ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE

Størrelse: px
Starte visningen fra side:

Download "ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE"

Transkript

1 ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 01037/12/DA WP 196 Udtalelse 05/2012 om cloud computing Vedtaget den 1. juli 2012 Artikel 29-Gruppen er nedsat i henhold til artikel 29 i direktiv 95/46/EF. Den er et uafhængigt EU-rådgivningsorgan vedrørende databeskyttelse og beskyttelse af privatlivets fred. Dens opgaver er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF. Sekretariatet varetages af Direktorat C (Grundlæggende rettigheder og unionsborgerskab) i Europa-Kommissionen, Generaldirektoratet for Retlige Anliggender, 1049 Bruxelles, Belgien. Kontor: MO-59 02/013. Websted: 1

2 Resumé I denne udtalelse analyserer Artikel 29-Gruppen alle relevante problemstillinger for cloud computing-tjenesteudbydere, der driver virksomhed i Det Europæiske Økonomiske Samarbejdsområde (EØS), og deres kunder, og der er i relevant omfang en nærmere beskrivelse af alle gældende principper i EU's databeskyttelsesdirektiv (95/46/EF) og direktivet om databeskyttelse inden for elektronisk kommunikation 2002/58/EF (som ændret ved direktiv 2009/136/EF). Til trods for erkendelsen af, at der er både økonomiske og samfundsmæssige fordele ved cloud computing, fremgår det af denne udtalelse, hvordan udbredt anvendelse af cloud computing-tjenester kan udløse en række risici vedrørende databeskyttelse, hovedsagelig i form af manglende kontrol med personoplysninger samt utilstrækkelige informationer med hensyn til, hvordan, hvor og af hvem personoplysninger bliver behandlet. Disse risici skal offentlige myndigheder og private virksomheder vurdere nøje, når de overvejer at indgå aftale om tjenester fra en cloud-udbyder. I denne udtalelse gennemgås de problemstillinger, der er forbundet med at dele ressourcer med andre, den manglende gennemsigtighed i en outsourcingkæde bestående af mange forskellige registerførere og underleverandører, den manglende tilstedeværelse af fælles globale dataportabilitetsrammer og usikkerheden med hensyn til det tilstedelige i at videregive personoplysninger til cloud-udbydere i lande uden for EØS. Ligeledes er det i udtalelsen pointeret, at den manglende gennemsigtighed vedrørende de informationer, en registeransvarlig er i stand til at give en registreret part om, hvordan vedkommendes personoplysninger behandles, giver anledning til alvorlig bekymring. De registrerede skal 1 informeres om, hvem der behandler deres personoplysninger til hvilke formål, således at de kan håndhæve deres rettigheder desangående. En af hovedkonklusionerne i denne udtalelse er, at virksomheder og forvaltningsorganer, der gerne vil gøre brug af cloud computing, indledningsvis bør foretage en omfattende og grundig risikoanalyse. Alle cloud-udbydere, der udbyder tjenester i EØS, bør give cloudkunden alle de oplysninger, der er nødvendige for korrekt at kunne afveje fordele og ulemper ved at gøre brug af en sådan tjenesteydelse. Sikkerhed, gennemsigtighed og retssikkerhed for kunderne bør være det, der primært driver en udbyder til at tilbyde cloud computing-tjenester. For så vidt angår henstillingerne i denne udtalelse, er der fokus på en cloud-kundes pligter som registeransvarlig, og det henstilles således, at kunden bør vælge en cloud-udbyder, der sikrer, at EU's databeskyttelseslovgivning bliver overholdt. Udtalelsen omhandler bl.a. passende kontraktlige sikkerhedsforanstaltninger med krav om, at enhver kontrakt mellem en cloud-kunde og en cloud-udbyder bør indeholde tilstrækkelig sikkerhed hensyn til tekniske og organisatoriske foranstaltninger. Henstillingen om, at cloud-kunden bør kontrollere, om cloud-udbyderen kan garantere lovmæssigheden af alle internationale videregivelser af oplysninger er også af stor betydning. 1 Nøgleordene "SKAL" ("MUST"), "MÅ IKKE" ("MUST NOT"), "NØDVENDIGVIS" ("REQUIRED"), "SKAL/MÅ" ("SHALL"), "SKAL IKKE" ("SHALL NOT"), "BØR" ("SHOULD"), "BØR IKKE" "SHOULD NOT"), "HENSTILLET" ("RECOMMENDED"), "KAN/ER MÅSKE/MÅTTE/MÅ" ("MAY") og "EVENTUELT" ("OPTIONAL") skal i dette dokument fortolkes som beskrevet i anmodningen om kommentarer Dokumentet findes på For læselighedens skyld er disse ord dog ikke skrevet med versaler i dette dokument. 2

3 Lige som i alle andre udviklingsforløb udgør den øgede anvendelse af cloud computing som et globalt teknologisk paradigme en udfordring. Den nuværende udgave af udtalelsen kan anses for at være et vigtigt initiativ med hensyn til at fastlægge de opgaver, som skal løses i databeskyttelseskredse i de kommende år. 3

4 Indholdsfortegnelse Resumé Indledning Databeskyttelsesrisici ved cloud computing Lovgrundlag Databeskyttelsesrammer Lovvalgsregler De forskellige aktørers pligter og ansvar Cloud-kunde og cloud-udbyder Underleverandører Databeskyttelseskrav i relationen mellem kunde og udbyder Overholdelse af grundprincipper Gennemsigtighed Formålsspecifikation og -begrænsning Sletning af personoplysninger Kontraktlige sikkerhedsforanstaltninger i forbindelse med relationen(-erne) mellem "registeransvarlig" og "registerfører" Tekniske og organisatoriske foranstaltninger i forbindelse med databeskyttelse og datasikkerhed Tilgængelighed Integritet Fortrolighed Gennemsigtighed Isolation (formålsbegrænsning) Interveneringsmulighed Portabilitet Ansvarlighed Internationale videregivelser Safe harbor og lande med et tilstrækkeligt beskyttelsesniveau Undtagelser Standardkontraktbestemmelser Bindende virksomhedsregler: på vej mod en global tilgang Konklusioner og henstillinger Retningslinjer for kunder og udbydere af cloud computing-tjenester Tredjepartscertificeringer vedrørende databeskyttelse Henstillinger: Den fremtidige udvikling BILAG a) Rollout-modeller b) Servicemodeller

5 1. Indledning For nogle er cloud computing en af de største teknologiske omvæltninger, man har set i nyere tid. For andre er det blot en naturlig udvikling af en række teknologier, der har til formål at opfylde den længe nærede drøm om "utility computing". Under alle omstændigheder har en lang række aktører fokuseret på cloud computing i udviklingen af deres teknologiske strategier. Cloud computing består af en række teknologier og servicemodeller med fokus på internetbaseret brug og levering af it-applikationer samt databehandlings-, lager- og hukommelseskapacitet. Cloud computing kan skabe væsentlige økonomiske fordele, fordi det er ganske nemt at konfigurere, udvide og få adgang til on demand-ressourcer via internettet. Ud over økonomiske fordele kan cloud computing også give sikkerhedsmæssige fordele. Virksomheder, især små og mellemstore virksomheder, kan for et ubetydeligt beløb få adgang til førsteklasses teknologier, der ellers ville være uden for økonomisk rækkevidde. Cloud-udbydere udbyder en hel vifte af tjenester lige fra virtuelle databehandlingssystemer (der erstatter og/eller fungerer side om side med konventionelle servere under den registeransvarliges direkte kontrol) til tjenester, som understøtter applikationsudvikling og "advanced hosting", og til webbaserede softwareløsninger, som kan erstatte de applikationer, der konventionelt installeres på slutbrugernes pc'er. Dette omfatter også tekstbehandlingsapplikationer, agendaer og kalendere, arkivsystemer til onlinelagring af dokumenter og outsourcede -løsninger. Nogle af de mest anvendte definitioner på disse forskellige typer tjenester er nævnt i bilaget til denne udtalelse. I denne udtalelse analyserer Artikel 29-Gruppen (i det følgende benævnt "WP29") lovvalgsregler og pligter for registeransvarlige i Det Europæiske Økonomiske Samarbejdsområde (i det følgende benævnt "EØS") og for cloud-tjenesteudbydere med kunder i EØS. I denne udtalelse er der fokus på den situation, hvor en relation formodes at være en registeransvarlig-registerfører-relation, hvor kunden optræder som registeransvarlig, og cloud-udbyderen optræder som registerfører. I de tilfælde, hvor cloud-udbyderen ligeledes fungerer som registeransvarlig, skal vedkommende opfylde yderligere krav. Som følge heraf er det en forudsætning for at benytte sig af cloud computing-løsninger, at den registeransvarlige foretager en fyldestgørende risikovurdering, hvilket bl.a. omfatter placeringen af de servere, hvor oplysningerne behandles, og overvejelser vedrørende fordele og ulemper med hensyn til databeskyttelse, jf. de nedenfor anførte kriterier. I denne udtalelse præciseres de gældende principper for både registeransvarlige og registerførere ifølge det generelle databeskyttelsesdirektiv (95/46/EF) som f.eks. formålsspecifikation og -begrænsning, sletning af oplysninger og tekniske og organisatoriske foranstaltninger. I udtalelsen opstilles der retningslinjer for sikkerhedskravene, både med hensyn til struktur og procedurer. Der lægges især vægt på de kontraktlige aftaler, der i den forbindelse bør regulere relationen mellem en registeransvarlig og en registerfører. De klassiske mål vedrørende datasikkerhed er tilgængelighed, integritet og fortrolighed. Databeskyttelse er dog ikke begrænset til datasikkerhed, og derfor suppleres disse mål med specifikke databeskyttelsesmål vedrørende gennemsigtighed, isolation, interveneringsmulighed og portabilitet for at underbygge enkeltpersoners ret til databeskyttelse, jf. artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder. 5

6 Med hensyn til videregivelse af personoplysninger uden for EØS er der en analyse af instrumenter såsom de standardkontraktbestemmelser, Europa-Kommissionen har vedtaget, procedurer til konstatering af et passende beskyttelsesniveau og nogle eventuelle fremtidige bindende virksomhedsregler for registerførere samt databeskyttelsesrisici som følge af internationale anmodninger med henblik på retshåndhævelse. Til sidst i denne udtalelse er der nogle henstillinger til cloud-kunder som registeransvarlige, cloud-udbydere som registerførere og til Europa-Kommissionen med hensyn til fremtidige ændringer i EU's regelsæt om databeskyttelse. Den internationale arbejdsgruppe vedrørende databeskyttelse inden for telekommunikation (Berlin-gruppen) vedtog Sopot-memorandummet 2 i april I dette memorandum gennemgår man problemstillinger vedrørende privatlivets fred og databeskyttelse inden for cloud computing, og man understreger, at cloud computing ikke må føre til en forringelse af standarderne for databeskyttelse i forhold til konventionel databehandling. 2. Databeskyttelsesrisici ved cloud computing Da der i denne udtalelse er fokus på behandling af personoplysninger, hvor man anvender cloud computing-tjenester, er der kun taget højde for de specifikke risici i denne sammenhæng. 3 De fleste af disse risici findes inden for to store områder, nemlig manglende kontrol over personoplysningerne og utilstrækkelige informationer om selve databehandlingsopgaven (manglende gennemsigtighed). Specifikke cloud computing-risici, som har været overvejet i forbindelse med denne udtalelse, omfatter bl.a.: Manglende kontrol Når cloud-kunder overgiver personoplysninger til de systemer, der forvaltes af en cloududbyder, har de måske ikke længere fuldt ud kontrol med disse oplysninger og kan ikke tage de tekniske og organisatoriske foranstaltninger i brug, der er nødvendige for at sikre 4 tilgængelighed, integritet, fortrolighed, gennemsigtighed, isolation, interveneringsmulighed og portabilitet, for så vidt angår oplysningerne. Denne manglende kontrol kan komme til udtryk på følgende måde: o manglende tilgængelighed på grund af manglende interoperabilitet (leverandørafhængighed). Hvis cloud-udbyderen er afhængig af ophavsretsbeskyttet teknologi, kan det vise sig at være vanskeligt for en cloud-kunde at flytte oplysninger og dokumenter mellem forskellige cloud-baserede systemer (dataportabilitet) eller udveksle oplysninger med enheder, der anvender cloud-tjenester, som forvaltes af andre udbydere (interoperabilitet). o Manglende integritet som følge af, at man er fælles om ressourcerne: En "sky" består af fælles systemer og infrastrukturer. Cloud-udbydere behandler personoplysninger fra en lang række kilder, dvs. registrerede og virksomheder, og der kan muligvis opstå interessekonflikter og/eller være forskellige målsætninger Ud over de risici i forbindelse med personoplysninger, der behandles "i skyen", som udtrykkeligt er nævnt i denne udtalelse, skal der også tages højde for alle risici i forbindelse med outsourcing af behandling af personoplysninger. I Tyskland har man indført det bredere begreb "unlinkability". Jf. fodnote 24 nedenfor. 6

