Digital vækst med tillid som fundament
|
|
- Ingvar Johannsen
- 8 år siden
- Visninger:
Transkript
1 Information og anbefalinger nr. 4 Digital vækst med tillid som fundament 12. november 2014 Resumé Regeringen planlægger i efteråret 2014 at lancere en vækstplan med en række konkrete initiativer, som skal fremme den digital vækst i Danmark. Rådet for Digital Sikkerhed støtter ambitionen om at gøre digital vækst til et centralt fokus, både i forhold til dansk erhvervspolitik og i forhold til det danske samfunds udvikling som helhed. Danmark har aktuelt meget store uudnyttede muligheder for at drage fordel af og være med til at forme den globale digitale vækst. I det globale perspektiv er Danmark med helt i front, når det gælder digitalisering, både i den private og i den offentlige sektor. Derfor er det vigtigt, at vi udvikler eksempler til efterfølgelse, hvor digitale løsninger etableres med tillid som en afgørende del af fundamentet. Fremover bør både it-sikkerhed og individets ret til privatlivsbeskyttelse derfor være en integreret del i alle nye it-projekter. Det er ifølge Rådets vurdering en forudsætning for sund, stabil og langsigtet digital vækst. Der bør arbejdes for at etablere et dansk cluster med fokus på sund digital vækst, hvor globalt førende forskere bringes sammen med de virksomheder, der er aktive inden for området. En fremsynet statslig politik på dette område vil give muligheder for at etablere en internationalt succesfuld dansk indsats på linje med fx høreapparat- og vindmølleindustrierne. Det er i denne sammenhæng afgørende at sikre sammenhængen med offentligt igangsat digital infrastruktur, fx CPR og systemer til elektronisk identifikation (eid), at sørge for gode rammebetingelser og at udforme offentlige udbudskrav, så de understøtter satsningen. Inden for sundhedsforskningen og generelt i den offentlige sektor er der behov for konsekvent implementering af privacy by design, således at datalækager stoppes, og så danskere borgeres privatlivsoplysninger bliver beskyttet. Der er i høj grad brug for formidling og dokumentation af, hvilke metoder forskere og andre kan anvende til pseudonymisering og anonymisering af persondata. Sund digital vækst er afhængig af, at danske borgere bevarer tilliden til de digitale løsninger. Fremadrettet vil digitalisering af kommunikationen mellem myndigheder, borgere og virksomheder få stigende indflydelse på borgernes generelle tillid til det offentlige og til staten som sådan. Rådet mener derfor, at der uden yderligere udsættelse bør gennemføres en grundig revision af CPR-systemet, og at dette bør ske i sammenhæng med udformningen af afløseren for det nuværende NemID-system. Det centrale princip bør være, at offentligt ansatte og andre databehandlere kun har adgang til det minimum af persondata, som faktisk er nødvendige for at løse en konkret opgave. Det bør således fremover være muligt ved hjælp af CPR og en eid-løsning at verificere en borgers ret til en bestemt ydelse, uden at borgerens identitet blotlægges. Det bør også være muligt at pseudonymisere sundhedsdata, så det vil være op til den enkelte borger, om vedkommende vil orienteres om evt. sygdomsrisici, der afdækkes i forskningsmæssig sammenhæng. Som led i den foreslåede ambitiøse satsning på sund digital vækst, bør Danmark have en national databeskyttelsesmyndighed, som kan leve op til og også være med til at udforme fremtidens best practice, når det gælder national databeskyttelse. Placeret under Folketinget, skal denne myndighed kunne vejlede, stille krav og udføre kontroller i et helt andet omfang end hidtil, både i forhold til offentlige og private aktører. 1
2 Anbefalinger Rådet for Digital Sikkerhed anbefaler følgende som led i en samlet indsats: - at regeringen fortsætter og intensiverer sit arbejde for at udnytte de muligheder, som ligger i brug af big data (data mining) i forhold til eksisterende og fremtidige data om den danske befolkning. - at regeringen etablerer de nødvendige rammer for at skabe et stærkt og globalt førende erhvervsorienteret forskningsmiljø inden for big data og privatlivsbeskyttelse. - at regeringen og myndigheder generelt stiller offentligt generede data frit og gratis til rådighed for virksomheder og forskere, som vil være i front ift. udvikling af ny smart teknologi og smarte tjenester. - at regeringen fastlægger et grundlæggende princip om, at borgerne fremadrettet skal have kontrol med hvilke identificerbare persondata, der deles med hvem. I offentligt regi vil det betyde, at en borgers data kun kan tilgås i forbindelse med et konkret arbejdsmæssigt behov. I forskningssammenhæng vil det betyde, at borgere selv har mulighed for at bestemme, hvorvidt de ønsker at indgå i forskning, og om de ønsker at blive adviseret om evt. viden om deres personlige sundhedsrisici, som afdækkes via forskning. - at regeringen fastlægger retningslinjer for, hvorledes privatlivsbeskyttelse opretholdes i forbindelse med udvidet brug af big data, data mining osv., herunder at der skabes nem adgang til viden om, hvordan data kan pseudonymiseres og anonymiseres, i praksis for eksempel via vejledning udarbejdet af Erhvervsstyrelsen og den nationale databeskyttelsesmyndighed. - at regeringen stiller krav og etablerer rammebetingelser, som sikrer etablering af danske digitale systemer, der skaber maksimal tillid og tryghed for borgere, virksomheder og myndigheder, herunder en gennemgribende og sammenhængende revision af CPR- og det danske eid-system (aktuelt NemID). - at regeringen sikrer, at Danmark får en stærk, robust og uafhængig databeskyttelsesmyndighed, placeret under Folketinget og med et stærkere fokus på at være teknisk vejledende og kommunikere anbefalinger til offentligheden. Databeskyttelsesmyndigheden skal sikre, at systemer som det offentlige har ansvaret for, løbende vedligeholdes og sikres i forhold til kendte og forudsigelige sikkerhedsrisici. - at den nationale databeskyttelsesmyndighed eller en anden myndighed får de fornødne beføjelser til at stille konkrete krav til leverandører af offentlige it-systemer om robust itsikkerhed, privacy by design og gennemførelse af privacy impact assesments, til at implementere kontroller hos leverandøren, og føre kontrol med at krav og kontroller fungerer i praksis. - at regeringen bakker op om EU-kommissionens udkast til persondataforordning, således at der skabes ensartede regler for databeskyttelse i hele Europa. 2
