Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet):

Størrelse: px
Starte visningen fra side:

Download "Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet): 978-87-92572-47-9"

Transkript

1

2 2

3 > Publikationen er gratis. Udgivet af: IT- & Telestyrelsen IT- & Telestyrelsen Holsteinsgade København Ø Publikationen kan hentes på: digitaliser.dk ISBN (internet): Telefon: Fax:

4 > Cloud computing og de juridiske rammer - En vejledning om lovgivningskrav og kontraktmæssige forhold i forbindelse med cloud computing IT- & Telestyrelsen Maj

5 Indhold > 1. Indledning 6 2. Persondataloven og sikkerhedsbekendtgørelsen Ingen behandling af personoplysninger Behandling af personoplysninger Hjemmel til behandling af personoplysninger Den dataansvarliges overladelse af personoplysninger til en databehandler (cloudleverandør) Persondatalovens sikkerhedskrav Databehandleraftale Cloudleverandør uden for EU, herunder særlige regler, når data sendes uden for EU Anmeldelsespligt "Særlige kritiske" oplysninger Øvrig relevant lovgivning Bogføringsloven Regnskabsloven Arkivloven Kontraktuelle punkter Forhold af betydning for håndtering af persondataretlige problemstillinger Forhold af betydning for cloudløsninger Service Level Agreements (SLA) Datahåndtering Audits/certifikater "Katastrofeberedskab" Leverandørspecifikke forhold Almindelige kontraktuelle forhold Indledende bestemmelser Konkretisering af ydelsen, der skal leveres Levering af ydelsen Samarbejdsorganisation Økonomi Garanti Underleverandører Misligholdelse Force majeure Overdragelse Varighed og ophør Tavshedspligt Tvistigheder og fortolkning Lovvalg 24

6 1. Indledning Cloud computing forventes i fremtiden at blive mere og mere udbredt. IT- og Telestyrelsen har derfor, i samarbejde med kammeradvokaten, udarbejdet denne vejledning med henblik på at gennemgå emner, som både kunden (eksempelvis en offentlig myndighed) og leverandøren af cloudløsningen bør overveje og være opmærksomme på i forbindelse med indgåelse af en kontrakt om cloud computing. Da personoplysninger i langt de fleste tilfælde vil indgå i de data, som skal håndteres i forbindelse med en cloudløsning, har IT- og Telestyrelsen i vejledningen valgt at fremhæve en række forhold af persondataretlig karakter. Bemærkningerne herom er anført i afsnit 2 nedenfor. I relation til afsnit 2 nedenfor bemærkes i øvrigt, at det er væsentligt, at kunden har fokus på, hvilke oplysninger der overdrages til leverandøren i forbindelse med cloudløsningen. Persondataloven sætter grænser for, hvilke oplysninger der frit kan overdrages til en leverandør i forbindelse med en cloudløsning, ligesom persondataloven og den tilhørende sikkerhedsbekendtgørelse indeholder regler for, om der skal indhentes forudgående udtalelse eller tilladelse fra Datatilsynet til den ønskede konstruktion. Kunden er derfor nødsaget til inden kontraktindgåelse at have gjort sig nøje overvejelser om, hvilke oplysninger der ønskes håndteret af cloudleverandøren, således at der ikke opstår en situation, der må anses for at være i strid med den danske persondatalov eller den tilhørende sikkerhedsbekendtgørelse. Datatilsynets bemærkninger for så vidt angår fremstillingen af forhold af persondataretlig karakter er indarbejdet i vejledningen. I afsnit 3 gives en kort fremstilling af øvrig relevant lovgivning, der i nogle tilfælde kan have betydning for cloud computing. I afsnit 4 gives en oversigt over en række af de kontraktuelle forhold, der kan være relevante at regulere i den konkrete kontrakt med en cloudleverandør. Afsnittet er delt op i kontraktuelle forhold af betydning for håndtering af persondataloven, konkrete kontraktuelle forhold af betydning for en cloudløsning og forhold af mere generel kontraktuel betydning. Det anbefales, at vejledningen læses i sin helhed. Vejledningen henvender sig både til offentlige myndigheder og private virksomheder. 6

7 2. Persondataloven og sikkerhedsbekendtgørelsen > Persondataloven (lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer) regulerer behandling af personoplysninger. Begrebet personoplysninger omfatter enhver form for information om en identificeret eller identificerbar fysisk person, jf. lovens 3, nr. 1. Omfattet af begrebet personoplysninger er oplysninger, som kan henføres til en fysisk person, også selv om dette vil forudsætte et kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer som f.eks. løbenummer. Det er uden betydning, hvorvidt identifikationsoplysningerne er alment kendte eller umiddelbart tilgængelige. Også de tilfælde, hvor det kun for den indviede vil være muligt at forstå, hvem en oplysning vedrører, er omfattet af definitionen. Som eksempel kan en -adresse eller en IP-adresse være personhenførbare oplysninger og dermed omfattet af persondataloven, da det vil være muligt at koble IP-adressen med en konkret computer og dennes indehaver. En behøver således ikke indeholde modtagerens navn eller postadresse for at være personhenførbar i persondatalovens forstand. Persondataloven vedrører - med enkelte undtagelser - alene oplysninger om fysiske personer og ikke oplysninger om juridiske personer. Persondataloven omfatter behandling af oplysninger hos både offentlige myndigheder og i den private sektor. Der gælder derfor efter loven i høj grad de samme regler, uanset om en behandling af personoplysninger finder sted i den offentlige eller private sektor. I medfør af persondataloven er der udstedt forskellige bekendtgørelser. Det gælder bl.a. med hensyn til kravene til datasikkerhed. Her er der fastsat nærmere regler for den offentlige forvaltning i sikkerhedsbekendtgørelsen. 1 Bekendtgørelsen gælder for enhver behandling af personoplysninger, som foretages for den offentlige forvaltning helt eller delvis ved hjælp af elektronisk databehandling. Bekendtgørelsen fastlægger de tekniske og organisatoriske sikkerhedsforanstaltninger, der som minimum skal træffes i den offentlige forvaltning af hensyn til behandlingssikkerheden (datasikkerheden). Den i afsnit 2 anførte gennemgang er ikke udtømmende, og kunden må i ethvert tilfælde foretage en vurdering af, hvorvidt persondataloven overholdes, herunder eventuelt søge bistand hos Datatilsynet. 2.1 Ingen behandling af personoplysninger Såfremt en kunde ønsker at indgå en kontrakt om en cloudløsning, i hvilken forbindelse der ikke sker en behandling af personoplysninger, indeholder persondataloven som udgangspunkt ikke begrænsninger for, hvorledes der kan ske udveksling og overdragelse af sådanne oplysninger til en cloudleverandør. I disse 1 Bkg. nr. 528 af 15. juni 2000 som ændret ved bkg. nr. 201 af 22. marts