7 o Manglende fortrolighed ved anmodninger om retshåndhævelse fremsat direkte over for en cloud-udbyder. Personoplysninger, der behandles i "skyen", kan være omfattet af reglerne om anmodning med hensyn til retshåndhævelse fra retshåndhævende organer i EU's medlemsstater og tredjelande. Dette indebærer en risiko for, at personoplysninger kan videregives til (udenlandske) retshåndhævende organer uden noget gyldigt EU-retsgrundlag, og dette ville således være en overtrædelse af EU's databeskyttelseslovgivning. o Manglende interveneringsmulighed på grund af outsourcingkædens kompleksitet og dynamik. Den cloud-tjenesteydelse, som en udbyder tilbyder, kan frembringes ved at kombinere tjenester fra en række andre udbydere, som dynamisk kan tilføjes eller fjernes i kontraktens løbetid. o Manglende interveneringsmulighed (de registreredes rettigheder). En cloud-udbyder tilvejebringer måske ikke de nødvendige foranstaltninger og redskaber til at bistå den registeransvarlige med at forvalte oplysningerne med hensyn til f.eks. adgang til eller sletning eller rettelse af oplysninger. o Manglende isolation: En cloud-udbyder benytter måske sin fysiske kontrol over oplysninger fra forskellige kunder til at sammenkæde personoplysninger. Hvis administratorer får tildelt tilstrækkeligt privilegerede adgangsrettigheder (højrisikoroller), kan de sammenkæde oplysninger fra forskellige kunder. Manglende oplysninger om databehandling (gennemsigtighed) Utilstrækkelige informationer om databehandlingsopgaverne i forbindelse med en cloudtjenesteydelse udgør en risiko for de registeransvarlige samt for de registrerede, fordi de måske ikke er opmærksomme på de potentielle trusler og risici og således ikke kan træffe de foranstaltninger, de anser for at være passende. Nogle potentielle trusler kan opstå, fordi den registeransvarlige ikke ved, at o Der er tale om kædebehandling, som involverer flere forskellige registerførere og underleverandører. o Personoplysninger behandles på forskellige geografiske lokaliteter inden for EØS. Dette påvirker direkte lovvalgsreglerne for alle de uoverensstemmelser om databeskyttelse, som måtte opstå mellem bruger og udbyder. o Personoplysninger videregives til tredjelande uden for EØS. Tredjelande yder måske ikke et tilstrækkeligt databeskyttelsesniveau, og videregivelser er måske ikke sikret via passende foranstaltninger (f.eks. standardkontraktbestemmelser eller bindende virksomhedsregler) og kan således være ulovlige. Det er et krav, at de registrerede, hvis personoplysninger behandles i "skyen", informeres om den registeransvarliges identitet og formålet med behandlingen (et allerede eksisterende krav for alle registeransvarlige ifølge databeskyttelsesdirektiv 95/46/EF). I betragtning af den potentielle kompleksitet ved behandlingskæder i et cloud computingmiljø bør de registeransvarlige for at garantere en loyal behandling af personoplysninger i forhold til den registrerede (artikel 10 i direktiv 95/46/EF) også i overensstemmelse med god skik give yderligere informationer om de (subkontraherede) registerførere, der stiller cloud-tjenesterne til rådighed. 7

8 3. Lovgrundlag 3.1 Databeskyttelsesrammer Det relevante lovgrundlag er databeskyttelsesdirektiv 95/46/EF. Dette direktiv finder anvendelse i alle tilfælde, hvor personoplysninger behandles som følge af anvendelse af cloud computing-tjenester. Direktivet om databeskyttelse inden for elektronisk kommunikation 2002/58/EF (som ændret ved direktiv 2009/136/EF) finder anvendelse på behandlingen af personoplysninger i forbindelse med levering af offentligt tilgængelige elektroniske kommunikationstjenester i offentlige kommunikationsnetværk (teleoperatører) og er således relevant, hvis sådanne tjenester leveres via en cloud-løsning Lovvalgsregler Kriterierne for at fastslå, om lovgivningen finder anvendelse, fremgår af artikel 4 i direktiv 95/46/EF, hvor der henvises til, at loven finder anvendelse på registeransvarlige 6 med en eller flere virksomheder inden for EØS, og at loven også finder anvendelse på registeransvarlige, der er etableret uden for EØS, men anvender midler, der befinder sig i EØS, til at behandle personoplysninger. Artikel 29-Gruppen har analyseret denne problemstilling i sin udtalelse 8/2010 om lovvalgsregler 7. Det, der i første omgang udløser, at EU-lovgivningen finder anvendelse på den registeransvarlige, er beliggenheden af vedkommendes virksomhed og de aktiviteter, der udføres, jf. artikel 4, stk. 1, litra a, i direktivet, idet typen af cloud-tjenesteydelse er irrelevant. Den gældende lovgivning er loven i det land, hvor den registeransvarlige, der indgår kontrakt om cloud computing-tjenester, er etableret, snarere end det sted, hvor cloud computingudbyderne befinder sig. Hvis den registeransvarlige er etableret i flere forskellige medlemsstater, og databehandling udgør en del af vedkommendes aktiviteter i disse lande, skal lovvalgsreglerne være de regler, der findes i de enkelte medlemsstater, i hvilke denne behandling finde sted. Artikel 4, stk. 1, litra c, 8 omhandler, hvordan databeskyttelseslovgivningen finder anvendelse på registeransvarlige, der ikke er etableret i EØS, men anvender elektroniske eller ikkeelektroniske midler, der befinder sig på medlemsstatens område, medmindre disse kun benyttes med henblik på forsendelse. Det vil sige, at hvis en cloud-kunde er etableret uden for Direktiv 2002/58/EF om databeskyttelse inden for elektronisk kommunikation (som ændret ved direktiv 2009/136/EF): Direktiv 2002/58/EF om databeskyttelse inden for elektronisk kommunikation finder anvendelse på udbydere af elektroniske kommunikationstjenester, der stilles til rådighed for offentligheden, og det pålægges udbyderne at sikre, at de overholder forpligtelserne angående hemmeligholdelse af kommunikation og beskyttelse af personoplysninger samt angående rettigheder og forpligtelser med hensyn til elektroniske kommunikationsnet og tjenester. Hvis cloud computing-udbydere fungerer som leverandører af en offentligt tilgængelig elektronisk kommunikationstjenesteydelse, vil de være omfattet af dette direktiv. Begrebet "registeransvarlig" fremgår af artikel 2, litra h, i direktivet og blev analyseret af Artikel 29- arbejdsgruppen i dens udtalelse 1/2010 om begreberne registeransvarlige og registerførere. Af artikel 4, stk. 1, litra c, fremgår det, at lovgivningen i en medlemsstat skal finde anvendelse på behandling af personoplysninger, "der foretages af en registeransvarlig, der ikke er etableret på Fællesskabets område, og som med henblik på behandling af personoplysninger anvender midler, det være sig elektroniske eller ikke-elektroniske, som befinder sig på den pågældende medlemsstats område, medmindre disse midler kun benyttes med henblik på forsendelse gennem Det Europæiske Fællesskabs område". 8

9 EØS, men indgår aftale med en cloud-udbyder, der befinder sig i EØS, "eksporterer" udbyderen databeskyttelseslovgivningen til kunden. 3.3 De forskellige aktørers pligter og ansvar Som tidligere tilkendegivet involverer cloud computing en række forskellige aktører. Det er vigtigt at vurdere og præcisere hver enkelt af disse aktørers rolle for at få fastslået deres specifikke pligter vedrørende den nuværende databeskyttelseslovgivning. Man bør erindre, at WP29 i sin udtalelse 1/2010, for så vidt angår begreberne "registeransvarlig" og "registerfører", påpegede, at "formålet med begrebet den registeransvarlige først og fremmest er at fastlægge, hvem der er ansvarlig for, at databeskyttelsesreglerne overholdes, og hvordan de registrerede kan udøve disse rettigheder i praksis. Med andre ord: at tildele ansvar." Disse to generelle kriterier vedrørende overholdelse og tildeling af ansvar bør de involverede parter have in mente i hele den pågældende analyse Cloud-kunde og cloud-udbyder Cloud-kunden fastlægger det endelige formål med behandlingen og træffer beslutning om outsourcing af denne behandling, og uddelegeringen af alle eller en del af databehandlingsopgaverne til en ekstern virksomhed. Cloud-kunden fungerer dermed som registeransvarlig. I direktivet fastlægges en registeransvarlig som "den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger". Cloud-kunden skal som registeransvarlig påtage sig sit ansvar for at overholde databeskyttelseslovgivningen og bærer ansvaret og er underlagt alle de lovbestemte pligter, som er omhandlet i direktiv 95/46/EF. Cloud-kunden kan pålægge cloud-udbyderen opgaven med at finde metoderne og de tekniske eller organisatoriske foranstaltninger, der skal anvendes for at nå den registeransvarliges mål. Cloud-udbyderen er den enhed, som tilvejebringer cloud computing-tjenesterne i de forskellige ovenfor beskrevne former. Når cloud-udbyderen tilvejebringer hjælpemidlerne og platformen og optræder på cloud-kundens vegne, betragtes cloud-udbyderen som en registerfører, jf. direktiv 95/46/EF "den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der [alene eller sammen med andre] behandler personoplysninger på den registeransvarliges vegne". 910 Som anført i udtalelse 1/2010 kan man anvende visse kriterier 11 til at vurdere, hvem der er registeransvarlig for behandlingen. Faktisk kan der være situationer, hvor en udbyder af cloud-tjenester kan betragtes som enten fælles registeransvarlig eller som registeransvarlig alene afhængigt af de konkrete omstændigheder. Dette kan f.eks. være tilfældet, hvis udbyderen behandler oplysninger til egne formål. Det bør understreges, at selv i komplekse databehandlingsmiljøer, hvor flere forskellige registeransvarlige er involveret i behandlingen af persondata, skal ansvarsfordelingen være I denne udtalelse fokuseres der kun på den almindelige registeransvarlig-registerfører-relation. Cloud computing-miljøet kan også anvendes af fysiske personer (brugere) til at foretage helt personlige eller hjemlige aktiviteter. I så fald skal det analyseres grundigt, om den såkaldte undtagelse for private finder anvendelse, hvor man fritager brugere fra at fungere som registeransvarlige. Dette spørgsmål ligger imidlertid uden for rammerne af denne udtalelse. F.eks. omfanget af instrukser, kontrol fra cloud-kundens side, parternes ekspertise. 9