3 Baggrund Regeringen planlægger i efteråret 2014 at lancere en vækstplan med en række konkrete initiativer, som skal fremme den digital vækst i Danmark, baseret blandt andet på anbefalingerne fra Vækstteam for IKT og Digitalvækst fra januar Rådet for Digital Sikkerhed vil gerne udtrykke sin fulde støtte til ambitionen om at gøre digital vækst til et centralt fokus, både i forhold til dansk erhvervspolitik og i forhold til det danske samfunds udvikling som helhed. Rådet vil i særlig grad gerne støtte Vækstteamets anbefaling #10: Digital sikkerhed skal understøtte den digitale vækst. Store uudnyttede muligheder Danmark har aktuelt meget store og i stort omfang stadig også uudnyttede muligheder for at drage fordel af og være med til at forme den globale digitale vækst. En indsats på dette område vil kunne: - Skabe gode vækstvilkår for virksomheder som tilbyder teknologi og services baseret på big data (data mining), bl.a. fordi virksomheder med privatlivsbeskyttende teknologier i mange tilfælde kan gøre deres data offentligt tilgængelige, uden at deres underliggende data og vidensbase kan replikeres af konkurrenter. - Tiltrække nye kompetencer til Danmark, både forskere og virksomheder, og skabe nye vidensintensive arbejdspladser. - Sikre borgernes tillid og tryghed til at staten beskytter deres privatlivsoplysninger - og dermed skabe tryg digitalisering med Danmark i rollen som en af de globale frontløbere. Vi er midt i en digital transformation, der skaber ny kultur. I det globale perspektiv er Danmark med helt i front, når det gælder digitalisering, både i den private og i den offentlige sektor. Vi danner skole for, hvad der kommer til at ske i andre lande, og vi påtager os dermed også et stort ansvar. Derfor er det vigtigt, at vi udvikler eksempler til efterfølgelse, hvor digitale løsninger etableres med tillid som en afgørende del af fundamentet. Det kan ske ved, at vi fremover integrerer både it-sikkerhed og individets ret til privatlivsbeskyttelse i alle nye it-projekter. Mere digital vækst og mere fokus på de tryghedsskabende faktorer Desværre ser vi fortsat alt for mange eksempler på, at netop de tillidsskabende elementer fravælges ud fra snævre økonomiske vurderinger, og fordi der, når det gælder it-sikkerhed og privatlivsbeskyttelse, ikke fra offentlig side i tilstrækkelig grad sættes rammer og stilles krav for at sikre et tilstrækkeligt niveau. Denne form for kortsigtet prioritering vil, når det gælder digitalisering, blive meget dyr på langt sigt af to grunde. Den ene er, at netop tillid er et af de meste værdifulde men ofte også oversete elementer i dansk kultur, forretningsliv og national tradition. Den anden er, at al erfaring viser, at det bliver både dyrere og dårligere, når man efterfølgende skal til at reparere og forbedre et dårligt digitalt fundament. Rådet for Digital Sikkerhed ser det i denne sammenhæng som afgørende vigtigt, at dansk politik på dette område fremover etableres ud fra en tilgang, hvor fuldt integrerede tillids- og tryghedskabende faktorer ses som fundamentale forudsætninger for sund, stabil og langsigtet digital vækst. 3
4 En sådan tilgang kan sikre, at både den danske befolkning og erhvervslivets aktører bliver medskabere af en sund digital vækstkultur. Derved kan både det offentlige, virksomhederne og den enkelte borger drage fordel af de store muligheder og fordele, som nye digitale løsninger tilbyder, samtidig med at vi som samfund respekterer individets krav på fortsat at have en beskyttet privatsfære. I dette perspektiv er it-sikkerhed og privatlivsbeskyttelse to elementer, som komplementerer hinanden. Med en helhedsorienteret tilgang som den her beskrevne kan de to begreber begge rummes under samlebegrebet informationssikkerhed, der dermed bør være centralt i forhold udviklingen af nye digitale systemer. Danske globale styrkepositioner skal bindes sammen Som det fremgår af Vækstteamets rapport, har Danmark et overordentligt godt udgangspunkt for at udnytte potentialet i data og høste de erhvervsmæssige og samfundsøkonomiske gevinster, som disse rummer. Den danske offentlige sektor ligger inde med store mængder af informationer om fx geografi, klima, trafik, boligforhold, selskabsregistreringer og regnskaber 1, og hertil kommer en internationalt set unik registrering af sundhedsdata, som er et vigtigt grundlag for Danmarks førende position inden for sundhedsforskning 2. Der er allerede på mange områder skabt øget adgang til offentlige danske data, fx med Virk Data Dag-initiativet 3. Samtidig er Danmark international førende, når det gælder forskning inden for digitalisering og informationssikkerhed. Dansk IKT-forskning udmærker sig således internationalt ved at placere sig som nr. 1 ift. de fem førende lande inden for forskningsområderne Big data og "Security & Monitoring" 4. Forskningen er koncentreret på nogle få danske universiteter, der er forbundet med de bedste internationale forskningsmiljøer. Dog sker dette på nuværende tidspunkt kun med spredt deltagelse fra danske og internationale erhvervsvirksomheder. Den nuværende situation kan således danne grundlag for en satsning, hvor der i Danmark skabes et mere ambitiøst og globalt førende forskningsmiljø med invitation til deltagelse til både danske og internationale erhvervsvirksomheder. De to danske styrkepositioner inden for digitalisering den store mængde offentligt generede data og de forskningsmæssige spidskompetencer inden for big data og informationssikkerhed skal efter Rådets mening bindes meget bedre sammen. Det er her, der ligger store muligheder og venter. Et dansk cluster med fokus på sund digital vækst Rådet mener, at der bør gøres en målrettet indsats for i Danmark at skabe et cluster af virksomheder og forskningsenheder, der kan nå op på verdensniveau ift. udnyttelse af og forskning i big data på basis af maksimal privatlivsbeskyttelse, herunder videreudvikling af de såkaldte privatlivsbeskyttende teknologier (PET, privacy enhancing technologies). Dette skal fra lovgivers side følges op med krav og 1 Vækstteam for IKT og digital vækst, ANBEFALINGER, januar 2014, 2 Dansk Sundhedsforskning Status og Perspektiver, 2008, Damvad: Danske og Internationale styrkepositioner på IKT-området, 2013, 4
5 nye gennemarbejdede og fremtidsorienterede rammebetingelser for it-sikkerhed og privatlivsbeskyttelse. På den måde vil en fremsynet statslig politik kunne medvirke til at skabe særlig national kompetence, når det gælder sund digital vækst med mulighed for at gentage de danske globale succeser inden for fx høreapparatindustrien (igangsat af bl.a. fremsynet lovgivning om indsats inden for den danske høreforsorg) og vindmølleindustrien (igangsat af bl.a. gunstige rammebetingelser ift. vedvarende energi). Det offentlige har i denne sammenhæng en afgørende rolle på flere forskellige punkter: - Offentligt igangsatte systemer, fx CPR og det danske eid-system (NemID), udgør en vigtig del af den basale infrastruktur for digitaliseringen. - Det offentlige kan fastsætte de nødvendige rammebetingelser, som er nødvendige for at den digitale vækst kommer til at ske med fokus på informationssikkerhed og på et sundt og tillidsbaseret fundament. - Det offentlige kan ved sine udbudskrav støtte brugen af de nye værktøjer, som skal tages i brug for at skabe sikre og tillidsskabende digitale systemer. De ældre it-systemer giver udfordringer Danske virksomheder, borgere og myndigheder bliver stadig bedre til at udnytte teknologiens mange muligheder. På en lang række områder er digitale transaktioner og forvaltning blevet det normale, fordi det skaber fordele for alle involverede. Mange af de nye digitale tjenester er imidlertid etableret på basis eksisterende ældre it-systemer. Ofte er der tale ældre mainframe-løsninger, men der bygges også videre på systemer baseret på tidlige versioner af decentrale platforme. I disse sammenhænge er sikkerhed og privatlivsbeskyttelse etableret på grundlag