8 situationer er der derfor ikke behov for i kontrakten at indsætte særlige vilkår, der tager højde for reglerne i persondataloven. Det kan f.eks. være en cloudløsning til driften af eksempelvis en statistikapplikation, som ikke indeholder personoplysninger. I en sådan situation er der ikke begrænsninger for kunden i relation til indgåelse af kontrakt med cloudleverandøren, uanset om denne er beliggende i Danmark, et andet EU-land eller et tredjeland (hvorved forstås lande uden for EU/EØS). 2.2 Behandling af personoplysninger Når personoplysninger behandles, skal persondatalovens regler herom iagttages. Ved "behandling" forstås i persondatalovens forstand, enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for", jf. 3, nr. 2. Behandlingsbegrebet dækker over enhver form for håndtering af oplysninger, f.eks. indsamling, registrering, systematisering, opbevaring, ændring, søgning, transmission, overladelse, videregivelse, sammenstilling, samkøring, blokering, sletning eller tilintetgørelse Hjemmel til behandling af personoplysninger Uanset hvilken form for løsning personoplysninger håndteres i, skal man være opmærksom på bestemmelserne i lovgivningen om behandling af personoplysninger. Både persondataloven og særregler i anden lovgivning sætter grænser for, hvilke oplysninger der må indgå, og hvad de må bruges til herunder f.eks. hvornår oplysninger må videregives. Personoplysninger kan opdeles i: Almindelige, ikke-følsomme oplysninger (lovens 6). Følsomme personoplysninger ( 7 - eksempelvis oplysninger om race, politisk baggrund, religiøs overbevisning mv.). Andre typer af følsomme personoplysninger ( 8 - eksempelvis oplysninger om strafbare forhold, væsentlige sociale problemer mv.). Hvorvidt der er hjemmel til en given behandling af personoplysninger afgøres ud fra bl.a. behandlingens formål og oplysningens karakter af henholdsvis 6-, 7- eller 8-oplysning. Al behandling af personoplysninger skal også altid opfylde grundbetingelserne i lovens 5 om god databehandlingsskik og kravene om, at behandlingen skal ske til udtrykkeligt angivne og saglige formål mv. Der stilles endvidere krav om, at de oplysninger, som behandles, skal være relevante og tilstrækkelige. Behandling skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Endelig må oplysningerne ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der 8

9 > er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles jf. lovens 5, stk Den dataansvarliges overladelse af personoplysninger til en databehandler (cloudleverandør) Persondataloven definerer i 3, nr. 4 og 5, begreberne den dataansvarlige og databehandleren. En cloudleverandør vil oftest alene være databehandler. Den dataansvarlige er den, der afgør til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger, mens databehandleren behandler personoplysninger på den dataansvarliges vegne. Den dataansvarlige har det umiddelbare ansvar for behandling af personoplysningerne og dispositionsretten over oplysningerne. Det kan således være en databehandler, der udfører selve den praktiske behandling af personoplysninger på vegne af den dataansvarlige. Den dataansvarlige afgør, om det bør overlades til en databehandler at behandle personoplysninger på den dataansvarliges vegne. Den dataansvarlige er ansvarlig for, at loven overholdes - også for de oplysninger, som behandles hos databehandleren Persondatalovens sikkerhedskrav Der er en række forhold, som man skal være opmærksom på uafhængigt af, om oplysninger overlades til en cloudleverandør i Danmark, et andet EU-land eller et tredjeland. Det er den dataansvarlige myndighed, der har ansvaret for, at persondataloven og sikkerhedsbekendtgørelsens regler iagttages hos databehandleren. Sikkerhedsbekendtgørelsens regler gælder for behandling af personoplysninger i den offentlige forvaltning. Sikkerhedskrav i den private sektor I den private sektor er der ligeledes hjemmel til at udstede en bekendtgørelse om sikkerhedskravene, men hjemlen er ikke udnyttet i praksis. Derimod har Datatilsynet i konkrete sager udnyttet lovens bestemmelser om, at tilsynet kan fastsætte vilkår i forbindelse med tilladelser til at fastsætte nærmere vilkår om bl.a. sikkerhedsforanstaltninger. Datatilsynet har desuden i forskellige sammenhænge anbefalet, at private virksomheder i videst muligt omfang tilrettelægger sikkerhedsforanstaltninger i overensstemmelse med sikkerhedsbekendtgørelsen. Datatilsynets har i øvrigt fastsat en række krav og anbefalinger i forbindelse med overførsel af personoplysninger via internettet for den private sektor. Disse kan læses på Datatilsynets hjemmeside: 9

10 Den dataansvarlige skal lave en samlet risikovurdering af, om en given løsning leverer et passende sikkerhedsniveau. Risikovurderingen kan foretages ud fra en standard for informationssikkerhed f.eks. ISO/IEC eller DS 484, som er den fællesstatslige standard for informationssikkerhed. Begge indeholder eksempler på, hvilke elementer der kan indgå i en risikovurdering. Når der er tale om en cloudløsning, kan man i øvrigt finde inspiration til risikovurderingen i ENISA s 2 publikation Cloud computing Benefits, risks and recommandations for information security (se tjeklisten på side i rapporten.): I alle tilfælde skal den dataansvarlige sikre sig, at databehandlingen hos databehandleren lever op til de danske sikkerhedskrav, der nærmere er fastsat i persondatalovens og i sikkerhedsbekendtgørelsen. Disse krav vil blive beskrevet i det følgende. Sikkerhedskravene går først og fremmest ud på, at både offentlige og private dataansvarlige og databehandlere skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven, jf. 41, stk. 3. Dette er for så vidt angår behandling af personoplysninger for offentlige myndigheder nærmere uddybet i den såkaldte sikkerhedsbekendtgørelse (bekendtgørelse nr. 528 af 15. juni 2000 som ændret ved bekendtgørelse nr. 201 af 22. marts 2001) og sikkerhedsvejledningen (Datatilsynets vejledning nr. 37 af 2. april 2001). Ifølge sikkerhedsbekendtgørelsen har Datatilsynet endvidere mulighed for at komme med henstillinger over for den dataansvarlige myndighed vedrørende de trufne sikkerhedsforanstaltninger. Sikkerhedsbekendtgørelsen og sikkerhedsvejledningen, hvortil der i følgende henvises, beskriver og uddyber de tekniske og organisatoriske sikkerhedsforanstaltninger, som skal træffes i den offentlige forvaltning af hensyn til datasikkerheden på baggrund af de overordnede regler for sikkerhedsforanstaltninger i lovens De krav, som følger af sikkerhedsbekendtgørelsen, skal som minimum iagttages. Hertil kommer, at sikkerheden skal afspejle, at behandlingen af personoplysninger i en cloudløsning sker via internettet, hvilket skærper kravene til datasikkerheden. Persondataloven, sikkerhedsbekendtgørelsen og sikkerhedsvejledningen beskriver en række sikkerhedskrav, der skal overholdes ved behandling af personoplysninger i den offentlige forvaltning. Nedenfor listes nogle af de sikkerhedskrav, der er særligt 2 European Network and Information Security Agency 10