10 klar med hensyn til overholdelse af databeskyttelsesbestemmelserne og eventuelt overtrædelse af disse bestemmelser for at undgå, at beskyttelsen af personoplysninger begrænses, eller at der opstår en "kompetencestrid" og uafklarede situationer, hvor nogle af pligterne eller rettighederne ifølge direktivet ikke varetages af nogen af parterne. I det nuværende cloud computing-scenarie har cloud computing-kunder måske ikke så stort et spillerum ved forhandling af kontraktbetingelserne for anvendelse af cloud-tjenester, da mange cloud computing-tjenester er kendetegnet ved standardiserede tilbud. Ikke desto mindre er det i sidste ende kunden, der tager beslutning om at få nogle af eller alle sine databehandlingsopgaver løst via cloud-tjenester med et specifikt formål for øje, og cloududbyderens rolle er at være leverandør i forhold til kunden, hvilket i denne forbindelse er det afgørende punkt. Som det fremgår af Artikel 29-Gruppens udtalelse 1/ om begreberne registeransvarlig og registerfører, "skal misforholdet mellem en lille registeransvarligs kontraktlige beføjelser og store tjenesteudbydere ikke anses for at berettige den registeransvarlige til at acceptere vilkår og betingelser i kontrakter, som ikke er i overensstemmelse med databeskyttelseslovgivningen". Den registeransvarlige skal derfor vælge en cloud-udbyder, der garanterer, at databeskyttelseslovgivningen bliver overholdt. Der skal lægges særlig vægt på indholdet i de pågældende kontrakter de skal omfatte en række standardiserede databeskyttelsessikkerhedsforanstaltninger, herunder de foranstaltninger, der er beskrevet i punkt (Tekniske og organisatoriske foranstaltninger) og i punkt 3.5 (Internationale videregivelser) samt eventuelle supplerende mekanismer, som kan vise sig at være egnede til at fremme due diligence og ansvarlighed (såsom uvildig tredjepartsaudit og certificering af en udbyders tjenester jf. punkt 4.2). Cloud-udbydere har (som registerførere) pligt til at sikre fortrolighed. Af direktiv 95/46/EF fremgår det: "Enhver, der udfører arbejde under den registeransvarlige eller registerføreren, herunder registerføreren selv, og som får adgang til personoplysninger, må kun behandle disse efter instruks fra den registeransvarlige, bortset fra tilfælde der er fastsat i lovgivningen." Cloud-udbyderens adgang til oplysninger i forbindelse med levering af tjenesteydelserne er også principielt fastsat via kravet om, at man skal overholde bestemmelserne i direktivets artikel 17 jf. punkt Registerførere skal tage højde for, hvilken type "sky", der er tale om (offentlig, privat, fælles eller en hybrid / IaaS, SaaS eller PaaS [jf. bilag a) Rollout-modeller b) Servicemodeller]), og hvilken type tjenesteydelse, kunden har indgået kontrakt om. Registerførere er ansvarlige for at indføre sikkerhedsforanstaltninger i overensstemmelse med dem, der fremgår af EU's lovgivning, sådan som de finder anvendelse i hhv. den registeransvarliges og registerførerens jurisdiktion. Registerførere skal også støtte og bistå den registeransvarlige med at overholde de registreredes (udøvede) rettigheder Underleverandører Cloud computing-tjenester kan indebære inddragelse af en række kontrahenter, der fungerer som registerførere. Det er også almindeligt, at registerførere indgår aftaler med underkontraherede registerførere, der så får adgang til personoplysninger. Hvis registerførere indgår aftaler om levering af tjenester med underkontraherede registerførere, har de pligt til at oplyse kunden om dette og nærmere beskrive den type tjenesteydelse, der er indgået aftale med underleverandøren om, og detaljerne om de nuværende eller potentielle 12 Udtalelse 1/2010 om begreberne "registeransvarlig" og "registerfører" 10

11 underleverandører og garantere, at disse virksomheder tilbyder udbyderen af cloud computing-tjenester at overholde direktiv 95/46/EF. Alle relevante pligter skal derfor også gælde for de underkontraherede registerførere via kontrakter mellem cloud-udbyderen og underleverandøren, hvori bestemmelserne i kontrakten mellem cloud-kunde og cloud-udbyder kommer til udtryk. I sin udtalelse 1/2010 om begreberne "registeransvarlig" og "registerfører" henviste Artikel 29-Gruppen til situationen med flere forskellige registerførere, hvor registerførere kan have en direkte relation til den registeransvarlige eller fungere som underleverandører, hvis registerførere outsourcer en del af det databehandlingsarbejde, de har fået til opgave at foretage. "Der er intet i direktivet, som forhindrer, at flere enheder på grund af organisatoriske krav kan udnævnes til registerførere eller (under-)registerførere, endda ved at underinddele de relevante opgaver. De skal dog alle følge de instrukser, som den registeransvarlige giver dem, under behandlingen." 13. I sådanne scenarier bør de forpligtelser og det ansvar, der udspringer af databeskyttelseslovgivningen, fremgå klart og ikke være spredt i hele outsourcing- eller underleverancekæden for at sikre effektiv kontrol over og tildele et klart ansvar for databehandlingen. En evt. model for disse sikkerhedsforanstaltninger, der kan anvendes til at præcisere registerføreres forpligtelser, når de outsourcer databehandling, blev første gang introduceret i Kommissionens afgørelse af den 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande 14. I denne model er udlicitering kun tilladt med forudgående skriftligt samtykke fra den registeransvarlige og med en skriftlig aftale, der pålægger den underkontraherede registerfører samme forpligtelser, som er pålagt registerføreren. Hvis den underkontraherede registerfører ikke opfylder sine databeskyttelsesforpligtelser i henhold til en sådan skriftlig aftale, er registerføreren fuldt ansvarlig over for den registeransvarlige for, at den underkontraherede registerførers forpligtelser i henhold til en sådan aftale opfyldes. En formulering af denne type kan anvendes i alle kontraktbestemmelser mellem en registeransvarlig og en cloudtjenesteudbyder, hvis sidstnævnte agter at levere tjenesteydelser via underleverance, for at sikre de nødvendige garantier for udliciteringen. Kommissionen har for nylig foreslået en tilsvarende løsning vedrørende sikkerhedsforanstaltninger i forbindelse med udlicitering i forslaget om en generel databeskyttelsesforordning 15. En registerførers handlinger skal fastlægges i en kontrakt eller et andet retligt bindende dokument mellem registerføreren og den registeransvarlige, hvori det bl.a. fastsættes, at registerføreren kun må gøre brug af en anden registerfører med forudgående tilladelse fra den registeransvarlige (forslagets artikel 26, stk. 2). Efter WP29's opfattelse kan registerføreren kun udlicitere sine aktiviteter på baggrund af den registeransvarliges samtykke, som kan gives generelt, når leveringen af tjenesteydelsen 16 påbegyndes, med en klar forpligtelse for registerføreren til at informere den registeransvarlige om alle påtænkte ændringer vedrørende tilføjelse eller udskiftning af underleverandører, idet den registeransvarlige til enhver tid fortsat har mulighed for at gøre Jf. WP169, s. 29, udtalelse 1/2010 om begreberne "registeransvarlig" og "registerfører" (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf) Jf. FAQ II.5 i WP176. Forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, den 25. januar Jf. FAQ II, 1) i WP176, vedtaget den 12. juli

12 indsigelse mod sådanne ændringer eller bringe kontrakten til ophør. Der bør være en klar forpligtelse for cloud-udbyderen til at oplyse navnet på samtlige underleverandører, der er indgået aftale med. Desuden bør der indgås en kontrakt mellem cloud-udbyder og underleverandør, hvori bestemmelserne i kontrakten mellem cloud-kunde og cloud-udbyder kommer til udtryk. Den registeransvarlige bør kunne benytte sig af kontraktlige regresmuligheder i tilfælde af kontraktbrud på grund af de underkontraherede registerførere. Dette kan lade sig gøre ved at sikre, at registerføreren er direkte ansvarlig over for den registeransvarlige for ethvert brud forårsaget af de eventuelle underkontraherede registerførere, han har gjort brug af, eller ved, at man indfører en tredjepartsrettighed til gunst for den registeransvarlige i kontrakter indgået mellem registerføreren og de underkontraherede registerførere, eller ved, at disse kontrakter indgås på vegne af den registeransvarlige, hvorved denne senere bliver medkontrahent. 3.4 Databeskyttelseskrav i relationen mellem kunde og udbyder Overholdelse af grundprincipper Lovmæssigheden af behandlingen af personoplysninger i "skyen" afhænger af, om man overholder grundprincipperne i EU's databeskyttelseslov, nemlig at gennemsigtigheden over for de registrerede skal garanteres, princippet om formålsspecifikation og -begrænsning skal overholdes, og personoplysninger skal slettes, så snart det ikke er nødvendigt at have dem mere. Desuden skal der gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre en tilstrækkelig grad af databeskyttelse og datasikkerhed Gennemsigtighed Gennemsigtighed er af central betydning for en loyal og lovlig behandling af personoplysninger. I direktiv 95/46/EF forpligtes cloud-kunden til at informere en registreret part, om hvem der indsamles personoplysninger, om den registeransvarliges identitet og formålet med behandlingen. Cloud-kunden bør også give alle yderligere informationer som f.eks. om modtagerne eller typen af modtagere af personoplysninger, herunder også registerførere og underkontraherede registerførere, for så vidt at sådanne yderligere informationer er nødvendige for at garantere en fair behandling af personoplysninger i forhold til den registrerede (jf. direktivets artikel 10) 17. Gennemsigtighed skal også sikres i relationen(-erne) mellem cloud-kunde, cloud-udbyder og underleverandører (hvis aktuelt). Cloud-kunden kan kun vurdere lovmæssigheden af behandlingen af personoplysninger i "skyen", hvis udbyderen informerer kunden om alle relevante spørgsmål. En registeransvarlig, der overvejer at indgå aftale med en cloud-udbyder, bør nøje gennemgå cloud-udbyderens betingelser og vilkår og vurdere dem set ud fra et databeskyttelsessynspunkt. Gennemsigtighed i "skyen" betyder, at det er nødvendigt for cloud-kunden at blive gjort opmærksom på alle de underleverandører, der bidrager til levering af den pågældende cloudtjenesteydelse, samt beliggenheden af alle de datacentre, hvor personoplysningerne måtte blive behandlet. 18 Hvis levering af tjenesteydelsen kræver installation af software på cloud-kundens systemer (f.eks. en browser-plug-in), bør cloud-udbyderen i overensstemmelse med god skik informere En tilsvarende forpligtelse til at informere den registrerede part findes, når data, der ikke er indhentet fra den registrerede part selv, men fra andre kilder, registreres eller videregives til en tredjepart (jf. artikel 11). Kun da vil han kunne vurdere, hvorvidt personoplysningerne må videresendes til et såkaldt tredjeland uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), hvor der ikke er sikkerhed for et tilstrækkeligt beskyttelsesniveau i den forstand, hvori udtrykket er anvendt i direktiv 95/46/EF. Jf. også punkt nedenfor. 12

13 kunden herom og især om konsekvenserne set ud fra et databeskyttelses- og datasikkerhedssynspunkt. Omvendt bør cloud-kunden på forhånd tage sagen op, hvis cloududbyderen ikke i tilstrækkelig grad har taget hånd om spørgsmålet Formålsspecifikation og -begrænsning Princippet om formålsspecifikation og -begrænsning kræver, at personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål, samt at senere behandling heraf ikke må være uforenelig med disse formål (jf. artikel 6, stk. 1, litra b, i direktiv 95/46/EF). Cloudkunden skal præcisere formålet(-ene) med behandlingen inden indsamlingen af personoplysninger fra de registrerede og informere de registrerede derom. Cloud-kunden må ikke behandle personoplysninger til andre formål, som ikke er forenelige med de oprindelige formål. Desuden skal det sikres, at cloud-udbyderen eller en af hans underleverandører ikke (ulovligt) behandler personoplysninger til yderligere formål. Da et typisk cloud-scenarie let kan involvere et stort antal underleverandører, må risikoen for behandling af personoplysninger til yderligere, uforenelige formål derfor vurderes at være ret høj. For at begrænse denne risiko bør kontrakten mellem cloud-leverandør og cloud-kunde også omfatte tekniske og organisatoriske foranstaltninger, hvormed man kan imødegå risikoen og yde sikkerhed mod logning og audit af de pågældende aktiviteter vedrørende behandling af personoplysninger, som foretages af cloud-udbyderens ansatte eller underleverandørerne. 19 Kontrakten bør indeholde bestemmelser om sanktioner over for udbyderen eller underleverandøren, hvis databeskyttelseslovgivningen ikke overholdes Sletning af personoplysninger Ifølge artikel 6, stk. 1, litra e, i direktiv 95/46/EF må personoplysninger ikke lagres på en måde, der giver mulighed for at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne indsamles, eller i forbindelse med hvilke de behandles på et senere tidspunkt. Personoplysninger, som ikke mere er nødvendige, skal slettes eller fuldstændig anonymiseres. Hvis disse personoplysninger ikke kan slettes på grund af regler om, at det er lovpligtigt at lagre dem (f.eks. skattebestemmelser), bør adgangen til disse personoplysninger blokeres. Det påhviler cloud-kunden at sikre, at personoplysninger slettes, så snart de ikke mere er nødvendige i ovennævnte forstand 20. Princippet om sletning af personoplysninger finder anvendelse på personoplysninger, uanset om de lagres på harddiske eller på andre lagringsmedier (f.eks. backuptape). Da personoplysninger evt. lagres som ekstrakopi på forskellige servere på forskellige lokaliteter, skal man sikre, at hver enkelt forekomst af dem slettes uigenkaldeligt (dvs. at tidligere versioner, midlertidige filer og selv filfragmenter ligeledes skal slettes). Cloud-kunder skal være klar over, at registreringsdata, 21 der fremmer mulighederne for audit af f.eks. lagring, ændringer eller sletning af oplysninger, også kan opfylde betingelserne for personoplysninger om den person, der tog initiativ til den pågældende behandling. 22 Sikker sletning af personoplysninger kræver enten, at lagringsmedierne tilintetgøres eller afmagnetiseres, eller at de lagrede personoplysninger slettes på en effektiv måde via Jf. punkt nedenfor. Sletning af personoplysninger er noget, der er aktuelt både i den periode, cloud computing-kontrakten løber, og efter dens udløb. Det er også et relevant punkt, hvis en underleverandør bliver erstattet med en anden eller trækker sig ud. Bemærkninger om logningskrav fremgår af punkt nedenfor. Det vil sige, at der skal fastlægges nogle rimelige perioder for varigheden af lagringen af logfilerne, og at der skal være nogle processer, som sikrer rettidig sletning eller anonymisering af disse oplysninger. 13

