dine personoplysninger, som vi har
Læs mereKUNDEADMINISTRATION PRIVATLIVSPOLITIK
KUNDEADMINISTRATION PRIVATLIVSPOLITIK Formålene med og retsgrundlaget for FynBus behandling af dine personoplysninger FYNBUS BEHANDLER DINE PERSONOPLYSNINGER FynBus behandler personoplysninger om dig (den
Læs mereRetningslinje om de registreredes rettigheder
N. Zahles Skole Nørre Voldgade 5 1358 København K Danmark t: + 45 33 69 79 00 e: kontakt@zahles.dk Retningslinje om de registreredes rettigheder Anvendelsesområde Retningslinje om de registreredes rettigheder
Læs mereFormålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.
Baggrund for persondatapolitikken Ribe Katedralskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereGDPR Compliance Persondataforordning
GDPR Compliance Persondataforordning Om lidt træder den EU-bestemte persondataforordning i kraft i Danmark og resten af Europa Nærmere bestemt d. 25. maj 2018. Men hvad betyder det egentlig for jer og
Læs mere1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.
Aftalens omfang 1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden. 1.2 Personoplysninger, der behandles af Leverandøren,
Læs meredatadrevne forvaltning
Snart På vej ejer mod kunderne deres den data datadrevne forvaltning Fra synsninger til faktabaserede beslutningsgrundlag i de EU-dataforordningens betydning for arbejdet med komplekse kommunale organisationer
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataforordningen (GDPR) pr. 25-05-2018 ISAE 3000-I CVR-nr.: 33 07 66 49 Maj 2018 REVI-IT A/S statsautoriseret
Læs mereDatabehandleraftale e-studio.dk Side 1 af 6
DATABEHANDLERAFTALE Mellem (herefter benævnt Den dataansvarlige ) Og e-studio ApS Albanivej 74 5792 Årslev CVR. nr.: 37074640 (herefter benævnt Databehandleren ) er der indgået nedenstående databehandleraftale
Læs mereDATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:
DATABEHANDLERAFTALE Mellem undertegnede og medundertegnede Johnsen Graphic Solutions A/S Bakkehegnet 1-3 DK-8500 Grenaa CVR-nr.: 18624141 (herefter Databehandleren ) [Indsæt navn] [Indsæt adresse] [Indsæt
Læs mere1. INDSAMLING AF PERSONOPLYSNINGERNE
Nærværende privatlivspolitik beskriver, hvordan de personoplysninger ( Personoplysningerne ), De har afgivet - og som CNH Industrial Danmark A/S ( vi, os, vores eller Selskabet ) har indsamlet via denne
Læs mereData protection impact assessment
Data protection impact assessment Data protection impact assessment DPIA Den dataansvarlige skal gennemføres en DPIA under forudsætning af: Anvendelse af nye teknologier Betydeligt omfang, formålets karakter,
Læs mereHvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen
Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen Hvem er jeg, og hvor kommer jeg fra? Erika Wolf, jurist i
Læs mereBAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4
Persondatapolitik Skanderborg Gymnasium Indholdsfortegnelse BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4 LOVLIGHED, RIMELIGHED OG GENNEMSIGTIGHED...4
Læs mereBilag 3 Personoplysninger Den registrerede Behandling af personoplysninger Dataansvarlig Databehandler Brud på persondatasikkerheden
Bilag 3 Anvendelsesområde Retningslinje om overførsel til tredjelande er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereAftale omkring behandling af persondata.
Databehandleraftale Aftale omkring behandling af persondata. Aftalen Denne databehandleraftale er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig) og ApS (Databehandler), og er gældende
Læs mereEU s persondataforordning
...gør rekruttering lettere EU s persondataforordning Temadag GDPR i praksis Hvad gør vi for at hjælpe vores kunder med GDPR-compliance Klassifikation af data For at kunne lave en risikoanalyse i forhold
Læs mereDATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og
DATABEHANDLERAFTALE indgået mellem Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og Microcom ApS CVR-nr.: 21 04 71 98 Wichmandsgade 5 5000 Odense C Databehandleren, tilsammen Parterne og
Læs merePERSONDATAPOLITIK. Kontaktoplysninger ) Generelt om databeskyttelse ) Registreredes rettigheder... 2
PERSONDATAPOLITIK Indholdsfortegnelse Kontaktoplysninger... 2 1) Generelt om databeskyttelse... 2 Gennemsigtighed... 2 Videregivelse af personoplysninger... 2 2) Registreredes rettigheder... 2 Som registreret
Læs mereVedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk
Brevdato: 23. maj 2006 Modtager: Scandinavian Airlines Danmark (SAS) J.nr. 2006-219-0370 Stikord: Fingeraftryk, personoplysninger, saglighed og proportionalitet, alternativ løsning, oplysningspligt, datasikkerhed.
Læs mere(Kunden og Databehandleren herefter hver for sig kaldet en Part eller Parten og tilsammen Parter eller Parterne )
Databehandleraftale Denne databehandleraftale er indgået dags dato mellem: klinikforafspaending.easyme.dk (CVR: 30978595) kontakt@klinikforafspaending.dk klinikforafspaending.easyme.dk (herefter kaldet
Læs merePersondatapolitik på Gentofte Studenterkursus
Persondatapolitik på Gentofte Studenterkursus Baggrund for persondatapolitikken Gentofte Studenterkursus persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets
Læs mereDATABEHANDLERAFTALE Version 1.1a
DATABEHANDLERAFTALE Version 1.1a Mellem Institutionens navn Institutions nr. Adresse Kommune Institutions CVR. nr. og WEBTJENESTEN LÆRIT.DK ApS Ellehammersvej 93 7500 Holstebro CVR: 35862056 (herefter
Læs mereVi passer på dine persondata
Vi passer på dine persondata Herunder kan du læse mere om, hvordan vi generelt behandler personoplysninger, hvilke rettigheder du har til f.eks. indsigt og sletning og hvordan du giver samtykke og evt.
Læs mere1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og
PERSONDATAPOLITIK FOR Dansk Forening for Tuberøs Sclerose 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og som vi indsamler om dig, enten
Læs mere