11 > relevante for cloudløsninger. Det bemærkes, at nedenstående liste ikke er udtømmende, men blot fremhæver nogle af de gældende krav i hovedtræk: Personoplysninger skal slettes efter endt behandling. Det skal ved kassation eller videresalg af anvendte datamedier sikres, at uvedkommende ikke får adgang til personoplysninger. Der skal ved transmission af oplysninger over det åbne internet som minimum foretages kryptering. Sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) skal sikres i fornødent omfang, f.eks. ved anvendelse af to-faktor-autentifikation. Det skal sikres, at kun autoriserede brugere kan få adgang. Der skal føres kontrol med afviste adgangsforsøg. Sikkerhedsbekendtgørelsens 19 om logning skal iagttages. Såfremt der er tale om en databehandler i andre EU-lande end Danmark, skal databehandleren desuden leve op til de sikkerhedskrav, som stilles i det pågældende EU-land, jf. persondatalovens 42, stk. 2, 3. pkt Databehandleraftale Når en dataansvarlig overlader oplysninger til en databehandler, skal den dataansvarlige aktivt sikre sig, at databehandleren iagttager fornøden datasikkerhed. Der er bl.a. krav om, at der indgås en skriftlig aftale (en databehandleraftale) mellem den dataansvarlige og databehandleren om en sådan overladelse af personoplysninger, jf. persondatalovens 42, stk. 2, 1. pkt. samt sikkerhedsbekendtgørelsens 7. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige. Det skal herudover fremgå af aftalen, at databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. I det omfang den dataansvarlige er en offentlig myndighed, skal databehandleraftalen sikre, at sikkerhedsbekendtgørelsens regler iagttages af databehandleren Cloudleverandør uden for EU, herunder særlige regler, når data sendes uden for EU Persondatalovens 27 regulerer, hvornår der må overlades oplysninger til modtagere, f.eks. databehandlere, i et tredjeland (lande uden for EU/EØS). Generelt gælder, at når der efter 27 må overføres personoplysninger til tredjelande, skal persondatalovens øvrige regler stadig overholdes, jf. lovens 27, stk. 5. I forbindelse med brug af en cloudleverandør uden for EU vil følgende løsninger kunne anvendes ved overførsel af oplysninger til tredjelande: A. Overførsel til sikkert tredjeland. B. Safe Harbor-ordningen. C. Kommissionens standardkontrakt om overførsel af oplysninger til tredjeland. 11

12 A. Overførsel til sikkert tredjeland Det fremgår af persondatalovens 27, stk. 1, at der kun må overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau. Kommissionen har vurderet, at følgende tredjelande pr. 15. juni 2010 generelt enten via lovgivning eller via andre foranstaltninger sikrer et tilstrækkeligt beskyttelsesniveau: Schweiz, Canada (i begrænset omfang), Argentina, Guernsey, USA (i begrænset omfang), Isle of Man, Jersey, Færøerne, Andorra og Israel. Fortegnelsen over generelt godkendte lande findes på Datatilsynets hjemmeside. Overførsel af oplysninger til cloudleverandører i disse lande kan derfor ske i medfør af persondatalovens 27, stk. 1. En sådan overførsel kræver dog ligeledes i visse tilfælde, at der indhentes en tilladelse fra Datatilsynet, jf. persondatalovens 50, stk. 2. B. Safe Harbor-ordningen Som nævnt ovenfor må der kun overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau, jf. persondatalovens 27, stk. 1. EU Kommissionen har besluttet, at amerikanske virksomheder, som har tilsluttet sig den såkaldte Safe Harbor-ordning, formodes at sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU til disse virksomheder. Overførsel af personoplysninger til sådanne virksomheder vil derfor kunne ske i medfør af persondatalovens 27, stk. 1. En sådan overførsel kræver dog i visse tilfælde, at der indhentes en tilladelse fra Datatilsynet, jf. persondatalovens 50, stk. 2. C. EU Kommissionens standardkontrakt om overførsel til tredjeland I de tilfælde, hvor tredjelandet ikke sikrer et tilstrækkeligt beskyttelsesniveau (og hvor de opregnede undtagelser i persondatalovens 27, stk. 3, ikke giver mulighed for overførsel), kan Datatilsynet give tilladelse til, at der overføres oplysninger til tredjelandet. Denne tilladelse betinges af, at den dataansvarlige yder tilstrækkelige garantier for beskyttelse af de registreredes rettigheder. Dette fremgår af persondatalovens 27, stk. 4. Kommissionen har fundet, at kravet i 27, stk. 4, om fornødne garantier for tilstrækkelig beskyttelse af de registreredes rettigheder ved overførsel af personoplysninger til tredjelande kan fremgå af visse standardkontraktbestemmelser. Såfremt den dataansvarlige indgår en aftale med en cloudleverandør baseret på Kommissionens standardkontraktbestemmelser, vil der kunne gives tilladelse til overførsel af oplysninger til denne cloudleverandør. Standardkontraktbestemmelserne giver i øvrigt mulighed for, at der kun skal indhentes én tilladelse til overførsel af oplysninger til en databehandler i et tredjeland, selv om databehandleren benytter underdatabehandlere, der også er etableret i tredjelande. Hvis databehandleren er etableret i EU og benytter underdatabehandlere i et tredjeland, kan overførsel af oplysninger bl.a. ske, hvis: 12

13 > Den dataansvarlige i EU indgår en aftale baseret på Kommissionens standardkontrakt direkte med underdatabehandlerne i tredjelandet, eller Den dataansvarlige giver databehandleren i EU et klart mandat til at indgå aftaler med underdatabehandlerne i den dataansvarliges navn og på dennes vegne. Kommissionens standardkontrakt er tilgængelig via følgende link på Kommissionens hjemmeside: Der henvises i øvrigt til informationsteksten på Datatilsynets hjemmeside vedrørende overførsel af oplysninger til tredjelande Anmeldelsespligt Persondataloven indeholder en hovedregel om, at der skal foretages anmeldelse til Datatilsynet, inden behandling af personoplysninger iværksættes. I forbindelse med anmeldelsen skal Datatilsynet i flere tilfælde først og fremmest, når der behandles oplysninger omfattet af lovens 7 og 8 afgive en tilladelse eller udtalelse inden iværksættelse af behandlingen. Dette gælder både i cloudsammenhæng og i alle andre tilfælde, hvor der behandles personoplysninger. I de fleste tilfælde vil offentlige myndigheder og private virksomheder allerede have anmeldt, at de behandler personoplysninger til Datatilsynet. Hvis der ændres i den itarkitektur, der ligger til grund for løsningen, eksempelvis ved at elementer af itsystemet bliver cloudbaserede, vil det derfor ikke altid være nødvendigt at foretage en ny anmeldelse af, at der behandles personoplysninger. I nogle tilfælde vil der derimod blot være behov for at ajourføre den allerede gældende anmeldelse. Det er i første omgang den dataansvarlige selv, der må vurdere - eksempelvis ved overgang til cloud computing - om den tidligere anmeldelse fortsat er tilstrækkelig, eller om den ændrer karakter i en sådan grad, at der er behov for en ny anmeldelse eller en ajourføring af den gældende anmeldelse. Der henvises til persondatalovens kapitel 12 ( 43-47) og Datatilsynets vejledning nr. 125 af 10. juli 2000 for de nærmere regler om anmeldelse af behandlinger, der foretages for den offentlige forvaltning og til lovens kapitel 13 ( 48-51) for de nærmere regler om anmeldelse af behandlinger, der foretages for en privat dataansvarlig. Reglerne kan findes på Datatilsynets hjemmeside, jf. Der gøres endvidere opmærksom på, at overførsler af personoplysninger til tredjelande i visse tilfælde kræver, at der indhentes en tilladelse fra Datatilsynet, jf. persondatalovens 50, stk. 2. Anmeldelsespligten påhviler den dataansvarlige også selv om behandlingen af personoplysninger er overladt til en databehandler i henhold til en databehandleraftale. 2.4 "Særlige kritiske" oplysninger I det tilfælde, at den dataansvarlige som offentlig myndighed behandler oplysninger, der er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der 13