14 overskrivning. Til overskrivning af personoplysninger bør der anvendes særlige softwareredskaber, som overskriver data flere gange i overensstemmelse med en anerkendt specifikation. Cloud-kunden bør drage omsorg for, at cloud-udbyderen sørger for sikker sletning i ovennævnte betydning, og at kontrakten mellem udbyderen og kunden indeholder en klar bestemmelse om, at personoplysningerne skal slettes 23. Det samme gør sig gældende for kontrakter mellem cloud-udbydere og underleverandører Kontraktlige sikkerhedsforanstaltninger i forbindelse med relationen(-erne) mellem "registeransvarlig" og "registerfører" Hvis registeransvarlige beslutter sig for at indgå kontrakt om cloud computing-tjenester, skal de vælge en registerfører, der stiller tilstrækkelige garantier med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger, som den behandling, der skal foretages, er underlagt, og skal sikre at disse foranstaltninger overholdes (artikel 17, stk. 2, i direktiv 95/46/EF). Desuden er de juridisk forpligtet til at indgå en formel kontrakt med cloud-tjenesteudbyderen som fastsat i artikel 17, stk. 3, i direktiv 95/46/EF. I denne artikel fastlægges det, at der skal forefindes en kontrakt eller et andet retligt bindende dokument, der fastlægger relationen mellem den registeransvarlige og registerføreren. Med henblik på opbevaring af beviserne skal de dele i kontrakten eller det retlige dokument, der vedrører beskyttelse af oplysninger, og kravene vedrørende de tekniske og organisatoriske foranstaltninger foreligge skriftligt eller i en anden tilsvarende form. I kontrakten skal det som minimum især fastlægges, at registerføreren skal følge den registeransvarliges instrukser, og at registerføreren skal gennemføre tekniske og organisatoriske foranstaltninger for i tilstrækkelig grad at beskytte personoplysninger. Af hensyn til retssikkerheden bør kontrakten også indeholde følgende punkter: 1. Detaljer om (omfanget og modaliteten af) kundens instrukser, der skal tilgå udbyderen og især med hensyn til gældende serviceaftaler (der bør være objektive og målelige) og de relevante sanktioner (bl.a. økonomiske, herunder muligheden for at sagsøge udbyderen i tilfælde af manglende overholdelse). 2. Specifikation af sikkerhedsforanstaltninger, som cloud-udbyderen skal overholde afhængigt af risiciene ved behandlingen og beskaffenheden af de personoplysninger, der skal beskyttes. Det har stor betydning, at de konkrete tekniske og organisatoriske foranstaltninger er præciseret som f.eks. de foranstaltninger, der fremgår af punkt nedenfor. Dette er med forbehold af anvendelse af eventuelle strengere foranstaltninger, som måtte fremgå af kundens nationale lovgivning. 3. Genstand og tidsramme for den cloud-tjenesteydelse, cloud-udbyderen skal levere, omfang, måde og formål, så vidt angår cloud-udbyderens behandling af personoplysninger, samt typen af behandlede personoplysninger. 4. Specifikation af betingelserne for tilbagelevering af (person-)oplysningerne eller tilintetgørelse af oplysningerne, når levering af tjenesteydelsen er afsluttet. Det skal desuden sikres, at personoplysninger slettes sikkert på cloud-kundens anmodning. 5. Indføjelse af en fortrolighedsbestemmelse, som er bindende for både cloud-udbyderen og alle de ansatte, der måtte få adgang til oplysningerne. Kun autoriserede personer kan få adgang til de pågældende oplysninger. 23 Jf. punkt nedenfor. 14

15 6. Udbyderens pligt til at støtte kunden i at gøre det lettere at udøve de registreredes rettigheder til at få adgang til, korrigere eller slette deres oplysninger. 7. Det bør i kontrakten udtrykkeligt fastlægges, at cloud-udbyderen ikke må viderebringe oplysningerne til tredjepart, selv med beskyttelse for øje, medmindre det fremgår af kontrakten, at der vil være underleverandører. Det bør i kontrakten præciseres, at der kun kan hverves underkontraherede registerførere på baggrund af et samtykke, som den registeransvarlige kan give generelt i overensstemmelse med en klar forpligtelse for registerføreren til at informere den registeransvarlige om påtænkte ændringer i så henseende, idet den registeransvarlige til enhver tid har muligheden for at gøre indsigelse mod sådanne ændringer eller at bringe kontrakten til ophør. Cloududbyderen bør have en klar forpligtelse til at oplyse navnet på samtlige underleverandører, der er indgået aftale med (f.eks. i et offentligt digitalt register). Det skal sikres, at kontrakter mellem cloud-udbyder og underleverandør giver udtryk for bestemmelserne i kontrakten mellem cloud-kunde og cloud-udbyder (dvs. at underkontraherede registerførere er underlagt de samme kontraktlige pligter som cloud-udbyderen). Det skal især garanteres, at både cloud-udbyder og samtlige underleverandører kun optræder efter instrukser fra cloud-kunden. Som anført i afsnittet om udlicitering bør ansvarskæden fremgå tydeligt af kontrakten. Det bør fremgå, at registerføreren har pligt til at udforme aftaler om internationale videregivelser, f.eks. ved at indgå kontrakter med underkontraherede registerførere på baggrund af standardkontraktbestemmelserne i 2010/87/EU. 8. Præcisering af cloud-udbyderens ansvar for at underrette cloud-kunden i tilfælde af en overtrædelse af reglerne om databeskyttelse, der vedrører cloud-kundens oplysninger. 9. Cloud-udbyderens pligt til at tilvejebringe en liste over lokaliteter, hvor oplysningerne måtte blive behandlet. 10. Den registeransvarliges ret til at føre kontrol og cloud-udbyderens tilsvarende forpligtelse til at samarbejde. 11. Det bør i kontrakten fastsættes, at cloud-udbyderen skal informere kunden om relevante ændringer med hensyn til den pågældende cloud-tjenesteydelse såsom implementering af yderligere funktioner. 12. Kontrakten bør indeholde en bestemmelse om logning og audit af relevante aktiviteter vedrørende den behandling af personoplysninger, som cloud-udbyderen eller underleverandørerne foretager. 13. Meddelelse til cloud-kunden om retshåndhævende myndigheders retligt bindende anmodninger om videregivelse af personoplysninger, medmindre dette på anden måde er forbudt som for eksempel ved et forbud ifølge strafferetten med henblik på at sikre fortrolighed i efterforskningssager. 14. Udbyderens generelle pligt til at give sikkerhed for, at vedkommendes interne organisation og databehandlingsdispositioner (og eventuelle underkontraherede registerføreres dispositioner) overholder de gældende nationale og internationale lovkrav og standarder. I tilfælde af den registeransvarliges overtrædelse skal enhver person, der lider skade som følge retsstridig behandling, være berettiget til at modtage erstatning fra den registeransvarlige for den voldte skade. Skulle registerførerne anvende oplysningerne til noget andet formål eller viderebringe dem eller anvende dem på en måde, der er i strid med kontrakten, skal de også anses for at være registeransvarlige og skal holdes ansvarlige for de overtrædelser, i hvilke de personligt var involveret. 15

16 Det skal bemærkes, at cloud-tjenesteudbydere i mange tilfælde tilbyder standardtjenester og -kontrakter, der skal underskrives af registeransvarlige, og som indeholder et standardformat for behandling af personoplysninger. Misforholdet mellem en lille registeransvarligs kontraktlige beføjelser og store tjenesteudbydere bør ikke anses for at berettige registeransvarlige til at acceptere vilkår og betingelser i kontrakter, som ikke er i overensstemmelse med databeskyttelsesloven Tekniske og organisatoriske foranstaltninger i forbindelse med databeskyttelse og datasikkerhed I artikel 17, stk. 2, i direktiv 95/46/EF tillægger man cloud-kunder (der fungerer som registeransvarlige) det fulde ansvar for at vælge cloud-udbydere, der gennemfører tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af personoplysninger, og at kunne udvise ansvarlighed. Ud over de centrale sikkerhedsmål vedrørende tilgængelighed, fortrolighed og integritet skal der også fokuseres på de supplerende databeskyttelsesmål vedrørende gennemsigtighed (jf ovenfor), isolation 24, interveneringsmulighed, ansvarlighed og portabilitet. I dette afsnit fokuseres der på disse centrale databeskyttelsesmål, uden at det berører andre supplerende sikkerhedsrelaterede risikoanalyser Tilgængelighed Levering af tilgængelighed betyder, at man sikrer rettidig og pålidelig adgang til personoplysninger. En alvorlig trussel vedrørende tilgængelighed i "skyen" er tilfældigt tab af netværksforbindelse mellem kunden og udbyderen eller manglende serverfunktion som følge af ondsindede handlinger som f.eks. (Distributed) Denial of Service (DoS) 26 -angreb. Andre risici vedrørende tilgængelighed omfatter tilfældige hardwarefejl både på netværket og i cloud-behandlingssystemerne og datalagringssystemerne, strømsvigt og andre problemer med infrastrukturen. Registeransvarlige bør kontrollere, om cloud-udbyderen har indført rimelige foranstaltninger til at kunne håndtere risikoen for forstyrrelser som f.eks. backup via onlinenetværksforbindelser, reservelagring og effektive mekanismer til databackup Integritet Integritet kan defineres som den egenskab, at oplysninger er autentiske og ikke med ond vilje eller tilfældigt er blevet ændret under behandlingen, lagringen eller videregivelsen. Begrebet integritet kan udvides til at omfatte it-systemer og kræver, at behandlingen af personoplysninger på disse systemer forbliver uændret. Påvisning af ændringer af personoplysninger kan ske ved kryptografiske autentificeringsmekanismer som f.eks. beskedautentificeringskoder eller -underskrifter I Tyskland har man indført det bredere begreb "unlinkability" i lovgivningen, og det har fundet støtte på den europæiske konference for datatilsynsmyndigheder. Jf. f.eks. ENISA på Et DoS-angreb er et koordineret forsøg på at gøre en computer eller et netværk utilgængeligt for de autoriserede brugere, enten midlertidigt eller på ubestemt tid (f.eks. ved at et stort antal angrebssystemer lammer deres mål med en lang række eksterne kommunikationsanmodninger). 16