at den viden, der var, da systemerne oprindeligt blev udformet, og i de fleste sammenhænge uden at den nødvendige vedligeholdelse og sikkerhedsmæssige opgradering af systemerne siden er blevet prioriteret. Det har afstedkommet en lang række eksempler på, at borgeres og virksomheders data utilsigtet og med meget alvorlige konsekvenser er blevet eksponeret, og også at offentlige it-systemer er blevet hacket eller misbrugt med meget store økonomiske tab til følge. Rådet vil i denne sammenhæng påpege, at det er afgørende at eksisterende systemer vedligeholdes og opdateres på basis af en løbende sikkerhedsmæssig risikovurdering. Risikobilledet ændre sig med stor hast, og vedvarende vedligeholdelse af eksisterende løsninger er i dag en nødvendighed for at sikrer systemerne mod nutidige og fremtidige angreb, der kan kompromittere både fortrolighed og integritet. Sundhedsoplysninger og forskning Dansk sundhedsforskning er i verdensklasse, og der er opnået imponerende resultater. Et af fundamenterne for denne succes er det danske CPR-system, som har gjort det muligt at lave detaljeret forskning, hvor enkeltpersoner kan følges over lange forløb. Som systemet fungerer nu, er den enkelte persons oplysninger kun maskeret i det omfang det implementeres af den enkelte forsker. På tilsvarende vis er der for ansatte i sundhedssektoren i stort omfang fri adgang til persondata. Der er i de systemer der benyttes ikke fokuseret på at minimere 5
6 adgangen til det, som faktisk er nødvendigt, selv om denne teknologi er kendt og kan implementeres via retningslinjer for privacy by design. En lang række eksempler har vist, at den nuværende danske praksis på området jævnligt fører til datalækager, og det er Rådets vurdering, at det stadig større fokus på beskyttelse af privatlivets fred og databeskyttelse generelt vil sætte de aktuelt benyttede metoder under pres. Noget tilsvarende gælder de nyligt vedtagne danske regler om lægers indberetningspligt af patientdata, som betyder, at læger på nuværende tidspunkt ikke med sikkerhed kan overholde deres tavshedspligt 5. Der er derfor behov for nye metoder, som gør det muligt også fremadrettet at indsamle værdifulde sundhedsoplysninger, samtidig med at individets ret til beskyttelse af persondata bliver respekteret. Dette er muligt rent teknologisk, og det vil kræve, at det samlede juridisk/teknologiske-system ændres og optimeres. Der udvikles vedvarende nye teknikker til avanceret pseudonymisering 6 og anonymisering 7. Det er Rådets opfattelse, at kendskab til disse metoder, for ikke at tale om brugen af dem, er meget lidt udbredt både blandt danske forskere og i sundhedssektoren generelt. Derfor bør en satsning på styrkelse af netop disse forskningsområder, som del et stærkt sund digital vækst -cluster, følges op med en omfattende formidlings- og dokumentationsindsats. På et sådant grundlag vil det være muligt også fremadrettet at indsamle værdifulde sundhedsdata i Danmark, samtidig med at danske borgeres ret til privatliv respekteres. Det er i denne sammenhæng værd at pointere, at det ikke længere er tilstrækkeligt at pseudonymisere data, hvis man vil forhindre, at enkeltindivider kan genidentificeres. Det er således veldokumenteret, at individer, der i åbne data optræder under pseudonymer, kan genidentificeres ud fra kombination med andre tilgængelige datakilder og brug af mønstergenkendelse 8. Tillid som et afgørende fundament for digital vækst Sund vækst i den private sektor er afhængig af, at borgerne bevarer tilliden til digitaliseringen af den offentlige sektor. På samme vis er den offentlige sektor afhængig af, at der generelt er tillid til privat udbudte digitale løsninger. Mens tillidsniveauet danskere imellem internationalt set er meget højt, er det i denne sammenhæng måske værd at bemærke, at danskernes tillid til den danske stat aktuelt kun ligger på niveau med 5 Sundhedsministeren fjerner vores tavshedspligt, debatindlæg skrevet af fire praktiserende læger 6 Pseudonymisering betyder, at individets identitet holdes skjult men vil kunne genfindes af den, som har nøglen til at gøre det. Oplysningerne vil i lovgivningens forstand stadig være persondata og skal behandles jf. gældende EU- og national lovgivning 7 Anonymisering betyder, at individets identitet ikke kan genetableres, og sådanne data er derfor ikke længere persondata i lovgivningsmæssige forstand. En mellemløsning er pseudonymisering, hvor det kun er den person som har afgivet personoplysninger, der kan har nøglen til at genetablere identiteten. 8 Nye teknikker på området omfatter blandt andet brug af differential privacy, som tilføjer usikkerhed til data (svarende til det som kendes med kunstigt indlejret usikkerhed i det civile GPS-system) og etablering af syntetiske data (hvor der byttes om på data på individniveau, uden at det overordnede billede ændres). Problematikkerne omkring anonymisering og måden hvorpå dette kan løses er beskrevet i Artikel 29 Gruppens Udtalelse nr om anonymiseringsteknikker fra april
7 OECD-gennemsnittet 9 og langt efter for eksempel Sverige. Det seneste år er netop it-sikkerhed og privatlivsbeskyttelse blevet centrale temaer i den offentlige danske debat og det må antages, at digitalisering af kommunikationen mellem myndigheder, borgere og virksomheder i de kommende år vil få stigende indflydelse på borgernes generelle tillid til det offentlige og til staten som sådan. En væsentlig del af borgernes tillid til den offentlige digitaliseringsindsats er fokuseret omkring CPR og det danske eid-system (NemID). Som Rådet for Digital Sikkerhed i andre sammenhænge har peget på 10, vil det derfor være hensigtsmæssigt, at der uden yderligere udsættelse gennemføres en grundig revision af CPR-systemet, og Rådet mener, at denne revision bør planlægges i sammenhæng med udformningen af afløseren for det nuværende NemID-system. Kun adgang til de data som faktisk er nødvendige Når målet er at skabe tillid og sikre privatlivsbeskyttelse, er et godt princip kun at give adgang til netop de data, som en bruger har behov for i forhold til en konkret transaktion eller et konkret formål. Dette princip findes til dels allerede beskrevet i den gældende lovgivning, herunder den danske persondatalov, som har en lang række bestemmelser vedrørende god databehandlingsskik og videregivelse af data. Selv om princippet for formålsbestemthed og nødvendighed gælder for både private aktører og offentlige myndigheder, er der ved anden lovgivning skabt vid adgang for at offentlige myndigheder kan behandle og videregiver personfølsomme data. Set i sammenhæng med den fortsatte teknologiske udvikling medfører offentligt ansattes meget vide adgang til borgernes persondata en øget generel sikkerhedsrisiko. Offentlige it-systemer, herunder sundhedssektorens systemer, bør derfor omlægges, således at offentligt ansatte kun kan tilgå det minimum af persondata som er nødvendige i den konkrete situation, og således at al tilgang konsekvent logges. En sådan tilgang er i dag gældende bedste praksis for etablering af nye itsystemer, og det bør også være den fremtidige standard for offentlige danske it-systemer. For at gennemføre et sådant skift, bør alle nye offentlige it-systemer fremover etableres efter principperne for privacy by design, og de eksisterende systemer bør, indtil de fornyes, opgraderes så de i størst muligt omfang lever op til tilsvarende krav. På det tekniske niveau lever kombinationen af CPR-systemet og NemID på nuværende tidspunkt ikke op til princippet om at offentlige myndigheder kun kan tilgå persondata, som er relevante i forhold til en aktuel eller specifik situation. Problemstillingen kan illustreres ved at der i en virtuel kontekst er brug for at vide, om en bestemt borger er berettiget til en bestemt ydelse eller befinder sig i et bestemt aldersinterval. Det kan for eksempel være relevant i forhold til anonyme rådgivningstilbud omkring sygdom, misbrug, eller 9 OECD Better Life Index Resultater vedr. Danmark Rådet har tidligere beskrevet en mulig 4-trinsmodel for revision af CPR-systemet, se I høringssvar vedr. NemID har Rådet beskrevet hvorledes eid kan afløse det nuværence CPR-system, se Se også Rådets oplæg om digital tryghed til Retsudvalget: 7