14 muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende, jf. persondatalovens 41, stk. 4. Denne regel den såkaldte "krigsregel" indebærer, at f.eks. oplysninger fra Det Centrale Personregister (CPR-registeret), centrale skattesystemer og andre specialregistre, som måtte være af særlig interesse for fremmede magter til eksempelvis at finde specialuddannede personer eller særligt materiel såsom køretøjer mv., der kan være til nytte for den fremmede magt i tilfælde af eksempelvis besættelse, som udgangspunkt ikke vil kunne overlades til en databehandler i et andet land end Danmark. Hvorvidt den dataansvarlige myndighed i givet fald vil komme til at overlade oplysninger omfattet af persondatalovens 41, stk. 4, til en cloudleverandør, må bero på en konkret vurdering, som den dataansvarlige i første omgang skal foretage. Er den dataansvarlige i tvivl, kan der eventuelt rettes henvendelse til Datatilsynet. 14

15 3. Øvrig relevant lovgivning > I dette afsnit gennemgås, hvilken øvrig lovgivning det i nogle tilfælde kan være relevant at iagttage i forbindelse med cloud computing 3.1 Bogføringsloven Bogføringsloven 3 regulerer de fælles mindstekrav til virksomheders bogføring. I henhold til bogføringslovens 10 skal regnskabsmateriale opbevares på betryggende vis i 5 år fra udgangen af det regnskabsår, materialet vedrører. Dette indebærer, at regnskabsmaterialet i hele opbevaringsperioden i rimeligt omfang er beskyttet mod tyveri, brand eller anden tilsigtet eller utilsigtet ødelæggelse eller bortskaffelse. Opbevares materialet elektronisk, skal der løbende tages backup af materialet, og backup-kopien skal kontrolleres for læsbarhed. Udgangspunktet i bogføringslovens 12 er, at regnskabsmateriale skal opbevares i Danmark. Dette gælder både fysiske bilag og elektroniske data. Det er således som udgangspunkt ikke tilladt at opbevare regnskabsmateriale på en server, der fysisk er placeret uden for Danmark. Erhvervs- og Selskabsstyrelsen kan efter forudgående ansøgning dispensere fra ovenstående krav om opbevaring af regnskabsmateriale. 3.2 Regnskabsloven Det statslige regnskabsvæsen er reguleret via henholdsvis regnskabsloven 4 og regnskabsbekendtgørelsen 5. På samme vis som for erhvervsdrivende virksomheder skal regnskabsmateriale for statsinstitutioner opbevares af institutionen på betryggende vis i 5 år fra udgangen af vedkommende regnskabsår, med mindre en længere frist fremgår af andre bestemmelser. Opbevaringen skal ske på en måde, som i hele opbevaringsperioden muliggør en selvstændig og entydig fremfinding af det pågældende regnskabsmateriale, jf. 44 i regnskabsbekendtgørelsen. Udgangspunktet i regnskabslovens 45 er, at regnskabsmateriale skal opbevares i Danmark. Dette gælder både fysiske bilag og elektroniske data. Det er således som udgangspunkt ikke tilladt at opbevare regnskabsmateriale på en server, der fysisk er placeret uden for Danmark. Økonomistyrelsen vil umiddelbart kunne yde dispensation fra bestemmelserne i 45 for institutioner, der har behov for opbevaring af regnskabsmateriale i Norden (Finland, Island, Norge og Sverige). 3 Lovbekendtgørelse nr. 648 af 15. juni Lov nr. 131 af 28. marts 1984 om statens regnskabsvæsen m.v. 5 Bekendtgørelse nr. 70 af 27. januar

16 3.3 Arkivloven Arkivloven 6 og de underliggende regelsæt vedrører offentlige myndigheders arkivalier. Arkivloven er kun relevant i cloudsammenhæng, hvis en myndighed vælger at opbevare eller drive sit sagsbehandlingssystem ved hjælp af en cloudløsning. Er dette imidlertid tilfældet, skal myndigheden iagttage arkivlovens regler. Statens arkiver overtager ansvaret for de enkelte arkivaliers bevaring, når disse afleveres til Statens arkiver jf. 8, stk. 3. Indtil dette sker, skal myndighederne drage omsorg for varetagelse af arkivmæssige hensyn, herunder at arkivalier opbevares på betryggende måde jf. 8, stk. 1. Desuden skal myndighederne efter 8, stk. 2, drage omsorg for, at arkivalier, der er lagret på et elektroniske medium, bevares således, at de kan afleveres til offentlige arkiver. De nærmere regler om arkivmæssige hensyn (jf. 8, stk. 1) om behandling, bevaring og kassation af statslige myndigheders arkivalier findes i arkivbekendtgørelsen 7. 6 LBK nr af 21. august Bek nr. 591 af 26. marts 2003 om offentlige arkivalier og om offentlige arkivers virksomhed 16

17 4. Kontraktuelle punkter > I de følgende afsnit er angivet en række kontraktuelle forhold, som bør overvejes i forbindelse med indgåelse af en kontrakt om levering af cloudtjenesteydelser. Dette afsnit indeholder ikke en "facitliste" over, hvilke forhold der skal inddrages i den konkrete kontrakt, ligesom afsnittet ikke indeholder forslag til, hvorledes den konkrete kontrakt skal formuleres. De anførte punkter er derimod anført med det formål at få parterne til at overveje og sikre, at der hverken i forbindelse med kontraktens indgåelse eller i kontraktens løbetid opstår situationer, der må anses for at stride mod bl.a. persondataloven. Visse af forholdene er af særlig betydning for håndtering af de persondataretlige problemstillinger (afsnit 3.1), ligesom en række af de beskrevne forhold er af mere cloudspecifik relevans (afsnit 3.2). Endelig indeholder afsnit 3.3 en beskrivelse af nogle forhold af mere almindelig kontraktuel betydning. Det anbefales, at samtlige de omtalte kontraktuelle forhold gennemgås og overvejes nærmere af både kunden og leverandør i forbindelse med indgåelse af kontrakten om cloudløsningen. Det skal dog bemærkes, at mange cloududbydere benytter standardkontrakter, og det vil dermed ikke nødvendigvis være muligt at ændre kontrakten. I så fald bør det vurderes, om kontrakten er acceptabel for kunden. 4.1 Forhold af betydning for håndtering af persondataretlige problemstillinger Med henvisning til afsnit 2 ovenfor er der nedenfor angivet en række forhold af persondataretlig karakter, der bør overvejes nærmere og reguleres i forbindelse med indgåelse af kontrakt om en cloudløsning: Er der taget stilling til, om der i forbindelse med kontraktens gennemførelse behandles oplysninger, der er omfattet af persondataloven eller ej? Er der i kontrakten anført en generel stillingtagen til, hvorledes persondataloven overholdes i forbindelse med kontraktens gennemførelse, herunder hvorledes forpligtelserne i den relation er fordelt mellem parterne? Er det i forbindelse med kontraktindgåelse overvejet - og eventuelt konkretiseret - hvilke personoplysninger der er omfattet af løsningsmodellen, og hvilke regler i persondataloven, der giver hjemmel til behandling af de konkrete oplysninger? Hvor behandles oplysningerne? o Er der i kontrakten taget højde for, om behandlingen sker i andre lande end i Danmark? o Sker behandlingen alene i Danmark, et EU/EØS-land eller et såkaldt sikkert tredjeland? o Sker behandlingen i tredjelande? Er der taget højde for de sikkerhedsmæssige krav, der fremgår af persondatalovens 41 og 42 og sikkerhedsbekendtgørelsen? 17