17 Indgreb i it-systemers integritet i "skyen" kan hindres eller påvises ved hjælp af systemer, der forhindrer uautoriseret adgang til et netværk (IPS/IDS). Dette er særdeles vigtigt i den type åbne netværksmiljøer, hvori cloud-løsninger sædvanligvis afvikles Fortrolighed I et cloud-miljø kan kryptering i høj grad bidrage til fortroligheden af personoplysninger, hvis krypteringen gennemføres korrekt, selv om den ikke gør personoplysninger uigenkaldeligt anonyme 27. Kryptering af personoplysninger bør anvendes i alle tilfælde, når oplysninger "er på vej", og hvis muligt når oplysningerne er "i ro". 28 I nogle tilfælde (f.eks. en IaaSlagringstjenesteydelse) ønsker en cloud-kunde måske ikke at benytte sig af den krypteringsløsning, som cloud-udbyderen tilbyder, men vælger måske at kryptere personoplysningerne, inden de videresendes til "skyen". Kryptering af oplysninger "i ro" kræver særlig fokus på forvaltningen af kryptografiske nøgler, da datasikkerheden så ultimativt afhænger af fortroligheden i forbindelse med krypteringsnøglerne. Kommunikationen mellem cloud-udbyder og kunde samt mellem datacentrene bør være krypteret. Fjernadministration af cloud-platformen bør kun finde sted via en sikker kommunikationskanal. Hvis en kunde ikke bare påtænker at lagre, men også viderebehandle personoplysninger i "skyen" (f.eks. søgning i databaser), skal vedkommende huske, at krypteringen ikke kan opretholdes under databehandlingen (bortset fra særdeles specielle beregninger). Yderligere tekniske foranstaltninger, der har til formål at sikre fortrolighed, omfatter autorisationsmekanismer og effektiv autentificering (f.eks. autentificering med to faktorer). Via kontraktbestemmelser bør ansatte hos cloud-kunder, cloud-udbydere og underleverandører også pålægges fortrolighedspligt Gennemsigtighed Tekniske og organisatoriske foranstaltninger skal underbygge gennemsigtigheden og gøre det muligt at foretage en evaluering, jf Isolation (formålsbegrænsning) I cloud-infrastrukturer er der mange parter, som er fælles om ressourcerne som f.eks. lagerkapacitet, hukommelse og netværk. Dette skaber nye risici for, at oplysninger videregives og behandles med ulovlige formål for øje. Formålet med beskyttelsesmålet "isolation" er at tage hånd om denne problemstilling og medvirke til at garantere, at oplysninger ikke anvendes til andet end det oprindelige formål (artikel 6, stk. 1, litra b, i direktiv 95/46/EF), og opretholde fortroligheden og integriteten. 29 Opnåelse af isolation kræver for det første tilstrækkelig styring af rettighederne og rollerne vedrørende adgang til personoplysninger, hvilket evalueres regelmæssigt. Gennemførelse af roller med alt for omfattende privileger bør undgås (f.eks. bør ingen bruger eller administrator autoriseres til at have adgang til hele "skyen"). Mere generelt skal administratorer og brugere Direktiv 95/46/EC betragtning 26: "(...) beskyttelsesprincipperne gælder ikke oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres; (...)". På tilsvarende måde vil de tekniske datafragmenteringsprocesser, der kan anvendes i forbindelse med levering af CC-tjenester, ikke føre til uigenkaldelig anonymisering og indebærer dermed ikke, at databeskyttelsespligten ikke finder anvendelse. Dette gælder især for registeransvarlige, der påtænker at videregive følsomme oplysninger i den forstand, hvori udtrykket er anvendt i artikel 8 i direktiv 95/46/EF (f.eks. helbredsoplysninger) til "skyen", eller som er underlagt særlige juridiske forpligtelser vedrørende tavshedspligt. Jf

18 kun kunne få adgang til de oplysninger, der er nødvendige til deres lovlige formål (princippet om mindst mulig forret, "least privilege"). For det andet kommer isolation også an på tekniske foranstaltninger som f.eks. "hærdning" af hypervisorer og hensigtsmæssig forvaltning af fælles ressourcer, hvis der anvendes virtuelle maskiner til at dele de fysiske ressourcer mellem forskellige cloud-kunder Interveneringsmulighed Ifølge direktiv 95/46/EF har den registrerede ret til adgang, berigtigelse, sletning, blokering og indsigelse (jf. artikel 12 og 14). Cloud-kunden skal kontrollere, at cloud-udbyderen ikke lægger tekniske og organisatoriske hindringer i vejen for disse krav, bl.a. hvis oplysningerne viderebehandles af underleverandører. Kontrakten mellem kunden og udbyderen bør indeholde en bestemmelse om, at cloududbyderen er forpligtet til at støtte kunden med hensyn til at gøre det lettere at udøve de registreredes rettigheder og sikre, at det samme gør sig gældende for hans relation til en eventuel underleverandør Portabilitet I øjeblikket gør de færreste cloud-udbydere brug af standarddataformater og serviceinterface, der fremmer interoperabilitet og portabilitet mellem forskellige cloud-udbydere. Hvis en cloud-kunde beslutter sig for at gå fra en cloud-udbyder over til en anden, kan denne manglende interoperabilitet resultere i, at der er umuligt eller i det mindste vanskeligt at videregive kundens (person-)oplysninger til den nye cloud-udbyder (såkaldt leverandørafhængighed). Det samme gør sig gældende for tjenester, som kunden har udviklet på en platform, som den oprindelige cloud-udbyder tilbyder (PaaS). Cloud-kunden bør kontrollere, om og hvordan udbyderen garanterer portabilitet af data og tjenester inden bestilling af en cloud-tjenesteydelse Ansvarlighed Inden for it kan ansvarlighed defineres som muligheden for at fastlægge, hvad en enhed gjorde på et givet tidspunkt og hvordan. For så vidt angår databeskyttelse, har ordet ofte en bredere betydning og beskriver den mulighed, parterne har for at vise, at de tog passende foranstaltninger for at sikre, at databeskyttelsesprincipperne er blevet gennemført. Ansvarlighed inden for it-området er især vigtig for at kunne undersøge overtrædelse af reglerne om personoplysninger, hvor cloud-kunder, udbydere og underkontraherede registerførere hver især kan bære en del af det operationelle ansvar. Muligheden for med cloud-platforme at tilvejebringe pålidelig overvågning og omfattende logningsmekanismer er i den sammenhæng af umådelig stor betydning. Desuden bør cloud-udbydere tilvejebringe dokumentation for passende og effektive foranstaltninger, der resulterer i de principper om databeskyttelse, som fremgår af de foregående afsnit. Bestemmelser om at sikre identifikation af alle databehandlingsopgaver som reaktion på anmodninger om at få adgang, ressourcetildelingen, herunder udpegningen af databeskyttelsesansvarlige med ansvar for organiseringen af overholdelsen af databeskyttelse eller uvildig udstedelse af certificeringsprocedurer er eksempler af sådanne foranstaltninger Jf. punkt 3.4.2, nr. 6, ovenfor. Udbyderen kan endda blive bedt om at svare på anmodninger på kundens vegne. Udbyderen bør fortrinsvis anvende standardiserede eller åbne dataformater og interfaceløsninger. Under alle omstændigheder bør man blive enig om kontraktbestemmelser om sikrede formater, bevarelse af logiske relationer og eventuelle omkostninger som følge af flytningen til en anden cloud-udbyder. 18

19 Desuden bør registeransvarlige sikre, at de er klar til efter anmodning at påvise iværksættelsen af de fornødne foranstaltninger over for de kompetente tilsynsmyndigheder Internationale videregivelser Artikel 25 og 26 i direktiv 95/46/EF indeholder en bestemmelse om fri udveksling af personoplysninger til lande uden for EØS, hvis blot det pågældende land eller modtageren tilvejebringer et tilstrækkeligt databeskyttelsesniveau. Ellers skal den registeransvarlige og dennes registermedansvarlige og/eller registerførere iværksætte særlige sikkerhedsforanstaltninger. Cloud computing bygger imidlertid for det meste på en total mangel på enhver stabil lokalitet for data inden for cloud-udbyderens netværk. Oplysningerne kan være i et givet datacenter kl og på den anden side af jorden kl Cloudkunden er derfor sjældent i stand til at kunne vide her og nu, hvor oplysningerne befinder sig eller opbevares eller videregives. I den forbindelse har de traditionelle retlige instrumenter, der udgør rammerne for regulering af videregivelse af oplysninger til ikke-eu-lande, som ikke har et tilstrækkeligt beskyttelsesniveau, sine begrænsninger Safe harbor og lande med et tilstrækkeligt beskyttelsesniveau Resultaterne med hensyn til at konstatere et passende beskyttelsesniveau, herunder safe harbor, er begrænsede rent geografisk og omfatter derfor ikke alle former for videregivelse i "skyen". Videregivelse til virksomheder i USA, som overholder principperne, kan ske på lovlig vis ifølge EU-lovgivningen, da modtagervirksomhederne skønnes at tilvejebringe et tilstrækkeligt beskyttelsesniveau for de overførte oplysninger. Efter Artikel 29-Gruppens opfattelse kan selvcertificering alene med safe harbor imidlertid ikke anses for at være tilstrækkelig, hvis der ikke sker nogen håndfast håndhævelse af databeskyttelsesprincipperne i cloud-miljøet. Desuden kræves det i artikel 17 i EU-direktivet, at der skal indgås en kontrakt mellem en registeransvarlig og en registerfører om behandlingens formål, hvilket bekræftes i FAQ 10 i dokumenterne vedrørende rammerne for aftalen mellem EU og USA om safe harbor. Denne kontrakt kræver ikke forudgående tilladelse i overensstemmelse med de europæiske databeskyttelsesmyndigheder. I en sådan kontrakt præciseres det, hvilken behandling der skal foretages, og hvilke foranstaltninger der er nødvendige for at sikre, at oplysningerne forbliver i sikkerhed. Via forskellige nationale lovgivninger og databeskyttelsesmyndigheder kan der være tale om yderligere krav. WP29 mener, at virksomheder, der videresender oplysninger, ikke blot bør sætte sin lid til en erklæring fra importøren, der påberåber sig, at han har en safe harbor-certificering. Derimod bør selskabet, der eksporterer oplysninger, fremskaffe dokumentation for, at safe harborselvcertificeringen er i orden, og bede om dokumentation for, at principperne deri er overholdt. Dette er navnlig vigtigt med hensyn til de oplysninger, der leveres til de registrerede, som er berørt af databehandlingen 33, 34. WP29 mener også, at cloud-kunder skal kontrollere, om de standardkontrakter, cloududbydere udarbejder, overholder nationale krav vedrørende kontraktlig databehandling. Ifølge Arbejdsgruppen udarbejdede detaljerede bemærkninger om spørgsmålet om ansvarlighed i sin udtalelse 3/2010 om princippet om ansvarlighed, Jf. den tyske databeskyttelsesmyndighed: Jf , for så vidt angår kravene vedrørende indgåelse af kontrakt med underregisterførere. 19

20 national lovgivning kan det være nødvendigt, at udlicitering er defineret i kontrakten, herunder også lokaliteterne og andre oplysninger om underkontraherede registerførere og oplysningers sporbarhed. Normalt tilbyder cloud-udbyderne ikke kunden sådanne informationer deres løfte vedrørende safe harbor kan ikke gøre det ud for de manglende ovenstående garantier, hvis dette er påkrævet ifølge national lovgivning. I disse tilfælde opfordres dataeksportøren til at anvende andre foreliggende retlige instrumenter som f.eks. standardkontraktbestemmelser eller bindende virksomhedsregler. Endelig mener WP29, at safe harbor-principperne i sig selv ikke nødvendigvis garanterer dataeksportøren de fornødne midler til at sikre, at cloud-udbyderen i USA har truffet passende sikkerhedsforanstaltninger, således som det måtte foreskrives i national lovgivning på grundlag af direktiv 95/46/EF 35. Med hensyn til datasikkerhed er cloud computing forbundet med adskillige cloud-specifikke sikkerhedsrisici som f.eks. manglende kontrol, usikker eller ufuldstændig sletning af oplysninger, utilstrækkelige auditspor eller manglende isolation 36, idet disse punkter ikke i tilstrækkelig grad er omfattet af de eksisterende safe harborprincipper om datasikkerhed 37. Der kan således tages yderligere sikkerhedsforanstaltninger for datasikkerhed i brug som f.eks. inddragelse af ekspertise og ressourcer fra en tredjepart, som via forskellige audit-, standardiserings- og certificeringsordninger er i stand til at vurdere, om cloud-udbydere kan udfylde deres rolle 38. Det kan af disse grunde tilrådes at supplere dataimportørens løfte om safe harbor med yderligere sikkerhedsforanstaltninger, hvor der tages hensyn til den særlige karakter, cloud computing har Undtagelser Undtagelserne i artikel 26 i EU-direktiv 95/46/EF gør det muligt for dataeksportører at videregive oplysninger til modtagere uden for EU uden at stille yderligere garantier. Imidlertid har WP29 vedtaget en udtalelse, hvoraf det fremgår, at undtagelser kun kan komme på tale, hvis videregivelser hverken er tilbagevendende, meget omfattende eller strukturelle. 39 På baggrund af sådanne fortolkninger er det næsten umuligt at benytte sig af undtagelser i forbindelse med cloud computing Standardkontraktbestemmelser Standardkontraktbestemmelser som vedtaget af Europa-Kommissionen med henblik på udformning af aftaler om international videregivelse af oplysninger mellem to registeransvarlige eller en registeransvarlig og en registerfører bygger på en bilateral tilgang. Når cloud-udbyderen anses for at være registerføreren, er modelbestemmelserne i overensstemmelse med Kommissionens afgørelse 2010/87/EF et instrument, der kan anvendes mellem registerføreren og den registeransvarlige som grundlag for cloud computing-miljøet med henblik på at give tilstrækkelig sikkerhed i forbindelse med internationale videregivelser Jf. udtalelse fra den danske datatilsynsmyndighed: Beskrevet i detaljer i ENISA's dokument "Cloud Computing: Benefits, Risks and Recommendations for Information Security" på adressen: https://www.enisa.europa.eu/activities/riskmanagement/files/deliverables/cloud-computing-risk-assessment. "Organisationer skal træffe rimelige sikkerhedsforanstaltninger for at beskytte personoplysninger mod tab, misbrug og uautoriseret adgang, videregivelse, ændring og tilintetgørelse." Jf. punkt 4.2 nedenfor. Arbejdsdokument 12/1998: Videregivelse af personoplysninger til tredjelande: Anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv, vedtaget af arbejdsgruppen den 24. juli 1998 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp12_en.pdf). 20