8 særlige sociale forhold og det kan også være relevant i forhold til for eksempel donation af sæd/æg eller andet organisk materiale. Aktuelt er der via NemID ikke mulighed for at besvare sådanne spørgsmål, uden at den som forespørger modtager flere oplysninger, end der er brug for i den givne situation. Hvis CPRnummeret bliver involveret, kan spørgsmålene ikke besvares, uden at borgerens identitet bliver afdækket, herunder også borgerens præcise alder, køn og en mulig indikation af, om en person indvandret eller adopteret til Danmark 11. Endvidere har myndigheder ifølge den nuværende lovgivning altid mulighed for at koble en NemIDforespørgsel sammen med CPR (selv om den teknisk godt kan gennemføres uden inddragelse af CPRnummer) 12. I erkendelse af at den digitale teknologi åbner for hidtil usete muligheder for at offentlige og private databehandlere unødigt kan få bred indsigt borgeres private forhold, er man i denne sammenhæng begyndt at tale om udvikling af nye digitale sikkerhedsmodeller. Sådanne nye modeller vil være centrale for den videre udvikling af digitalisering baseret på et fundament af tillid. Et eksempel er, at en borger vil kunne acceptere at afgive sundhedsoplysninger til forskningsmæssige formål under forudsætning af, at disse oplysninger pseudonymiseres, og at det kun er borgeren selv, der har nøglen til at genetablere forbindelsen til sin identitet. I et sådant scenarie vil en forsker for eksempel kunne meddele uden at vide til hvem at der er fundet oplysninger om bestemte sygdomsrisici. Det vil så være op til borgeren selv at beslutte, om vedkommende ønsker disse oplysninger, og dermed via sin læge tilkendegive sin identitet. Der blev i den nu nedlagte IT- og Telestyrelse taget hul på, hvorledes sådanne nye former for sikkerhedsløsninger kan etableres 13. Dette arbejde bør videreføres, og indgå i udformningen af efterfølgeren til den nuværende NemID-løsning. Behov for en stærk og robust national databeskyttelsesmyndighed For at sikre grundlaget for sund digital vækst er det nødvendigt, at Danmark har en stærk og robust databeskyttelsesmyndighed. I takt med at de digitale teknologier udvikles, er der behov for at styrke beføjelser og kompetencer hos det nationale tilsyn 14. For at sikre en solid basis for den foreslåede ambitiøse satsning på sund digital vækst, bør Danmark efter Rådets mening i fremtiden have en national databeskyttelsesmyndighed, som kan leve op til og også være med til at udforme fremtidens best practice, når det gælder national databeskyttelse. 11 Oplysning om alder og køn er indlejret i CPR-nummeret. Cifrene 7-9 i CPR-nummeret fungerer som et løbenummer, der tildeles fortløbende, hvilket betyder at indvandrede og adopterede som hovedregel vil have højere løbenumre end børn født i Danmark. Kilde: Rådets kommunikation med IT og CPR under Økonomi- og Indenrigsministeriet samt Besvarelse af de af Folketingets Kommunaludvalg den 29. februar 1996 stillede spørgsmål 16 og 17 (Alm.del bilag 67). 12 En privat virksomhed som e-boks laver også rutinemæssigt kobling mellem NemID og CPR, idet alle brugere ved hver login bliver anmodet om tilladelse til en sådan sammenkobling. Som bruger kan man ikke få adgang tjenesten, med mindre man accepterer dette og 14 Jf. artikel 8 i EU's charter for grundlæggende rettigheder fra år 2000, som fastsætter at regler vedrørende personoplysninger skal underlægges en uafhængig myndigheds kontrol - 8
9 På nogle punkter lever den nuværende danske databeskyttelsesmyndighed, Datatilsynet, op til, hvad der kan betegnes som gældende bedste praksis inden for EU 15. På andre punkter er der muligheder for forbedringer, og på et afgørende punkt kravet om at databeskyttelsesmyndigheden skal være uafhængig lever Danmark ikke op til gældende bedste praksis og dermed heller ikke til artikel 8 i EU s charter for grundlæggende rettigheder. Det skyldes, at Datatilsynet er placeret under det danske justitsministerium. Rådet for Digital Sikkerhed mener, at Danmark snarest muligt bør have en opgraderet national databeskyttelsesmyndighed, og at den bør etableres efter gældende bedste praksis, således at den kan blive en af EU s bedst fungerende. Den skal være selvstændig og placeres under Folketinget, således at den uden tvivl lever op til EU s nationale charter for grundlæggende rettigheder. En sådan stærk og robust databeskyttelsesmyndighed skal være del af det samlede eksempel til efterfølgelse på, hvorledes en nation kan skabe gode rammebetingelser for sund digital vækst. Danmarks fremtidige databeskyttelsesmyndighed bør ikke være begrænset til at udføre tilsyn men også bidrage til at vurdere, hvilke teknologier, designs og metoder, som kan anbefales til at understøtte god informationssikkerhed. Databeskyttelsesmyndigheden bør således både have et juridisk fokus, et betydeligt teknisk fokus, og det bør være en myndighed, som kan agere selvstændigt og have en aktiv rolle i forhold til at sikre en sund digital vækst og udvikling i Danmark inden for både den offentlige og private sektor. Gældende bedste praksis for nationale databeskyttelsesmyndigheder findes allerede kortlagt inden for EU 16 og kan tjene som inspiration for en opgradering af den danske indsats på området. Derudover vil Rådet pege på, at der kan indhentes værdifulde erfaringer og viden fra det norske Datatilsynet 17 og fra Canadas Office of the Privacy Commissioner 18, to myndigheder som internationalt set er blandt de førende på området. Leverandørkrav om informationssikkerhed og kontrol Som nævnt har der de senere år været betydelige og alvorlige datatab fra den offentlige sektor, og der har også været brist i offentlige it-systemer, som har ført til meget store økonomiske tab. Der har dels været tale om fejl, der er blevet udnyttet, dels er eksisterende sikkerhedsløsninger blev angrebet og kompromitteret. Der er tale om en generel problematik for hele den danske offentlige sektor, hvilket blandt kan ses ud af den dokumentation, som Rigsrevisionen har fremlagt vedrørende, hvad der må betegnes som mangelfulde grundlæggende it-sikkerhedsmæssige foranstaltninger hos de myndigheder, som er blevet undersøgt 19. På baggrund af de forløb vi allerede har set, er det Rådets vurdering, at en fremadrettet udvikling af sund digital vækst i Danmark kræver, at det politisk prioriteres, at der i et helt andet omfang end hidtil sættes ind med krav og kontroller i forhold til leverandører af it-løsninger til det offentlige. Disse krav bør omfatte konkrete krav til informationssikkerhed, der dels omfatter robust it- 15 Data Protection in the European Union: the role of National Data Protection Authorities (EU s Agentur for Grundlæggende Rettigheder, 2010) Ibid Beretning til Statsrevisorerne om revisionen af statsregnskabet for 2012 (udg. November 2013) - 9