18 Er der i kontrakten taget højde for eventuel anmeldelse til eller udtalelse/tilladelse fra Datatilsynet som betingelse for kontraktens ikrafttræden? Er der foretaget en risikovurdering? Gælder der i henhold til leverandørens hjemland særlige regler for leverandørens behandling af oplysninger? Er der udarbejdet en instruks (en databehandleraftale) for leverandørens håndtering af oplysningerne, der klart begrænser leverandørens handlemuligheder til at angå kundens formål, jf. afsnit ovenfor? 4.2 Forhold af betydning for cloudløsninger I dette afsnit er beskrevet en række forhold, der anses for at have særlig relevans for kontrakter om cloud computing. Listen af forhold er ikke udtømmende, men udtryk for, hvilke forhold der anbefales overvejet nærmere af kunden og leverandøren i forbindelse med indgåelse af den konkrete kontrakt Service Level Agreements (SLA) Er der i kontrakten - eller i et bilag hertil - taget stilling til: o Systemets oppetid. o Systemets svartider. Det fysiske og tekniske grundlag, måling af oppetid og svartid skal måles på, herunder definitioner af baggrundsbelastning og "sædvanlig brug" på testtidspunktet, målemetoder osv. o Leverandørens fejlretning, herunder inden for hvilket tidsrum fejlretningen skal være foretaget. Det bør specificeres i kontrakten, hvorledes leverandøren agter at foretage den fornødne fejlretning, således at der gives kunden mulighed for at kontrollere, om fremgangsmåden overholdes, og om fejlretningen foretages inden for det lovede tidsrum. Eventuel fastsættelse af bod som følge af manglende overholdelse af SLAkrav. Definitioner vil kunne have stor betydning for vurderingen af, om SLA-kravene er overholdt. Derfor anbefales det, at relevante definitioner er anført. Det bemærkes, at parametrene i SLA'en vil kunne have betydning for eventuel bodsfastsættelse, ligesom strenge SLA-krav vil kunne fordyre kontrakten. Derfor anbefales det, at der foretages en nøgtern vurdering fra kundens side i relation til, hvilke behov der reelt er i relation til de opstillede SLA-krav for at minimere omkostningerne Datahåndtering Er der i kontrakten taget stilling til følgende forhold: o "Data" bør defineres i kontrakten, herunder hvis der skelnes mellem data i form af personoplysninger og andre typer af data. 18

19 > Ejerskab til data: o Det er vigtigt, at det konkretiseres, hvem der har ejerskab til de data, der er og bliver en del af aftalen mellem parterne. Overdragelse og destruktion af data: o Det er vigtigt, at det præciseres i kontrakten, hvorledes kunden får adgang til de data, som tilhører kunden, f.eks. i tilfælde af leverandørskift eller i tilfælde af, at kontrakten ophæves. Overdragelse af sådanne data kan f.eks. ske ved, at der gives en fuldstændig back-up af kundens data, der er placeret på leverandørens servere. o Det bør i den forbindelse overvejes, om der løbende - fx med passende interval - bør foretages en fuldstændig back-up, som tilsendes kunden, således at den seneste back-up som minimum er umiddelbart tilgængelig med henblik på opretholdelse af kundens "virksomhed"/myndighedsopgaver selv i tilfælde, hvor leverandøren går konkurs eller i øvrigt - berettiget eller uberettiget - nægter at udlevere data. o I samme forbindelse bør der indsættes en bestemmelse i kontrakten om, at leverandørens eventuelle kopier af kundens data skal destrueres, når kontrakten ophører. o Endelig bør det overvejes, om kunden kan have behov for at sikre sletning på andre tidspunkter end ved kontraktens ophør, i givet fald bør det fremgå af kontrakten. Uvedkommendes adgang til data: o Det anbefales, at det i aftalen præciseres, hvorledes leverandøren skal agere i tilfælde af uvedkommendes uhjemlede adgang til dataene, eksempelvis i form af en pligt til straks at orientere kunden, redegørelse for den konstaterede adgang til dataene eller lignende. o Ligeledes anbefales det, at der indsættes en bestemmelse om, at leverandøren skal holde kunden skadesløs i tilfælde af uvedkommendes adgang til data, herunder ved betaling af de erstatningskrav og andre krav, kunden måtte komme ud for som følge af bruddet på fortrolighedspligten. Placering af data: o Jf. afsnit 2 ovenfor og jf. afsnit 3.1 ovenfor kan det være af stor betydning for kundens retlige forpligtelser i relation til persondataloven, at det præciseres, hvor data placeres geografisk. Det anbefales derfor, at dette forhold håndteres kontraktuelt. I den forbindelse bør der indsættes en bestemmelse, der omhandler leverandørens indhentelse af samtykke fra kunden i tilfælde af, at data flyttes ud af nogle nærmere bestemte geografiske områder, eksempelvis til ikke-sikre tredjelande. Anmodninger om adgang til data, herunder personoplysninger, fra offentlige myndigheder, der ikke er part i kontrakten: 19