Artikel 29-gruppen vedrørende databeskyttelse

Artikel 29-gruppen vedrørende databeskyttelse Artikel 29-gruppen vedrørende databeskyttelse 00065/2010/DA WP 174 Udtalelse nr. 4/2010 om FEDMA's europæiske adfærdskodeks for brug af personoplysninger i forbindelse med direkte markedsføring vedtaget

Læs mere

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt Lovafdelingen Dato: 15. november 2010 Kontor: Statsretskontoret Sagsnr.: 2010-7614-0030 Dok.: OTE40148 G R U N D - O G N Æ R H E D S N O T A T vedrørende

Læs mere

Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender ARBEJDSDOKUMENT

Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender ARBEJDSDOKUMENT EUROPA-PARLAMENTET 2009-2014 Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender 06.07.2012 ARBEJDSDOKUMENT om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

ARTIKEL 29-Gruppen vedrørende Databeskyttelse

ARTIKEL 29-Gruppen vedrørende Databeskyttelse ARTIKEL 29-Gruppen vedrørende Databeskyttelse 11601/DA WP 90 Udtalelse nr. 5/2004 om uanmodet kommunikation med henblik på markedsføring, jf. artikel 13 i direktiv 2002/58/EF Vedtaget den 27. februar 2004

Læs mere

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 00264/10/DA WP 169 Udtalelse 1/2010 om begreberne "registeransvarlig" og "registerfører" Vedtaget den 16. februar 2010 Artikel 29-Gruppen er nedsat i henhold

Læs mere

Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler)

Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler) Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler) Indhold 1. Introduktion 2. Område og anvendelse 3. Gennemsigtighed og underretning 4. Rimelig behandling og afgrænsning af formål

Læs mere

Henkel Norden AB ("Henkel") er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel.

Henkel Norden AB (Henkel) er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel. HENKEL FORTROLIGHEDSPOLITIK Vi, hos Henkel, tager vores forpligtelser i henhold til dansk lov om databeskyttelse (persondataloven) alvorligt og er forpligtet til at beskytte dit privatliv. Denne fortrolighedserklæring

Læs mere

Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt

Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt Civil- og Politiafdelingen Supplerende samlenotat vedrørende de sager inden for Justitsministeriets ansvarsområde, der forventes behandlet på

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

De Europæiske Fællesskabers Tidende

De Europæiske Fællesskabers Tidende 17.9.2002 L 249/21 KOMMISSIONENS DIREKTIV 2002/77/EF af 16. september 2002 om konkurrence på markederne for elektroniske kommunikationsnet og -tjenester (EØS-relevant tekst) KOMMISSIONEN FOR DE EUROPÆISKE

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

UDKAST TIL BETÆNKNING

UDKAST TIL BETÆNKNING EUROPA-PARLAMENTET 2009-2014 Udvalget om det Indre Marked og Forbrugerbeskyttelse 27.2.2013 2012/2322(INI) UDKAST TIL BETÆNKNING om onlinespil i det indre marked (2012/2322(INI)) Udvalget om det Indre

Læs mere

RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET EUROPA- KOMMISSIONEN Bruxelles, den 30.3.2015 COM(2015) 138 final RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET om udøvelse af de delegerede beføjelser, der tillægges Kommissionen i henhold

Læs mere

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)

Læs mere

1.2 Betingelserne gælder fra den 1. januar 2015 og erstatter alle tidligere betingelser for anvendelse af Services.

1.2 Betingelserne gælder fra den 1. januar 2015 og erstatter alle tidligere betingelser for anvendelse af Services. Abonnementsbetingelser for brug af Toolpack -Online Services 1. Anvendelse og gyldighed 1.1 Disse betingelser ( Betingelserne ) for anvendelse af Toolpack Online Services ( Services ) gælder for enhver

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE. Udtalelse nr. 02/2012 om ansigtsgenkendelse i online- og mobiltjenester

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE. Udtalelse nr. 02/2012 om ansigtsgenkendelse i online- og mobiltjenester ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 00727/12/DA WP 192 Udtalelse nr. 02/2012 om ansigtsgenkendelse i online- og mobiltjenester Vedtaget den 22. marts 2012 Gruppen er nedsat ved artikel 29 i direktiv

Læs mere

Udnyttelse af potentialet ved cloud computing i Europa hvad er det, og hvad betyder det for mig?

Udnyttelse af potentialet ved cloud computing i Europa hvad er det, og hvad betyder det for mig? EUROPEAN COMMISSION MEMO Bruxelles, den 27. september 2012 Udnyttelse af potentialet ved cloud computing i Europa hvad er det, og hvad betyder det for mig? Se også IP/12/1025 Hvad er cloud computing? "Cloud

Læs mere

Formål Urimelige kontraktvilkår Tvivl om fortolkningen Retsvirkninger Implementering

Formål Urimelige kontraktvilkår Tvivl om fortolkningen Retsvirkninger Implementering Jan Trzaskowski!"#$%&!'($) %**) + Direktivet om urimelige kontraktvilkår (Direktiv 93/13/EØF af 5. april 1993) Fjernsalgsdirektivet (Direktiv 97/7/EF af 20. maj 1997) Forbrugerkøbsdirektivet (Direktiv

Læs mere

TOLDKODEKSUDVALGET. Toldkodeksudvalgets forretningsorden, som vedtaget af. Gruppen for Almindelige Toldforskrifter. under Toldkodeksudvalget

TOLDKODEKSUDVALGET. Toldkodeksudvalgets forretningsorden, som vedtaget af. Gruppen for Almindelige Toldforskrifter. under Toldkodeksudvalget EUROPA-KOMMISSIONEN GENERALDIREKTORATET FOR BESKATNING OG TOLDUNIONEN TOLDPOLITIK B1 Generelle toldlovgivningsspørgsmål og toldprocedurer af økonomisk betydning Bruxelles, den 5. december 2001 TAXUD/741/2001

Læs mere

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Customer Managed Hvorfor vælger man som kunde Cloud? Customer Customer No cloud (On-Premise)

Læs mere

L 385/74 Den Europæiske Unions Tidende 29.12.2004

L 385/74 Den Europæiske Unions Tidende 29.12.2004 L 385/74 Den Europæiske Unions Tidende 29.12.2004 KOMMISSIONENS BESLUTNING af 27. december 2004 om ændring af beslutning 2001/497/EF for at indføre en alternativ standardkontrakt om overførsel af personoplysninger

Læs mere

EUROPOL JOINT SUPERVISORY BODY

EUROPOL JOINT SUPERVISORY BODY EUROPOL JOINT SUPERVISORY BODY Udtalelse 12/05 fra den fælles kontrolinstans for Europol om Europols anmeldelse af behandling af personoplysninger: Arbejdstider/flekstid/overarbejde/rådighedstjeneste/skifteholdstjeneste

Læs mere

Cloud Computing De juridiske aspekter

Cloud Computing De juridiske aspekter Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Ændret forslag til EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Ændret forslag til EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV DA DA DA KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den 31.5.2005 KOM(2005) 246 endelig 2004/0209 (COD) Ændret forslag til EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV om ændring af direktiv 2003/88/EF

Læs mere

3.10.2006 Den Europæiske Unions Tidende L 272/3

3.10.2006 Den Europæiske Unions Tidende L 272/3 3.10.2006 Den Europæiske Unions Tidende L 272/3 KOMMISSIONENS FORORDNING (EF) Nr. 1459/2006 af 28. september 2006 om anvendelse af traktatens artikel 81, stk. 3, på visse kategorier af aftaler og samordnet

Læs mere

4 hovedbetingelser for anvendelse af sociale klausuler (kontraktvilkår) i udbud

4 hovedbetingelser for anvendelse af sociale klausuler (kontraktvilkår) i udbud 4 hovedbetingelser for anvendelse af sociale klausuler (kontraktvilkår) i udbud I forbindelse med udbud som er omfattet udbudsdirektiverne, kan ordregiver lovligt opstille kontraktvilkår sociale klausuler

Læs mere

Forbrugerombudsmanden. Carl Jacobsens vej 35. 2500 Valby. Att.: Chefkonsulent Tina Morell Nielsen. Frederiksberg, 19.

Forbrugerombudsmanden. Carl Jacobsens vej 35. 2500 Valby. Att.: Chefkonsulent Tina Morell Nielsen. Frederiksberg, 19. Forbrugerombudsmanden Carl Jacobsens vej 35 2500 Valby Att.: Chefkonsulent Tina Morell Nielsen Frederiksberg, 19. december 2011 Vedrørende standpunkt til markedsføring via sociale medier. Indledende bemærkninger.

Læs mere

Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed

Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed Advokat (H), partner Anders Aagaard Ledelsesansvar for IT-sikkerhed 1 AGENDA Ledelsens opgaver og ansvar Persondataforordningen Cases 2 Ledelsens opgaver og ansvar Selskabsloven hard law: SL 115: I kapitalselskaber,

Læs mere

(a) Medmindre andet udtrykkeligt er anført, forstås i dette dokument ved:

(a) Medmindre andet udtrykkeligt er anført, forstås i dette dokument ved: VILKÅR OG BETINGELSER FOR BRUG OG DRIFT AF REACH-IT LÆS OMHYGGELIGT FØLGENDE VILKÅR OG BETINGELSER FOR ANVENDELSEN AF REACH-IT, INDEN REACH-IT TAGES I BRUG. KLIK PÅ "ACCEPTER" FOR AT ACCEPTERE VILKÅRENE.

Læs mere

GENERELLE BRUGERBETINGELSER FOR

GENERELLE BRUGERBETINGELSER FOR GENERELLE BRUGERBETINGELSER FOR mypku Disse generelle brugerbetingelser ( Betingelser ) fastsætter de betingelser, der gælder mellem dig som bruger ( Brugeren ) og Nutricia A/S, CVR.: 73128110 ( Nutricia

Læs mere

7161/03 HV/hm DG H I DA

7161/03 HV/hm DG H I DA RÅDET FOR DEN EUROPÆISKE UNION Bruxelles, den 25. marts 2003 7161/03 FRONT 22 COMIX 139 RETSAKTER OG ANDRE INSTRUMENTER Vedr.: Initiativ fra Kongeriget Spanien med henblik på vedtagelse af Rådets direktiv

Læs mere

MEDDELELSE TIL MEDLEMMERNE

MEDDELELSE TIL MEDLEMMERNE EUROPA-PARLAMENTET 2009-2014 Udvalget for Andragender 22.4.2010 MEDDELELSE TIL MEDLEMMERNE Om: Andragende 0026/2005 af Gunther Ettrich, tysk statsborger, om tilbagekaldelse på grund af alder af hans tilladelse

Læs mere

RETNINGSLINJER FOR BRUG AF IT PÅ RANUM EFTERSKOLE

RETNINGSLINJER FOR BRUG AF IT PÅ RANUM EFTERSKOLE RETNINGSLINJER FOR BRUG AF IT PÅ RANUM EFTERSKOLE Som elev erklærer jeg herved, at jeg til enhver tid vil optræde som ansvarsbevidst bruger af it -udstyr på Ranum Efterskole (herefter benævnt Skolen ).