10 sikkerhed, 20 dels effektiv privatlivsbeskyttelse, herunder brug af privacy by design-løsninger og gennemførelse af privacy impact assessments (PIA) 21 af løsninger før og efter ibrugtagning. Den nationale databeskyttelsesmyndighed eller en anden myndighed skal have de fornødne ressourcer til at kontrollere, at kravene om informationssikkerhed faktisk efterleves. Delelementer som understøtter Rådets anbefalinger I forhold til anbefalingerne, som fremgår i starten af dette dokument, peger Rådet for Digital Sikkerhed yderligere på følgende delelementer, som værende nødvendige: - Anvendelse af sikkerhedsstandarden ISO27000 over alt i den offentlige sektor. - Obligatorisk brug af PIA (privacy impact analysis) ved alle offentlige it-projekter Videreførelse af det arbejde med etablering af nye digitale sikkerhedsmodeller, som blev påbegyndt i den nu nedlagte IT- og Telestyrelse. - Fastsættelse af retningslinjer og krav i forhold til PbD (privacy by design), og PET (privacy enhancing technologies, herunder privacy by default) i alle offentlige it-projekter. - Ændring af CPR-systemet, så det element der benyttes til identifikation (aktuelt det 10- cifrede nummer) ikke indeholder personfølsomme oplysninger. - Opgradering af den nuværende NemID-løsning på en måde som inddrager og imødekommer de indkomne høringssvar vedr. udformning af den danske eid-løsnings næste generation, herunder specielt at det sikres, at digitale transaktioner kan gennemføres, så kun de faktisk relevante data videregives. - Fastsættelse af krav og normer for brug af big data, herunder aktiv og bred formidling af viden om hvilke værktøjer der kan benyttes til at pseudonymisere og anonymisere data for at sikre individer mod uønsket identifikation. - Integrering af informationsbeskyttelse (it-sikkerhed og privatlivsbeskyttelse) på alle niveauer i uddannelsessystemet. Om Rådet for Digital Sikkerhed Med mere end 45 private og offentlige medlemsorganisationer arbejder Rådet for Digital Sikkerhed for at skabe fokus på tryg digitalisering. Vi bidrager med viden og analyser, som kan være med til at sætte retningen for fremtidens digitale velfærdssamfund. Rådet arbejder for at it-sikkerhed og privatlivsbeskyttelse bliver naturligt integreret i systemer og samfund. Rådet vil understøtte læring og sund adfærd i den digitale verden samt innovativ udnyttelse af teknologiens muligheder. Yderligere information: 20 Se IT Branchens forslag til Sikkerhed i Balance, november 2014, der kan anvendes til foranalyse af sikkerhedsbehovet før anvendelse af ISO Digitaliseringsstyrelsen har udarbejdet en vejledning til PIA i Danmark. Denne eller tilsvarende bør gøres obligatorisk, fremfor som nu blot at være en anbefaling, der i mange tilfælde ikke bliver fulgt - Se også DI ITEKs anbefaling om brug af PIA, oktober 2014, 22 Digitaliseringsstyrelsen har udarbejdet en vejledning til PIA i Danmark. Denne eller tilsvarende bør gøres obligatorisk, fremfor som nu blot at være en anbefaling, der i mange tilfælde ikke bliver fulgt
Kommissorium for Dataetisk Råd 30. januar 2019
Kommissorium for Dataetisk Råd 30. januar 2019 Baggrund Der har i de seneste år været en stigende offentlig debat og et stort fokus på forskellige dataetiske spørgsmål, som brugen af digitale løsninger
Læs mereDeloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen
Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting Vi skaber muligheder & realiserer potentialet sammen Et højt niveau af it-sikkerhed og privatlivsbeskyttelse er med til
Læs mereRigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm
Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Offentlig revision Folketinget Finansudvalget Øvrige politiske udvalg De af Folketinget valgte
Læs mereDI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed
Den 18. december 2014 DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed 1. Overordnet vurdering En række sager med store datatab fra vigtige danske dataejere, som f.eks. CPR, SSI,
Læs mereProgrambeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016
Programbeskrivelse 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning 1. Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde et acceptabelt
Læs mereKontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
Læs mereIT-sikkerhedspanelets anbefalinger vedrørende privacy
Anbefalinger vedr. privacy IT-sikkerhedspanelet under Ministeriet for Videnskab, Teknologi og Udvikling har i løbet af de seneste møder drøftet nødvendigheden af at forbedre borgere og virksomheders privacy
Læs mereForslag til folketingsbeslutning om styrkelse af datasikkerhed
2015/1 BSF 148 (Gældende) Udskriftsdato: 15. juni 2019 Ministerium: Folketinget Journalnummer: Fremsat den 1. april 2016 af Rune Lund (EL) og Pernille Skipper (EL) Forslag til folketingsbeslutning om styrkelse
Læs mereDigitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer
Digitalisering og sikkerhed i den offentlige sektor Sikkerhed & Revision 2012 6. september 2012 Digitalisering og sikkerhed i den offentlige sektor Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen
Læs mereBILAG 3: PRIVATLIVSFREMMENDE TEKNOLOGIER
BILAG 3: PRIVATLIVSFREMMENDE TEKNOLOGIER Beskyttelsen af personoplysninger kan forbedres ved at designe sin teknologi således, at den reducerer graden af indgriben i de registreredes privatliv. Dette kaldes
Læs mereBilag 1.Talepapir ved samråd i KOU den 8. oktober
Kommunaludvalget 2014-15 KOU Alm.del endeligt svar på spørgsmål 3 Offentligt Bilag 1.Talepapir ved samråd i KOU den 8. oktober Samrådsspørgsmål: Finansministeren bedes redegøre for kritikken af sikkerheden
Læs mereLunar Way Business Privatlivspolitik
Lunar Way Business Privatlivspolitik 1. Formål og beskyttelse I denne privatlivspolitik henviser Lunar Way, vi, os og vores til Lunar Way A/S. Hos Lunar Way tager vi beskyttelsen af vores brugeres privatliv,
Læs mereTid og sted: Fredag den 28. juni
Kommunaludvalget 2012-13 KOU Alm.del endeligt svar på spørgsmål 141 Offentligt Økonomi- og indenrigsminister Margrethe Vestagers talepapir Det talte ord gælder Anledning: Samråd Y Tid og sted: Fredag den
Læs mereSundhedsministeren. Statsrevisorerne Sekretariatet Folketinget Christiansborg 1240 København K
Holbergsgade 6 DK-1057 København K Sundhedsministeren Statsrevisorerne Sekretariatet Folketinget Christiansborg 1240 København K ministersvar@ft.dk T +45 7226 9000 F +45 7226 9001 M sum@sum.dk W sum.dk
Læs mereTjekliste: Sådan laver du en it-risikovurdering i TRIN. Sikker it-drift. Leveret af specialister.