20 o Såfremt myndigheder, herunder regeringer og domstole, ønsker adgang til data hos leverandøren, der tilhører kunden, anbefales det, at der indsættes en bestemmelse om, at kunden straks skal orienteres herom. Bestemmelsen bør desuden indeholde en forpligtelse for leverandøren til at samarbejde med kunden i relation til den videre håndtering af begæringen for derved om muligt lovligt at begrænse følgevirkningerne heraf Audits/certifikater Det kan med fordel anføres i kontrakten, at kunden (eller en uafhængig revisor) skal have adgang til eksempelvis en gang årligt at foretage en inspektion "on site" i forhold til leverandørens håndtering af data. Alternativt bør der indsættes en bestemmelse om, at leverandøren skal redegøre for, hvorledes leverandørens infrastruktur, herunder sikkerhedsspecifikationer, håndteres. Der vil oftest kunne redegøres for disse forhold via en uafhængig revisor "Katastrofeberedskab" I tilfælde af, at leverandøren udsættes for pludselige og udefrakommende uforudsete omstændigheder, der fører til tab af data, anbefales det, at der i kontrakten anføres en plan for, hvorledes en sådan situation håndteres af leverandøren, herunder hvorledes tab af data i givet fald genskabes Leverandørspecifikke forhold Det anbefales, at der i kontrakten ikke alene er fokus på opstartsomkostningerne, men også på, hvorledes prisen for ydelsen reguleres fremadrettet. Det bør således præciseres, hvordan prisen reguleres, ikke alene som følge af kontraktens løbetid, men også i tilfælde af eskalering af ydelsens omfang. Formålet hermed er, at kundens omkostninger ikke stiger eksplosivt som følge af yderligere behov, der ikke indledningsvis var taget stilling til fra kundens side. Det anbefales, at kunden beskriver de funktionaliteter, der ønskes, snarere end det beskrives, hvilke programmer, herunder mærker, der ønskes anvendt ved imødekommelse af den konkrete funktionalitet. Formålet hermed er at stille leverandøren mere frit ved fremtidige teknologispring, således at omkostningerne kan holdes nede. I tilfælde af, at leverandøren bliver opkøbt eller underlagt andre selskabsretlige konstruktioner end de på aftaleindgåelsestidspunktet gældende, kan det være relevant for kunden at blive orienteret herom, ligesom det i øvrigt kan være relevant for kunden, at den nye ejer fortsætter aftalen. Dette bør derfor håndteres i kontrakten. 4.3 Almindelige kontraktuelle forhold Dette afsnit er opbygget således, at de enkelte punkter er anført i den rækkefølge, som en kontrakt typisk er opbygget efter. Dette er naturligvis ikke til hinder for, at den konkrete kontrakt, som kunden påtænker at indgå, kan være opbygget på en anden måde, ligesom visse af punkterne kan være irrelevante for den kontrakt, der påtænkes indgået. 20

(Fremtidens) Regulering af cloud computing

(Fremtidens) Regulering af cloud computing (Fremtidens) Regulering af cloud computing Dansk Automationsselskab 2012 Jacob Voetmann Kont. for it-arkitektur og standardisering Digitaliseringsstyrelsen javoe@digst.dk Digitaliseringsstyrelsen og cloud

Læs mere

Kontraktbilag 3. Databehandleraftale

Kontraktbilag 3. Databehandleraftale Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Stillingsbesættende virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Privat virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger om rent private forhold der foreta- ges for en privat dataansvarlig. Felter markeret

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Driftskontrakt. Databehandleraftale. Bilag 14

Driftskontrakt. Databehandleraftale. Bilag 14 Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Advarselsregister Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at advare andre

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] !"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. om [Indsæt navn på aftale] Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Side 1 af 8 Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Kapitel 1 Lovens område 1. Stk. 7. Loven gælder for enhver form for behandling af personoplysninger i forbindelse

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.:

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.: Abonnementsaftale om håndtering af data i ClinicCare 1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.: 1. Lagring og opbevaring af

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 Side 1/19 Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med gul er aftaletekst,

Læs mere

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk Brevdato: 23. maj 2006 Modtager: Scandinavian Airlines Danmark (SAS) J.nr. 2006-219-0370 Stikord: Fingeraftryk, personoplysninger, saglighed og proportionalitet, alternativ løsning, oplysningspligt, datasikkerhed.

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

Bilag 9 Databehandleraftale

Bilag 9 Databehandleraftale Bilag 9 Databehandleraftale Aftale om databehandling mellem Trafik-, Bygge- og Boligstyrelsen Edvard Thomsens Vej 14 2300 København S (i det følgende betegnet som den Dataansvarlige) og XXX XX XX (i det

Læs mere

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Customer Managed Hvorfor vælger man som kunde Cloud? Customer Customer No cloud (On-Premise)

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

EU-udbud af WAN infrastruktur. Bilag 11 - Databehandleraftale

EU-udbud af WAN infrastruktur. Bilag 11 - Databehandleraftale EU-udbud af WAN infrastruktur Bilag 11 - Databehandleraftale INDHOLD 1. DATABEHANDLERENS ANSVAR... 4 2. DATABEHANDLERENS OPGAVE... 4 3. SIKKERHEDSFORANSTALTNINGER... 4 4. DATABEHANDLERS BRUG AF UNDERDATABEHANDLER...

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland Lovafdelingen Dato: Kontor: Databeskyttelseskontoret Sagsbeh: André Dybdal Pape/ Marcus Nymand Sagsnr.: 2016-766-0019 Dok.: 2104838 Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse

Læs mere

Bekendtgørelse om offentlige arkivalier og om offentlige arkivers virksomhed

Bekendtgørelse om offentlige arkivalier og om offentlige arkivers virksomhed Bekendtgørelse nr. 591 af 26. juni 2003 Bekendtgørelse om offentlige arkivalier og om offentlige arkivers virksomhed I medfør af 9, 10, stk. 1-3, 12, stk. 2, 13, stk. 2-3, 14, 20, 21, stk. 2, 41, stk.

Læs mere

Datatilsynet har besluttet at undersøge sagen af egen drift.

Datatilsynet har besluttet at undersøge sagen af egen drift. KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Bilag 11 - Databehandleraftale

Bilag 11 - Databehandleraftale Bilag 11 - Databehandleraftale [Vejledning til tilbudsgiver: Bilaget skal ikke udfyldes af tilbudsgiver. Bilaget er i sin helhed at betragte som et mindstekrav (MK), jf. udbudsbetingelsernes punkt 3.2.3.2

Læs mere

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part ) Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter

Læs mere

Cloud Computing De juridiske aspekter

Cloud Computing De juridiske aspekter Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed

Læs mere

Uddrag af persondataloven

Uddrag af persondataloven Uddrag af persondataloven Behandling af oplysninger 5. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Europaudvalget 2012 KOM (2012) 0011 Bilag 18 Offentligt

Europaudvalget 2012 KOM (2012) 0011 Bilag 18 Offentligt Europaudvalget 2012 KOM (2012) 0011 Bilag 18 Offentligt Folketinget Grønlandsudvalget Christiansborg 1240 København K Lovafdelingen Dato: 21. marts 2016 Kontor: Databeskyttelseskontoret Sagsbeh: André

Læs mere

Jura og brug af testdata med personoplysninger

Jura og brug af testdata med personoplysninger 12. september 2016 Jura og brug af testdata med personoplysninger KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 1/10 Indholdsfortegnelse 1.