Læs mere

Dette dokument er et dokumentationsredskab, og institutionerne påtager sig intet ansvar herfor

Dette dokument er et dokumentationsredskab, og institutionerne påtager sig intet ansvar herfor 1972L0166 DA 11.06.2005 003.001 1 Dette dokument er et dokumentationsredskab, og institutionerne påtager sig intet ansvar herfor B RÅDETS DIREKTIV af 24. april 1972 om indbyrdes tilnærmelse af medlemsstaternes

Læs mere

Europaudvalget 2008 KOM (2008) 0845 Bilag 1 Offentligt

Europaudvalget 2008 KOM (2008) 0845 Bilag 1 Offentligt Europaudvalget 2008 KOM (2008) 0845 Bilag 1 Offentligt Grundnotat til Folketingets Europaudvalg og Folketingets Udvalg for Videnskab og Teknologi Meddelelse fra Kommisionen til Europa-Parlamentet, Rådet

Læs mere

Bekendtgørelse om gennemførelse af ændringsdirektiv om udvikling af Fællesskabets jernbaner 1

Bekendtgørelse om gennemførelse af ændringsdirektiv om udvikling af Fællesskabets jernbaner 1 Bekendtgørelse om gennemførelse af ændringsdirektiv om udvikling af Fællesskabets jernbaner 1 I medfør af 26 i lov om jernbane, jf. lovbekendtgørelse nr. 1171 af 2. december 2004, fastsættes: 1. Bekendtgørelsen

Læs mere

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet. Cloud og persondataloven Forskningsnetkonferencen 2011 Klarskovgaard Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Sten Hansen IT-chef

Læs mere

Christa Prets Ligebehandling af kvinder og mænd i forbindelse med adgang til og levering af varer og tjenesteydelser

Christa Prets Ligebehandling af kvinder og mænd i forbindelse med adgang til og levering af varer og tjenesteydelser 25. marts 2004 A5-0155/37 ÆNDRINGSFORSLAG 37 37 Betragtning 10 (10) En sådan lovgivning bør forbyde forskelsbehandling på grund af køn i forbindelse med adgang til og levering af varer og. Tjenesteydelser

Læs mere

ADFÆRDSKODEKS FOR GOD FORVALTNINGSSKIK

ADFÆRDSKODEKS FOR GOD FORVALTNINGSSKIK ADFÆRDSKODEKS FOR GOD FORVALTNINGSSKIK OVERSÆTTELSESCENTRET FOR DEN EUROPÆISKE UNIONS ORGANER AFGØRELSE AF 10. februar 2000 OM EN ADFÆRDSKODEKS FOR GOD FORVALTNINGSSKIK OVERSÆTTELSESCENTRET FOR DEN EUROPÆISKE

Læs mere

RÅDETS TREDJE DIREKTIV af 14. maj 1990 om indbyrdes tilnærmelse af medlemsstaternes lovgivning om ansvarsforsikring for motorkøretøjer (90/232/EØF)

RÅDETS TREDJE DIREKTIV af 14. maj 1990 om indbyrdes tilnærmelse af medlemsstaternes lovgivning om ansvarsforsikring for motorkøretøjer (90/232/EØF) 1990L0232 DA 11.06.2005 001.001 1 Dette dokument er et dokumentationsredskab, og institutionerne påtager sig intet ansvar herfor B RÅDETS TREDJE DIREKTIV af 14. maj 1990 om indbyrdes tilnærmelse af medlemsstaternes

Læs mere

WHOIS-politik for.eu-domænenavne

WHOIS-politik for.eu-domænenavne WHOIS-politik for.eu-domænenavne 1/7 DEFINITIONER Termer, der er defineret i Vilkårene og/eller.eu-konfliktløsningsreglerne, skrives med stort begyndelsesbogstav heri. 1. POLITIK TIL BESKYTTELSE AF PRIVATLIVETS

Læs mere

Vejledning om arbejdsgivers indhentelse af oplysninger i forbindelse med lønmodtagerens sygdom

Vejledning om arbejdsgivers indhentelse af oplysninger i forbindelse med lønmodtagerens sygdom Vejledning om arbejdsgivers indhentelse af oplysninger i forbindelse med lønmodtagerens sygdom Denne Vejledning Et vigtigt element i indsatsen for at nedbringe sygefraværet på det danske arbejdsmarked

Læs mere

Rammeaftale om varetagelse af fjerntolkning

Rammeaftale om varetagelse af fjerntolkning Rammeaftale om varetagelse af fjerntolkning Tolkemyndigheden - Rammeaftale udbud 2015 side 1 Indholdsfortegnelse 1) Rammeaftalens parter... 3 2) Definitioner... 3 3) Baggrund, formål og omfang... 3 4)

Læs mere

UDBUDSBETINGEL- SER FOR ASFALTUDLÆGGER

UDBUDSBETINGEL- SER FOR ASFALTUDLÆGGER Københavns Kommune Teknik- og Miljøforvaltningen UDBUDSBETINGEL- SER FOR ASFALTUDLÆGGER DATO: 23.2.2015 Sags nr. 2014-0240583 Dokument nr. 2014-0240583-1 OFFENTLIGT UDBUD Udbudsbetingelser Asfaltudlægger

Læs mere

Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav

Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav Finanstilsynet Mai-Brit Campos Nielsen Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav Finansrådet og Børsmæglerforeningen har modtaget Finanstilsynets

Læs mere

V I L K Å R O G B E T I N G E L S E R F O R Y D E L S E R

V I L K Å R O G B E T I N G E L S E R F O R Y D E L S E R GLOBAL VERSION 7. november 2014 V I L K Å R O G B E T I N G E L S E R F O R Y D E L S E R 1. INTRODUKTION VOLVO vil gerne tilbyde dig de bedst mulige Ydelser (som defineret nedenfor i dette afsnit 1) for

Læs mere

UDBUDSBETINGEL- SER FOR SURVEY OM MEDBORGERSKAB BLANDT UNGE

UDBUDSBETINGEL- SER FOR SURVEY OM MEDBORGERSKAB BLANDT UNGE Københavns Kommune Beskæftigelses- og Integrationsforvaltningen SER FOR SURVEY OM MEDBORGERSKAB BLANDT UNGE UDBUDSBETINGEL- KØ- BENHAVNERE VERSION AUGUST 2015 DATO: 03/08 2015 Sags nr.: 2015-0140809 OFFENTLIGT

Læs mere

"SAP" betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten.

SAP betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten. Serviceaftaleprogram for Ariba Cloud Services Garanti for Tjenestens tilgængelighed Sikkerhed Diverse 1. Garanti for Tjenestens tilgængelighed a. Anvendelighed. Garantien for tjenestens tilgængelighed

Læs mere

POLITIK FOR DATABESKYTTELSE

POLITIK FOR DATABESKYTTELSE POLITIK FOR DATABESKYTTELSE Disse retningslinjer for databeskyttelse beskriver, hvordan vi bruger og beskytter oplysninger, som du afgiver i forbindelse med brug af vores hjemmeside. Vi har forpligtet

Læs mere

Bekendtgørelse om storaktionærer 1

Bekendtgørelse om storaktionærer 1 Bekendtgørelse om storaktionærer 1 I medfør af 29, stk. 7, og 93, stk. 4, i lov om værdipapirhandel m.v., jf. lovbekendtgørelse nr. 831 af 12. juni 2014, som ændret ved lov nr. 532 af 29. april 2015, fastsættes:

Læs mere

Europaudvalget (2. samling) EU-note - E 13 Offentligt

Europaudvalget (2. samling) EU-note - E 13 Offentligt Europaudvalget (2. samling) EU-note - E 13 Offentligt Europaudvalget EU-konsulenten Til: Dato: Europaudvalget, Arbejdsmarkedsudvalget 18. december 2007 EF-Domstolen: Svensk kollektiv blokade er i strid

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995) Persondataforordningen & kommuner Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall Forordningen I dag Persondataloven (fra 2000) Baseret på persondatadirektivet (fra 1995) Forskelle i implementering

Læs mere

Europaudvalget 2008 KOM (2008) 0194 Bilag 1 Offentligt

Europaudvalget 2008 KOM (2008) 0194 Bilag 1 Offentligt Europaudvalget 2008 KOM (2008) 0194 Bilag 1 Offentligt GRUNDNOTAT TIL FOLKETINGETS EUROPAUDVALG 30. maj 2008 Forslag til Europa-Parlamentets og Rådets direktiv om ændring af Rådets direktiv 68/151/EØF

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

Kontrolundersøgelser i Danmark

Kontrolundersøgelser i Danmark 12. december 2013 Kontorchef Peter Langkjær Kontrolundersøgelser i Danmark Dansk Forening for Konkurrenceret NÅR KONKURRENCE- OG FORBRUGERSTYRELSEN KOMMER PÅ BESØG 1 Anslag Agenda 1. Efterforskning før

Læs mere

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU)

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 21.3.2013 Den Europæiske Unions Tidende L 79/7 KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) Nr. 254/2013 af 20. marts 2013 om ændring af forordning (EF) nr. 340/2008 om gebyrer og afgifter til Det Europæiske

Læs mere

Europaudvalget 2012-13 EUU Alm.del EU Note 38 Offentligt

Europaudvalget 2012-13 EUU Alm.del EU Note 38 Offentligt Europaudvalget 2012-13 EUU Alm.del EU Note 38 Offentligt Europaudvalget og Erhvervs-, Vækst- og Eksportudvalget EU-konsulenten EU-note Til: Dato: Udvalgenes medlemmer 8. februar 2015 Kommissionen foreslår

Læs mere

Samarbejdsaftale. Mellem

Samarbejdsaftale. Mellem Samarbejdsaftale Mellem Høje-Taastrup Kommune Bygaden 2 2630 Taastrup (herefter benævnt "Kommunen", og enhver henvisning til "Kommunen" i denne samarbejdsaftale skal henvise til Kommunen som offentlig

Læs mere

29.12.2004 Den Europæiske Unions Tidende L 385/55 KOMMISSIONEN

29.12.2004 Den Europæiske Unions Tidende L 385/55 KOMMISSIONEN 29.12.2004 Den Europæiske Unions Tidende L 385/55 KOMMISSIONEN KOMMISSIONENS HENSTILLING af 14. december 2004 om fremme af en passende ordning for aflønning af medlemmer af ledelsen i børsnoterede selskaber

Læs mere

Sidst opdateret den 7. april 2015. Erstatter versionen af 18. juni 2014 i dens helhed.

Sidst opdateret den 7. april 2015. Erstatter versionen af 18. juni 2014 i dens helhed. Yderligere vilkår for anvendelse af Document Cloud Sidst opdateret den 7. april 2015. Erstatter versionen af 18. juni 2014 i dens helhed. Termer skrevet med stort begyndelsesbogstav i disse Yderligere

Læs mere

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Forslag til RÅDETS BESLUTNING

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Forslag til RÅDETS BESLUTNING DA DA DA KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den 29.10.2009 KOM(2009)608 endelig Forslag til RÅDETS BESLUTNING om bemyndigelse af Republikken Estland og Republikken Slovenien til at

Læs mere

16.10.2008 Den Europæiske Unions Tidende L 275/37

16.10.2008 Den Europæiske Unions Tidende L 275/37 16.10.2008 Den Europæiske Unions Tidende L 275/37 KOMMISSIONENS FORORDNING (EF) Nr. 1004/2008 af 15. oktober 2008 om ændring af forordning (EF) nr. 1725/2003 om vedtagelse af visse internationale regnskabsstandarder

Læs mere

Reglerne Om Behandling Af Personlige Oplysninger

Reglerne Om Behandling Af Personlige Oplysninger Reglerne Om Behandling Af Personlige Oplysninger Sådan bruger og beskytter vi personlige oplysninger Hos Genworth Financial ligger det os stærkt på sinde at beskytte dit privatliv og dine personlige oplysninger.