Tjekliste: Sådan laver du en it-risikovurdering i TRIN Sikker it-drift. Leveret af specialister. Hvordan foretager man en itrisikovurdering af et system? Hvilke punkter skal man igennem? Hvad kan outputtet
Læs mereEuropaudvalget (2. samling) EUU Alm.del Bilag 4 Offentligt
Europaudvalget 2014-15 (2. samling) EUU Alm.del Bilag 4 Offentligt KOMITÉNOTAT TIL FOLKETINGETS EUROPAUDVALG 18. juni 2015 Europa-Kommissionens forslag af 11. juni 2015 om gennemførelsesretsakt vedrørende
Læs mereStruktur på privatlivsimplikationsrapporten
Struktur på privatlivsimplikationsrapporten Appendiks 6 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Struktur på rapport over privatlivsimplikationsanalysen... 3 Introduktion...
Læs mereBilag A Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (Beierholms kunde) indgåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandleren (Beierholm)
Læs mereEU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse
EU s persondataforordning Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse Disposition Kort om forordningen Implementering - Processen i Justitsministeriet og UVM i forhold
Læs mereSikkerhed i en digitaliseret sundhedssektor. Sikkerhed og Revision 8. September 2017
Sikkerhed i en digitaliseret sundhedssektor Sikkerhed og Revision 8. September 2017 Pia Jespersen Chefkonsulent, CISM, ESL Præsentation Sundhedsdatastyrelsen Pia Jespersen Intern driftsfunktion i Sundheds-
Læs mereTjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi
Tjekliste til arbejde med persondata Branchefælleskab for Intelligent Energi Dataanvendelse i energisektoren Smart Grid, Smart Energi, Smart City og Smart Home er bare nogle af de begreber, som relaterer
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs merePersondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018
Persondatareguleringen Hvorfor, hvornår, systemet og lidt om maj 2018 Hvorfor? I er så meget i et brændpunkt for persondataretten, at vi er nødt til at stige op i helikopteren. Hvad tænker EU? Hvad tænker
Læs mereOPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE
OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE Bilag 14, IT-sikkerhed og databehandleraftale v.1.0 / Option til RM og RN INSTRUKTION TIL LEVERANDØREN VED UDNYTTELSE
Læs mereRapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed
Rapport Anbefaling God IT-sikkerhed er god forretning. En brist i jeres IT-sikkerhed kan koste din virksomhed mange penge i genopretning af dine systemer, data og ikke mindst dit omdømme hos dine kunder
Læs mereTillid og sikkerhed om data
INDSATSOMRÅDE 4 Tillid og sikkerhed om data 58 Sundhedsvæsenet har i dag et generelt højt niveau af informationssikkerhed. Men med den hastige udvikling i digitale løsninger og datamængder og med et skærpet
Læs mereSikkerhed i cloud computing
Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter
Læs mere- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)
Læs mereAftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )
Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) og Steuermann ApS Flæsketorvet 68 1711 København V CVR. nr. 35809422 (i det følgende betegnet Databehandler ) (herefter samlet
Læs merespørgsmål vedrørende privatlivets fred
Problemidentificerende spørgsmål vedrørende privatlivets fred Appendiks 4 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Brug af problemidentificerende spørgsmål... 3
Læs mereIt-sikkerhedstekst ST6
It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version
Læs mereData protection impact assessment
Data protection impact assessment Data protection impact assessment DPIA Den dataansvarlige skal gennemføres en DPIA under forudsætning af: Anvendelse af nye teknologier Betydeligt omfang, formålets karakter,
Læs mereSäker Digital Post från myndigheterna
1 Säker Digital Post från myndigheterna Oplæg på ESV-dagen v/ Lone Boe Rasmussen 11. oktober 2016 DIGITAL POST I DANMARK ANNO 2016 Tak for invitationen til ESV-dagen Fortælle om rejsen, som vi har været
Læs mereResumé af udtalelse om forslaget til omarbejdning af direktivet om videreanvendelse af den offentlige sektors informationer (PSI)
Resumé af udtalelse om forslaget til omarbejdning af direktivet om videreanvendelse af den offentlige sektors informationer (PSI) [Udtalelsen findes i sin helhed på engelsk, fransk og tysk på den tilsynsførendes
Læs merePERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?
PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET? Jimmy Povlsen og Toke Arndal Aabenraa, den 19. januar 2018 Baggrunden for persondataloven Hvorfor en persondatalov? Persondataloven af 1. juli
Læs mereINDSPIL En ambitiøs vækstplan for IKT og digital vækst
INDSPIL En ambitiøs vækstplan for IKT og digital vækst DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik
Læs mereProgrambeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning
Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde
Læs mereSMART LIBRARIES OG PERSONDATAFORORDNINGEN
SMART LIBRARIES OG PERSONDATAFORORDNINGEN - EN PRAGMATISK GUIDE Mads Schaarup Andersen Senior Usable Security Expert, Ph.d. Smart Library seminar, 3/10-2017 Alexandra Instituttet er en non-profit virksomhed,
Læs mereEffektiv digitalisering. - Digitaliseringsstyrelsens strategi 2012-2015. April 2012
April 2012 Effektiv digitalisering - Digitaliseringsstyrelsens strategi 2012-2015 Baggrund Danmark står med væsentlige økonomiske udfordringer og en demografi, der betyder færre på arbejdsmarkedet til
Læs mereBilag 4. Diskussionsoplæg: Dataetik
Bilag 4. Diskussionsoplæg: Dataetik Disruptionrådets sekretariat Februar 2018 J.nr. 2017-179 Hvad er god dataetik? Når man taler om ansvarlig anvendelse af data og ny teknologi, italesættes ofte værdier
Læs mereDATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS
DATABEHANDLERAFTALE General aftale omkring behandling af persondata Udarbejdet af: ZISPA ApS Aftalen Denne databehandleraftale (Aftalen) er ZISPA s generelle databehandler aftale til den indgåede samhandelsaftale
Læs mereIlisimatusarfik 11. maj Privatlivsbeskyttelse og Informationssikkerhed i Grønland
Ilisimatusarfik 11. maj 2016 Privatlivsbeskyttelse og Informationssikkerhed i Grønland Systematisk sikkerhed og digitalt privatliv? Hvad er informationssikkerhed? Adgang/ Tilgængelighed Integritet Fortrolighed
Læs mereDATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Januar 2018 Version 1.1 Udarbejdet af: Jansson Gruppen A/S på vegne af: Jansson EL A/S, CVR nr.: 73 28 93 19 Jansson Alarm A/S, CVR nr.: 74 78
Læs mereDen danske infrastruktur for sundhedsdata - merværdi og fremtidige planer
Den danske infrastruktur for sundhedsdata - merværdi og fremtidige planer DaCHI-konference den 2. juni 2015 Danmark har en guldgrube af Sundhedsdata OECD 2013: Danmark har en høj datamodenhed og råder
Læs merePersondataforordningen og ISO 27001
Persondataforordningen og ISO 27001 Hans Chr. Spies, spies@hcspies.dk, 5/3-2017 ISO 27001 beskriver en internationalt anerkendt metode til at implementere informationssikkerhed i en organisation. Det er
Læs mereRetsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt
Retsudvalget, Retsudvalget 2017-18 L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt Spørgsmål 4 fra Folketingets Retsudvalg vedrørende L 68 og L 69: Vil ministeren overveje
Læs mereBilag B Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (s kunde) indgåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren () behandling af personoplysninger,
Læs mereDiskussionsoplæg: Regulering af virksomhedernes
Diskussionsoplæg: Regulering af virksomhedernes dataanvendelse Disruptionrådets sekretariat September 2018 Bør det være nemmere for virksomheder at høste og genanvende data til udvikling af nye innovative
Læs mereBeretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb
Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 1 Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 2 Introduktion til de 2 beretninger
Læs mereEr I klar til den nye persondataforordning?