Læs mere

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015) Vejledning Februar 2015 VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL (VERSION 1.4 AF FEBRUAR 2015) Side 2 af 12 Indholdsfortegnelse: Indholdsfortegnelse:... 2 INDLEDNING... 4 GENERELLE

Læs mere

DATABEHANDLERAFTALE. Journalnummer.: X-X-XX-XX-XX. Vedrørende projektnavn/titel/system/beskrivelse

DATABEHANDLERAFTALE. Journalnummer.: X-X-XX-XX-XX. Vedrørende projektnavn/titel/system/beskrivelse Regionshuset Viborg Journalnummer.: X-X-XX-XX-XX Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk DATABEHANDLERAFTALE Vedrørende projektnavn/titel/system/beskrivelse

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Kreditoplysning Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig videregivelse

Læs mere

PERSONDATALOVEN OG SUNDHEDSLOVEN

PERSONDATALOVEN OG SUNDHEDSLOVEN KIROPRAKTIK 2014 PERSONDATALOVEN OG SUNDHEDSLOVEN Kort om Persondataloven og Sundhedsloven Sundhedsloven 'Hovedloven' på området Relevant i ft. oplysninger er særligt:» Tavshedspligt, indhentelse og videregivelse

Læs mere

Almindelig viden om persondataforordningen

Almindelig viden om persondataforordningen Almindelig viden om persondataforordningen Hvad er persondata? En Personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person ( den registrerede ). Dette gælder

Læs mere

Dansk Supermarked Administration A/S CVR-nr Bjødstrupvej 18, Holme 8270 Højbjerg

Dansk Supermarked Administration A/S CVR-nr Bjødstrupvej 18, Holme 8270 Højbjerg Dansk Supermarked Administration A/S CVR-nr. 89-49-29-12 Bjødstrupvej 18, Holme 8270 Højbjerg 3. juni 2002 Vedrørende tv-overvågning Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste.

Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste. Blankettype: Spærreliste Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste.

Læs mere

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET? FORSYNINGSTRÆF 2016 - BEHANDLING AF PERSONDATA Line Markert, advokat Egil Husum, advokat 4. og 11. februar 2016 PERSONDATARET HVORFOR NU EGENTLIG DET? side 2 Er persondataretten relevant for forsyningsselskaber?

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Hvordan styrer vi leverandørerne?

Hvordan styrer vi leverandørerne? Hvordan styrer vi leverandørerne? DI Digital 26. September 2016 DKCERT www.cert.dk Henrik Larsen Email: henrik.larsen@cert.dk Agenda Hvem er jeg? DKCERT Hvem er vi og hvad gør vi? Hvordan styrer universitetssektoren

Læs mere

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS 1. Vedrørende Databehandlerens ansvar 1.1. Databehandleren må alene behandle personoplysninger omfattet af Databehandleraftalen efter instruks fra den Dataansvarlige

Læs mere

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) Databehandleraftale mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) og Hedensted Kommune Horsens Kommune Odder Kommune Niels Espes Vej 8 Rådhustorvet 4 Rådhusgade

Læs mere

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017 Persondataforordningen fra Dansk Energis perspektiv Xellent inspirationsdag, 1. juni 2017 Brancheorganisationen Mathilde Øelund Jensen Konsulent cand. Jur. Direkte: 35 300 422 msj@danskenergi.dk Agenda

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes, Rammer og vilkår for brug af data 25. oktober 2016 Afdelingschef Birgitte Drewes, bidr@sundhedsdata.dk Lovgivning - sundhedsdata Sundhedsloven Persondataloven I sundhedsloven fastlægges reglerne for indhentning/videregivelse

Læs mere

Uddrag af lov om behandling af personoplysninger

Uddrag af lov om behandling af personoplysninger Myndighed: Justitsministeriet Udskriftsdato: 7. oktober 2016 (Gældende) Uddrag af lov om behandling af personoplysninger 1-4. (Udelades) Afsnit II Behandlingsregler Kapitel 4 Behandling af oplysninger

Læs mere

Sagsnr. 26250-0 NOTAT OM DATABEHANDLING

Sagsnr. 26250-0 NOTAT OM DATABEHANDLING Sagsnr. 26250-0 NOTAT OM DATABEHANDLING INDHOLDSFORTEGNELSE 1. Beskrivelse af problemstillingen... 3 2. Overladelse af persondata... 3 2.1. Behandlingshjemmel... 3 2.2. Dataansvar... 4 2.3. Databehandlerinstruks...

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere

Kontraktbilag 16 - Databehandleraftale

Kontraktbilag 16 - Databehandleraftale Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Kontraktbilag 16 - Databehandleraftale Kontraktbilag 16 Databehandleraftale Side 1/9 Indholdsfortegnelse 1. DATABEHANDLERENS ANSVAR...3

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen ) 25. november 2016 Versionshistorik Versionsnr. Dato Beskrivelse 0.8 25.11.2016 Høringsudkast til kombit.dk DATABEHANDLERAFTALE Mellem [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

Persondataloven kort fortalt

Persondataloven kort fortalt Persondataloven kort fortalt Den 27. februar 2013 Indhold Indledning... 2 Lov om behandling af personoplysninger... 3 På hvilke områder gælder loven?... 3 Hvilke typer behandling?... 3 Undtagelser fra

Læs mere

1. Indledende bestemmelser Formål. Område

1. Indledende bestemmelser Formål. Område 1. Indledende bestemmelser Formål 1.1 Formålet med bestemmelserne er, at den enkelte persons retsbeskyttelse og integritet ikke krænkes ved behandling af personoplysninger i Region Hovedstaden og på Steno

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice Borups Alle 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse]

Læs mere

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik Vejledning om videregivelse af personoplysninger til brug for forskning og statistik 1 Indholdsfortegnelse 1. Baggrund 2. Definitioner 2.1. Personoplysning 2.2. Anonymiseret personoplysning (i persondatalovens

Læs mere

MELLEM. 2300 København S. (herefter SKI )

MELLEM. 2300 København S. (herefter SKI ) BRUGERTILSLUTNINGSAFTALE SKI. dk MELLEM Staten og Kommunernes Indkøbs Service A/S Zeppelinerhallen, Islands Brygge 55 2300 København S CVR 17472437, EAN 57900002758477 (herefter SKI ) og (Herefter Kunden

Læs mere

ELEKTRONISK VINDUESKIGGERI HVOR ER

ELEKTRONISK VINDUESKIGGERI HVOR ER ELEKTRONISK VINDUESKIGGERI HVOR ER GRÆNSEN? Af advokat, LL.M., Benjamin Lundström og advokat, HD(O), Pernille Borup Vejlsgaard fra advokatfirmaet von Haller. Ifølge den nugældende lovgivning er der grænser

Læs mere

SAMARBEJDSAFTALE VEDRØRENDE KOMMUNERNES TILSLUTNING TIL UDFASNING AF KMD SOCIAL PENSION

SAMARBEJDSAFTALE VEDRØRENDE KOMMUNERNES TILSLUTNING TIL UDFASNING AF KMD SOCIAL PENSION SAMARBEJDSAFTALE VEDRØRENDE KOMMUNERNES TILSLUTNING TIL UDFASNING AF KMD SOCIAL PENSION Mellem Københavns Kommune Rådhuset 1599 København V (herefter "Kommunen") og KOMBIT A/S Halfdansgade 8 2300 København

Læs mere

Sikkerhedsregler for Kalundborg Kommune

Sikkerhedsregler for Kalundborg Kommune Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til

Læs mere

om L 72 Forslag til lov om kommunale borgerservicecentre

om L 72 Forslag til lov om kommunale borgerservicecentre Kommunaludvalget, Retsudvalget L 72 - Bilag 2,REU alm. del - Bilag 60 Offentlig Folketingets Administration Lovsekretariatet 15. marts 2005 J.nr. 17 OMTRYKT (15/3 2005) (rettelse af eksempel markeret med