Læs mere

Forsvarets videregivelse af personaleoplysninger til brug for markedsføring

Forsvarets videregivelse af personaleoplysninger til brug for markedsføring Forsvarets videregivelse af personaleoplysninger til brug for markedsføring Brevdato: 19.08.08 Journalnummer: 2008-632-0034 Datatilsynet vender hermed tilbage til sagen, hvor Forsvarets Personeltjeneste

Læs mere

ETISKE REGLER FOR FORSIKRINGSMÆGLERFORENINGEN (FMF)

ETISKE REGLER FOR FORSIKRINGSMÆGLERFORENINGEN (FMF) ETISKE REGLER FOR FORSIKRINGSMÆGLERFORENINGEN (FMF) Nærværende regelsæt er ændret af FMF s bestyrelse den 21. februar 2014. Ændringerne er angivet ved overstregninger i de hidtidige regler eller ved tilføjelser

Læs mere

Konsekvensanalyse/Data Protection Impact Assessment (DIA)

Konsekvensanalyse/Data Protection Impact Assessment (DIA) /Data Protection Impact Assessment (DIA) Nye instrumenter i persondataretten Janne Glæsel (Gorrissen Federspiel) Max Sørensen () Oversigt 01 Kort om konsekvensanalyse/data Protection Impact Assessment

Læs mere

Forslag til EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

Forslag til EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV EUROPA- KOMMISSIONEN Bruxelles, den 2.10.2013 COM(2013) 680 final 2013/0327 (COD) Forslag til EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV om ændring af direktiv 2009/138/EF om adgang til og udøvelse af forsikrings-

Læs mere

MEDDELELSE TIL MEDLEMMERNE

MEDDELELSE TIL MEDLEMMERNE EUROPA-PARLAMENTET 2009-2014 Udvalget for Andragender 25.9.2009 MEDDELELSE TIL MEDLEMMERNE Om: Andragende 0925/2007 af Joachim Weber, tysk statsborger, om arbejdstidsdirektivet 1. Sammendrag Andrageren

Læs mere

8.11.2008 Den Europæiske Unions Tidende L 299/17

8.11.2008 Den Europæiske Unions Tidende L 299/17 8.11.2008 Den Europæiske Unions Tidende L 299/17 KOMMISSIONENS FORORDNING (EF) Nr. 1108/2008 af 7. november 2008 om ændring af forordning (EF) nr. 1266/2007 for så vidt angår minimumskravene til programmer

Læs mere

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN Forsvarsministeriet fmn@fmn.dk pah@fmn.dk hvs@govcert.dk WILDERS PLADS 8K 1403 KØBENHAVN K TELEFON 3269 8888 DIREKTE 3269 8805 RFJ@HUMANRIGHTS.DK MENNESKERET.DK J. NR. 540.10/30403/RFJ/MAF HØRING OVER

Læs mere

Aftale om Åben skole-samarbejde i Lyngby-Taarbæk kommune

Aftale om Åben skole-samarbejde i Lyngby-Taarbæk kommune Aftale om Åben skole-samarbejde i Lyngby-Taarbæk kommune Samarbejde indgås imellem: Skole: Kontaktperson: Telefon: Mail: Samarbejdsaktør: Kontaktperson: Telefon: Mail: Tidspunkt og omfang for samarbejdet:

Læs mere

Del 3. Elementer til kontrakt

Del 3. Elementer til kontrakt Del 3 Elementer til kontrakt 1 Indholdsfortegnelse 1. Kontraktens parter...4 2. Formål med kontrakten...4 3. Kontraktens omfang og indhold...4 4. Myndighedsopgaver og ansvar...5 5. Samarbejdsmodel...5

Læs mere

Navit sp/f. Del A Gennemførelse

Navit sp/f. Del A Gennemførelse Den Internationale Kode for Sikker Drift af Skibe og Forebyggelse af Forurening (International Safety Management-koden (ISM-koden)) Med rettelser gældende pr. 1. juli 2010 Del A Gennemførelse 1. Generelt

Læs mere

Europaudvalget 2013-14 EUU Alm.del EU Note 16 Offentligt

Europaudvalget 2013-14 EUU Alm.del EU Note 16 Offentligt Europaudvalget 2013-14 EUU Alm.del EU Note 16 Offentligt Europaudvalget, Retsudvalget EU-konsulenten EU-note Til: Dato: Udvalgenes medlemmer 8. februar 2015 Kommissionen indfører ny procedure til beskyttelse

Læs mere

MiFID II og MiFIR. 1 Formål

MiFID II og MiFIR. 1 Formål MiFID II og MiFIR DIREKTIV OM MARKEDER FOR FINANSIELLE INSTRUMENTER OG OPHÆVELSE AF EU- ROPA-PARLAMENTETS OG RÅDETS DIREKTIV 2004/39/EF SAMT FORORDNING OM MARKEDER FOR FINANSIELLE INSTRUMENTER 1 Formål

Læs mere

For at en virksomhed skal kunne optages i foreningen, skal den have et godt omdømme for faglig ekspertise og god erhvervsetik.

For at en virksomhed skal kunne optages i foreningen, skal den have et godt omdømme for faglig ekspertise og god erhvervsetik. 1. marts 2004 BRANCHEKODEKS Præambel Medlemmerne i DMR er forpligtede til at følge Branchekodeks. Betydningen af principperne fastlægges af Erhvervsetisk nævn. Kendelser fra Erhvervsetisk Nævn fungerer

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere

2. BESKRIVELSE AF STØTTEORDNINGEN (N 77/2008)

2. BESKRIVELSE AF STØTTEORDNINGEN (N 77/2008) EUROPA-KOMMISSIONEN Bruxelles, den 30.07.2009 C(2009)6136 Vedr.: Statsstøttesag nr. N 229/2009 Danmark Ændring af programmet for brugerdreven innovation Hr. udenrigsminister 1. SAGSFORLØB (1) Ved elektronisk

Læs mere

Valgfri protokol til konventionen om barnets rettigheder vedrørende inddragelse af børn i væbnede konflikter

Valgfri protokol til konventionen om barnets rettigheder vedrørende inddragelse af børn i væbnede konflikter Valgfri protokol til konventionen om barnets rettigheder vedrørende inddragelse af børn i væbnede konflikter Vedtaget og åbnet for underskrivelse og ratificering den 25. maj 2000 De i denne protokol deltagende

Læs mere

Standard leveringsbetingelser

Standard leveringsbetingelser Standard leveringsbetingelser 1. Anvendelsesområde Disse almindelige betingelser finder anvendelse for enhver af kundens ordrer om levering af ydelser fra CompanYoung ApS (herefter CompanYoung), medmindre

Læs mere

Abonnementsaftale for INNOMATE HR

Abonnementsaftale for INNOMATE HR Abonnementsaftale for INNOMATE HR Dette er en aftale vedrørende abonnement på et eller flere INNOMATE HR-moduler leveret som SaaS (Software-as-a-Service), samt de hermed forbundne ydelser fra INNOMATE

Læs mere

HusEftersyn.dk s generelle vilkår & brugerbetingelser Gældende fra 15. januar 2014

HusEftersyn.dk s generelle vilkår & brugerbetingelser Gældende fra 15. januar 2014 HusEftersyn.dk s generelle vilkår & brugerbetingelser Gældende fra 15. januar 2014 Ved at oprette en gratis auktion på huseftersyn.dk accepterer du disse vilkår og brugerbetingelser, og du opfordres hermed

Læs mere

(Meddelelser) EUROPA-KOMMISSIONEN

(Meddelelser) EUROPA-KOMMISSIONEN 2.8.2013 Den Europæiske Unions Tidende C 223/1 (Meddelelser) MEDDELELSER FRA DEN EUROPÆISKE UNIONS INSTITUTIONER, ORGANER, KONTORER OG AGENTURER EUROPA-KOMMISSIONEN Retningslinjer for de forskellige kategorier

Læs mere

UDKAST TIL BETÆNKNING

UDKAST TIL BETÆNKNING EUROPA-PARLAMENTET 2009-2014 Udvalget om det Indre Marked og Forbrugerbeskyttelse 10.5.2012 2012/2037(INI) UDKAST TIL BETÆNKNING om gennemførelsen af direktiv 2008/48/EF om forbrugerkreditaftaler (2012/2037(INI))

Læs mere

EUROPÆISK AFTALE OM FRIVILLIG ADFÆRDSKODEKS FOR INFORMATION OM BOLIGLÅN FORUD FOR KONTRAKTINDGÅELSE ( AFTALEN )

EUROPÆISK AFTALE OM FRIVILLIG ADFÆRDSKODEKS FOR INFORMATION OM BOLIGLÅN FORUD FOR KONTRAKTINDGÅELSE ( AFTALEN ) EUROPÆISK AFTALE OM FRIVILLIG ADFÆRDSKODEKS FOR INFORMATION OM BOLIGLÅN FORUD FOR KONTRAKTINDGÅELSE ( AFTALEN ) Denne aftale er forhandlet og indgået af de europæiske foreninger af henholdsvis forbrugersammenslutninger

Læs mere

It-sikkerhedstekst ST3

It-sikkerhedstekst ST3 It-sikkerhedstekst ST3 Sletning af personoplysninger Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST3 Version 1 September 2014 Sletning af personoplysninger Når en dataansvarlig

Læs mere

UDKAST TIL UDTALELSE

UDKAST TIL UDTALELSE EUROPA-PARLAMENTET 2009-2014 Udvalget om det Indre Marked og Forbrugerbeskyttelse 22.2.2013 2011/0284(COD) UDKAST TIL UDTALELSE fra Udvalget om det Indre Marked og Forbrugerbeskyttelse til Retsudvalget

Læs mere

Aftale om anvendelse af e-nettet

Aftale om anvendelse af e-nettet - i det følgende benævnt 'Aftalen', mellem e-nettet a/s Pilestræde 58, 2. sal 1112 København K cvr nr. 21270776 og Virksomhed Adresse By cvr nr. - i det følgende benævnt 'Kunden' og sammen med 'e-nettet

Læs mere

Bekendtgørelse om udenlandske investeringsinstitutters markedsføring

Bekendtgørelse om udenlandske investeringsinstitutters markedsføring Bekendtgørelse om udenlandske investeringsinstitutters markedsføring i Danmark1) I medfør af 18, stk. 2, 19, stk. 3 og 221, stk. 3, i lovbekendtgørelse nr. 935 af 17. september 2012 om investeringsforeninger

Læs mere

Udbudsbetingelser. Rammeaftale om køb af kæder til fortøjning af flydende afmærkning

Udbudsbetingelser. Rammeaftale om køb af kæder til fortøjning af flydende afmærkning Rammeaftale om køb af kæder til fortøjning af flydende afmærkning 1 af 7 INDHOLDSFORTEGNELSE 1 Indledning... 3 2 Ordregivende myndighed... 3 3 Udbudsmaterialets bestanddele... 3 4 Virksomhedens generelle

Læs mere

1. Introduktion. 3. Beskrivelse af stress og arbejdsrelateret stress

1. Introduktion. 3. Beskrivelse af stress og arbejdsrelateret stress (cover:) Social dialog Arbejdsrelateret stress Rammeaftale vedrørende arbejdsrelateret stress 1. Introduktion Arbejdsrelateret stress er på såvel internationalt, europæisk og nationalt plan blevet identificeret

Læs mere

Du har søgt om aktindsigt i en sag om A Banks redegørelse om køb og salg af egne aktier sendt til Finanstilsynet i oktober 2007.

Du har søgt om aktindsigt i en sag om A Banks redegørelse om køb og salg af egne aktier sendt til Finanstilsynet i oktober 2007. Kendelse af 13. oktober 2009 (J.nr. 2009-0019579) Anmodning om aktindsigt ikke imødekommet. Lov om finansiel virksomhed 354 og 355 samt offentlighedslovens 14. (Niels Bolt Jørgensen, Anders Hjulmand og

Læs mere

Jan Trzaskowski !"#$%$$%

Jan Trzaskowski !#$%$$% Jan Trzaskowski!"#$%$$% & Internetjura 280-289 Direktivet om urimelige kontraktvilkår (Direktiv 93/13/EØF af 5. april 1993) Direktivet om vildledende reklame (direktiv 97/55/EF af 6. oktober 1997 og direktiv

Læs mere