Er I klar til den nye persondataforordning? Nye regler om persondata på vej I december 2015 blev der opnået enighed om en ny persondataforordning. Forordningen indeholder en række nye og ændrede regler
Læs mereEuropaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt
Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt Grundnotat til Folketingets Europaudvalg og Folketingets Udvalg for Videnskab og Teknologi Kommissionens meddelelse til Europa-Parlamentet, Rådet,
Læs mereDatatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ)
Regionshuset Viborg Regionssekretariatet Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ) Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 7841 0000
Læs mereAnbefalinger til statusanalyse af arbejdet med samfundsansvar
3. juni 2013 Anbefalinger til statusanalyse af arbejdet med samfundsansvar i det offentlige 1. Hvorfor er der behov for en statusanalyse? I regeringens handlingsplan for virksomheders samfundsansvar 2012-15
Læs mereBILAG 14: DATABEHANDLERAFTALE
BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav
Læs mereEU S PERSONDATAFORORDNING & CLOUD COMPUTING
EU S PERSONDATAFORORDNING & CLOUD COMPUTING Kan man ifølge EU s Persondataforordning bruge Cloud Computing til personhenførbare data? JA, naturligvis forordningen afgør ikke, hvilken arkitektur eller teknologi,
Læs mereRigsrevisionens strategi
Rigsrevisionens strategi 2018-2020 Januar 2018 INDHOLDSFORTEGNELSE Rigsrevisors forord 1 Strategien et overblik 2 Værdi 3 Mission, løfter og indsatser 4 Resultatkrav 9 RIGSREVISORS FORORD 1 Rigsrevisors
Læs mereVejledning. Tværinstitutionelt samarbejde mellem regioner og universiteter vedrørende sundhedsdata. September 2018
Vejledning Tværinstitutionelt samarbejde mellem regioner og universiteter vedrørende sundhedsdata September 2018 Vejledningen er godkendt af universitetsrektorer og regionsdirektører Vejledning Tværinstitutionelt
Læs mereBILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE
BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE INSTRUKTION TIL BESVARELSE AF BILAGET: Teksten i dette afsnit er ikke en del af Kontrakten og vil blive fjernet ved kontraktindgåelse.
Læs mereFremdrift og fælles byggeblokke
INDSATSOMRÅDE 5 Fremdrift og fælles byggeblokke Forudsætningen for at udvikle et mere nært, sammenhængende og effektivt sundhedsvæsen er at sammentænke digitale løsninger og bygge en fælles digital infrastruktur,
Læs mereSundheds- og Ældreministeriet Holbergsgade København K Danmark og
Sundheds- og Ældreministeriet Holbergsgade 6 1057 København K Danmark E-mail: sum@sum.dk, esl@sum.dk og anbk@sum.dk W I L D E R S P L A D S 8 K 1 4 0 3 K Ø BENHAVN K T E L E F O N 3 2 6 9 8 8 8 8 M O B
Læs mereLokal og digital et sammenhængende Danmark
1 of 15 Lokal og digital et sammenhængende Danmark Oplæg til høringssvar på Den fælleskommunale digitaliseringsstrategi 2016-2020 2 of 15 Proces Forslag til den fælleskommunale digitaliseringsstrategi
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereSikkerhedsprogrammet - Agenda
Sikkerhedsprogrammet - Agenda 09.00-09.30 Morgenkaffe & brød 09.30-09.45 Velkomst & dagens program 09.45-10.45 Cybersikkerhed v/kristoffer Kjærgaard Christensen 10.45-11.00 Pause 11.00-12.00 Resultater
Læs mereNotat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014
Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb Februar 2014 RIGSREVISORS NOTAT TIL STATSREVISORERNE I HENHOLD TIL RIGSREVISORLOVENS 18, STK. 4 1 Vedrører: Statsrevisorernes beretning
Læs mereData en gave? en trussel? Om balancen mellem privatlivsbeskyttelse og det sømløst integrerede sundheds(data)væsen
en gave? en trussel? Om balancen mellem privatlivsbeskyttelse og det sømløst integrerede sundheds(data)væsen 2 INDHOLD Potentialet Truslen Hvordan finder vi balancen? Hvad bør du gøre? Stadig et kæmpe
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs mereSTARS* og arbejdet med national strategi for sundhedsdata. - Perspektiver og potentialer ved sundhedsdata
STARS* og arbejdet med national strategi for sundhedsdata - Perspektiver og potentialer ved sundhedsdata Helle Ulrichsen Formand for STARS* - Strategisk Alliance for Register- og Sundhedsdata Informationstur
Læs mereVand og Affald. Virksomhedsstrategi
Vand og Affald 2012 2016 Virksomhedsstrategi forord Vand og Affalds virksomhedsstrategi 2012 2016 er blevet til i samarbejde med virksomhedens medarbejdere, ledelse og bestyrelse. I løbet af 2011 er der
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereUDSPIL Strategi for digital læring
UDSPIL Strategi for digital læring DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik og kommunikation
Læs mereCC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Aftalen foreligger mellem Adresse Post nr. og By CVR. nr. xx xx xx xx (i det følgende betegnet Dataansvarlig ) og CC GROUP DENMARK Møllebugtvej 5 7000 Fredericia Att: CVR. nr. 27415032
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereMYTER OG TESER OM evalg
Kommunaludvalget 2012-13 KOU Alm.del Bilag 70 Offentligt MYTER OG TESER OM evalg Christian Wernberg-Tougaard, Medlem af bestyrelsen, Rådet for Digital Sikkerhed Formand, IT-Branchens IT-sikkerhedsudvalg
Læs merePRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK
PRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK Vores privatlivspolitik giver dig et tydeligt overblik over, hvordan vi behandler dine data, samt hvad du kan forvente, at vi bruger dem til.