Læs mere

I arkivloven, jf. lovbekendtgørelse nr. 1035 af 21. august 2007, som ændret ved lov nr. 1170 af 10. december 2008, foretages følgende ændringer:

I arkivloven, jf. lovbekendtgørelse nr. 1035 af 21. august 2007, som ændret ved lov nr. 1170 af 10. december 2008, foretages følgende ændringer: Lovforslag (udkast) 17. februar 2015 Forslag til lov om ændring af arkivloven I arkivloven, jf. lovbekendtgørelse nr. 1035 af 21. august 2007, som ændret ved lov nr. 1170 af 10. december 2008, foretages

Læs mere

Rammeaftale om varetagelse af fjerntolkning

Rammeaftale om varetagelse af fjerntolkning Rammeaftale om varetagelse af fjerntolkning Tolkemyndigheden - Rammeaftale udbud 2015 side 1 Indholdsfortegnelse 1) Rammeaftalens parter... 3 2) Definitioner... 3 3) Baggrund, formål og omfang... 3 4)

Læs mere

Nedenfor under punkt 1 er en kort gennemgang af reglerne om ordregiverens forpligtelse til at overdrage oplysninger til leverandøren.

Nedenfor under punkt 1 er en kort gennemgang af reglerne om ordregiverens forpligtelse til at overdrage oplysninger til leverandøren. N O TAT Udveksling af medarbejderoplysninger ime l- lem ordregiver og leverandøren April 2011 Side 1/9 Dette notat behandler spørgsmålet om udveksling af medarbejderoplysninger imellem ordregiver og leverandøren

Læs mere

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet. Cloud og persondataloven Forskningsnetkonferencen 2011 Klarskovgaard Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Sten Hansen IT-chef

Læs mere

Vedrørende tilsyn med behandling af personoplysninger

Vedrørende tilsyn med behandling af personoplysninger Att.: Kommunaldirektøren Sendt med Digital Post Dato Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail dt@datatilsynet.dk www.datatilsynet.dk J.nr.

Læs mere

Aftalen kan i aftaleperioden opsiges af Parterne med 1 måneders varsel til udløbet af en måned.

Aftalen kan i aftaleperioden opsiges af Parterne med 1 måneders varsel til udløbet af en måned. KØBENHAVNS KOMMUNE Beskæftigelses- og Integrationsforvaltningen 5. Kontor Økonomi- og Resultater AFTALE Mellem Københavns Kommune Beskæftigelses- og Integrationsforvaltningen Bernstorffsgade 17 1592 København

Læs mere

Anmeldelse forskningsprojekter herunder forskningsbiobanker

Anmeldelse forskningsprojekter herunder forskningsbiobanker Anmeldelse forskningsprojekter herunder forskningsbiobanker Dansk Selskab for GCP - 3. november 2014 Annette Sand juridisk konsulent www.regionmidtjylland.dk Program Præsentation og formål Kort om persondataloven

Læs mere

SAMARBEJDSAFTALE VEDRØRENDE KOMMUNERNES TILSLUTNING TIL DIGITALISERING AF UDSATTE BØRN OG UNGE (DUBU)

SAMARBEJDSAFTALE VEDRØRENDE KOMMUNERNES TILSLUTNING TIL DIGITALISERING AF UDSATTE BØRN OG UNGE (DUBU) SAMARBEJDSAFTALE VEDRØRENDE KOMMUNERNES TILSLUTNING TIL DIGITALISERING AF UDSATTE BØRN OG UNGE (DUBU) Mellem (herefter "Kommunen") og KOMBIT A/S Halfdansgade 8 2300 København S (herefter "KOMBIT") INDHOLDSFORTEGNELSE

Læs mere

Vedrørende tilsyn med behandling af personoplysninger

Vedrørende tilsyn med behandling af personoplysninger Att.: Kommunaldirektøren Sendt med Digital Post Dat0 Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail dt@datatilsynet.dk www.datatilsynet.dk J.nr.

Læs mere

Har I styr på reglerne? Forsyningsselskabers behandling af persondata

Har I styr på reglerne? Forsyningsselskabers behandling af persondata Har I styr på reglerne? Forsyningsselskabers behandling af persondata Langt de fleste virksomheder vil i forbindelse med deres virke få adgang til persondata af den ene eller anden slags. En forsyningsvirksomhed

Læs mere

It-sikkerhedstekst ST6

It-sikkerhedstekst ST6 It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version

Læs mere

DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup

DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup 24. september 2010 Vedrørende sikkerhedsforanstaltningerne omkring udstedelse af NemID Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Kontrakt. vedrørende levering af personalefrokost. indgået mellem (XXX) Københavns Kommune. Sundheds- og Omsorgsforvaltningen 2200 København N

Kontrakt. vedrørende levering af personalefrokost. indgået mellem (XXX) Københavns Kommune. Sundheds- og Omsorgsforvaltningen 2200 København N Kontrakt vedrørende levering af personalefrokost indgået mellem (XXX) og Københavns Kommune Sundheds- og Omsorgsforvaltningen 2200 København N Bilagsfortegnelse Bilag 1: Udbudsmateriale (kravspecifikation).

Læs mere

Journalisering af samlede svar førte til behandling af personoplysninger i strid med persondataloven.

Journalisering af samlede svar førte til behandling af personoplysninger i strid med persondataloven. 2015-32 Journalisering af samlede svar førte til behandling af personoplysninger i strid med persondataloven. Kommune burde derfor have adskilt sine svar 15. juni 2015 En mand havde en omfattende korrespondance

Læs mere

Loven indebærer ændringer i både persondataloven 4 og tv-overvågningsloven

Loven indebærer ændringer i både persondataloven 4 og tv-overvågningsloven Til samtlige kommuner, regioner og ministerier (underliggende myndigheder og institutioner bedes venligst orienteret) 28. juni 2007 Orientering til offentlige myndigheder om de nye regler i persondataloven

Læs mere

GENERELLE BRUGERBETINGELSER FOR

GENERELLE BRUGERBETINGELSER FOR GENERELLE BRUGERBETINGELSER FOR mypku Disse generelle brugerbetingelser ( Betingelser ) fastsætter de betingelser, der gælder mellem dig som bruger ( Brugeren ) og Nutricia A/S, CVR.: 73128110 ( Nutricia

Læs mere

Vejledning om ergoterapeuters ordnede optegnelser (journalføring)

Vejledning om ergoterapeuters ordnede optegnelser (journalføring) 16. marts 2006 Vejledning om ergoterapeuters ordnede optegnelser (journalføring) 1 Indledning I medfør af lovbekendtgørelse nr. 631 af 30. august 1991 om Terapiassistenter (fysioterapeuter og ergoterapeuter)

Læs mere

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer Borgerrådgiveren Socialforvaltningen Brev er d.d. fremsendt pr. e-mail. 16-11-2012 Sagsnr. 2012-98616 Dokumentnr. 2012-900691 Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling

Læs mere