Læs merePrivatlivsfremmende teknologier (PETs)
Privatlivsfremmende teknologier (PETs) Appendiks 7 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Privatlivsfremmende teknologier... 3 Midler til imødegåelse af privatlivskrænkende
Læs merePersondataforordningen. Henrik Aslund Pedersen Partner
www.pwc.dk Persondataforordningen Morgenmøde Henrik Aslund Pedersen Partner Revision. Skat. Rådgivning. Hvorfor en ny Persondataforordning? EU persondataforordning - Morgenmøde Hillerød 2 Hvorfor en ny
Læs mereOPGAVEN MED AT GØRE LOVGIVNING DIGITALISERINGSKLAR TORSTEN SCHACK PEDERSEN VENSTRES ERHVERVSORDFØRER
OPGAVEN MED AT GØRE LOVGIVNING DIGITALISERINGSKLAR TORSTEN SCHACK PEDERSEN VENSTRES ERHVERVSORDFØRER TILLIDEN TRYKKER - VI ER I SAMME BÅD Radius troværdighedsundersø gelse 2017: Danskernes syn på faggruppers
Læs mereKontraktbilag 3. Databehandleraftale
Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i
Læs mereBoks 1 Digital vækst i Danmark. Muligheder. Udfordringer
MAJ 2017 Digitalisering og ny teknologi giver virksomhederne nye muligheder for at effektivisere produktion og arbejdsprocesser og skaber samtidig grobund for nye forretningsmodeller, innovation og nye
Læs mereDe første 350 dage med den nye databeskyttelsesforordning
Baggrund Beskyttelse af data og informationssikkerhed er med EUs nye forordning om databeskyttelse blevet et væsentligt emne for mange virksomheder og organisationer. I forvejen har de statslige myndigheder
Læs merePia Conradsen, 25. april 2017 Finder anvendelse pr. d. 25. maj 2018 i Danmark Baggrund, formål og anvendelse Interessenter Databehandler Persondata Sonlincs aktiviteter og overordnet plan Anbefalinger
Læs mereIT og digitalisering i folkeskolen
08:00 100% Aabenraa Kommune Forord Udfordringer Det skal vi lykkes med Tre strategiske spor Rammer Veje ind i digitaliseringen IT og digitalisering i folkeskolen Godkendt af Aabenraa Kommunes Byråd den
Læs mereOpgørelse for I. Indledning
Opgørelse for 2010 I. Indledning Dette er den fjerde offentlige opgørelse fra Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) over dennes rådgivning om forslag til lovgivning og dertil knyttede
Læs mereSundheds- og Ældreministeriet Holbergsgade København K Danmark. Att.: med kopi til
Sundheds- og Ældreministeriet Holbergsgade 6 1057 København K Danmark Att.: sum@sum.dk med kopi til cea@sum.dk W I L D E R S P L A D S 8 K 1 4 0 3 K Ø BENHAVN K T E L E F O N 3 2 6 9 8 8 8 8 A N P E @
Læs mereNORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER
NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i
Læs mereTradeTracker: Vi forbereder os på GDPR
TradeTracker: Vi forbereder os på GDPR Hos TradeTracker tager vi privatliv og databeskyttelse alvorligt. Når den først er trådt i kraft den 25. maj 2018, kommer EUs nye General Data Protection Regulation
Læs merePROGNOSE 2020 ITEK-branchens behov for itog elektronikkandidater i 2020
PROGNOSE 2020 ITEK-branchens behov for itog elektronikkandidater i 2020 DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for
Læs mereGREATER COPENHAGEN GIGABIT Fælles charter for digital infrastruktur og digitalisering
GREATER COPENHAGEN GIGABIT Fælles charter for digital infrastruktur og digitalisering Greater Copenhagen har meget at byde på. Vi har 4 mio. borgere, over 100.000 virksomheder og 17 universiteter i regionen.
Læs mereEU Kommisionens RFID henstilling.
Vi har behov for en proaktiv europæisk tilgang, så vi kan drage nytte af RFID teknologiens fordele, samtidigt med at vi giver borgere, forbrugere og virksomheder valgmulighed, gennemsigtighed og kontrol.
Læs mereSundheds- og Ældreudvalget SUU Alm.del endeligt svar på spørgsmål 562 Offentligt
Sundheds- og Ældreudvalget 2016-17 SUU Alm.del endeligt svar på spørgsmål 562 Offentligt Holbergsgade 6 DK-1057 København K T +45 7226 9000 F +45 7226 9001 M sum@sum.dk W sum.dk Folketingets Sundheds-
Læs mereVejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)
Vejledning Februar 2015 VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL (VERSION 1.4 AF FEBRUAR 2015) Side 2 af 12 Indholdsfortegnelse: Indholdsfortegnelse:... 2 INDLEDNING... 4 GENERELLE
Læs mereOPGAVEUDVALG FOR DIGITALISERING OG TEKNOLOGI
OPGAVEUDVALG FOR DIGITALISERING OG TEKNOLOGI VIDEN PEJLEMÆRKER POLITISK MODEL Indholdsfortegnelse 1. Hvorfor opgaveudvalg for digitalisering og teknologi side 3 2. Digitalisering i DIS-modellen (digitalisering,
Læs mereAftale omkring behandling af persondata.
Databehandleraftale Aftale omkring behandling af persondata. Aftalen Denne databehandleraftale er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig) og ApS (Databehandler), og er gældende
Læs mereSTRATEGIPLAN
STRATEGIPLAN 2014 2018 DI ITEKs strategiplan 2014 2018 3 Ny retning for DI ITEK Vision og mission DI ITEK er et branchefællesskab, der repræsenterer virksomheder inden for it, tele, elektronik og kommunikation.
Læs mereForsvarsministeriets Materiel- og Indkøbsstyrelse
Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.
Læs mereDATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )
DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:
Læs mereFÆLLESOFFENTLIG DIGITALISERINGSSTRATEGI
NY FÆLLESOFFENTLIG DIGITALISERINGSSTRATEGI 2016-2020 FÆLLESOFFENTLIG DIGITALISERINGSSTRATEGI 2016-2020 Et stærkere og mere trygt digitalt Samfund Maj 2016 Ny version på vej! PROCES NY FÆLLESOFFENTLIG DIGITALISERINGSSTRATEGI
Læs mereDatabehandleraftale
Databehandleraftale 25.04.2018 DATABEHANDLERAFTALE Aftalen foreligger mellem Navn (Dataansvarlig) Adresse By og Graungaard Solution Aps (Databehandler) Lykkesholm 2 2690 Karlslunde CVR. nr. 36738367 Ovennævnte
Læs mereCuranet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Åstvej 10, B 7190 Billund CVR. nr. 30 56 13 17 (i det følgende betegnet Dataansvarlig ) og Curanet A/S Højvangen 4 8660 Skanderborg CVR. nr. 29
Læs mere