Staten og Kommunernes Indkøbsservice
|
|
- Gregers Overgaard
- 4 år siden
- Visninger:
Transkript
1 Staten og Kommunernes Indkøbsservice ISAE 3000-erklæring fra uafhængig revisor vedrørende procedurer og kontroller etableret til beskyttelse af pr. 31. december 2018
2 Indhold 1 Serviceleverandørens udtalelse 2 2 Serviceleverandørs uafhængige revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning 3 3 Systembeskrivelse Introduktion Juridisk struktur Beskrivelse af indkøbsdatasamarbejdet Beskrivelse af dataudveksling Definering af dataansvar/databehandler Beskrivelse af erklæringens omfang Risikostyring Beskrivelse af procedure, der skal udføres af kommunerne Beskrivelse af procedurer og kontroller 6 4 Tests udført af EY Formål og omfang Udførte tests Resultater af tests 10 Ernst & Young P/S - Osvald Helmuths Vej 4 - Postboks Frederiksberg - CVR-nr SKI_Persondataerklæring_endelig_ docx 1
3 1 Serviceleverandørens udtalelse Medfølgende beskrivelse er udarbejdet til brug for de kunder, der har indkøbsdatasamarbejdet hos (SKI), og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, når de opnår en forståelse af kundernes informationssystemer. Denne erklæring er udarbejdet i henhold til partielmetoden for så vidt angår underleverandørerne Atea, ProAct, KMD og Microsoft. Vores beskrivelse omfatter således ikke kontrolmål og tilknyttede kontroller hos disse underleverandører. SKI bekræfter, at: (a) den medfølgende beskrivelse i afsnit 3 giver en retvisende beskrivelse af indkøbsdatasamarbejdet, der behandler fakturadata pr. 31. december Kriterierne for denne udtalelse var, at den medfølgende beskrivelse: (i) redegør for, hvordan systemet var udformet og implementeret, herunder redegør for: de typer af ydelser, der er leveret, herunder behandlede grupper af transaktioner, når det er relevant de processer i både it-systemer og manuelle systemer, der er anvendt til at igangsætte, registrere, behandle og om nødvendigt korrigere transaktionerne samt overføre disse til de rapporter, der er udarbejdet til kunder hvordan systemet behandlede andre betydelige begivenheder og forhold end transaktioner processen, der blev anvendt til at udarbejde rapporter til kunder relevante kontrolmål og kontroller udformet til at nå disse mål kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af brugervirksomhederne, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem (herunder de tilknyttede forretningsgange) og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner. (ii) ikke udelader eller forvansker information, der er relevant for omfanget af det beskrevne system, under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved systemet, som den enkelte kunde måtte anse for vigtigt efter deres særlige forhold. (b) de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet pr. 31. december Kriterierne for denne udtalelse var, at: (i) (ii) de risici, som truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret, og de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrer opnåelsen af de anførte kontrolmål. København, den 9. maj 2019 Jonas Klinting Økonomidirektør 2
4 2 Serviceleverandørs uafhængige revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning Til: Omfang Vi har fået som opgave at afgive erklæring om s (SKI) beskrivelse i afsnit 3 om indkøbsdatasamarbejdet og behandlingen af kunders fakturadata pr. 31. december 2018 (beskrivelsen) og om udformningen af de kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Vi har ikke udført handlinger vedrørende funktionaliteten af de kontroller, der indgår i beskrivelsen, og udtrykker derfor ingen konklusion herom. Ledelsens beskrivelse af forretningskontrollerne omfatter alene kontrolmål og tilknyttede kontroller hos SKI. Generelle it-kontroller udført hos Atea, ProAct, KMD og Microsoft er udeladt. Vores handlinger omfatter således ikke kontrolmål og tilknyttede kontroller hos disse underleverandører Denne erklæring er udarbejdet i henhold til partielmetoden vedrørende Atea, ProAct, KMD og Microsoft. Enkelte af de kontrolmål, der er anført i SKI s beskrivelse af indkøbsdatasamarbejdet, kan kun nås, hvis de komplementerende kontroller hos kunderne er hensigtsmæssigt udformet og fungerer effektivt sammen med kontrollerne hos SKI. Erklæringen omfatter ikke hensigtsmæssigheden af udformningen og funktionaliteten af disse komplementerende kontroller. SKI s ansvar SKI er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udtalelse i afsnit 1, herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelsen er præsenteret; for leveringen af de ydelser, beskrivelsen omfatter; for at anføre kontrolmålene; samt for udformningen, implementeringen og effektivt fungerende kontroller for at nå de anførte kontrolmål. Vores uafhængighed og kvalitetsstyring Vi har overholdt kravene til uafhængighed og andre etiske krav i IESBA s Etiske regler, som er baseret på grundlæggende principper om integritet, objektivitet, faglige kompetencer og fornøden omhu, fortrolighed samt professionel adfærd. Ernst & Young anvender ISQC 1 og opretholder derfor et omfattende system for kvalitetsstyring, herunder dokumenterede politikker og procedurer for overholdelse af etiske regler, faglige standarder samt gældende krav ifølge lov og øvrig regulering. Serviceleverandørens revisors ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om SKI s beskrivelse samt om udformningen af kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3000, andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger, som er udstedt af IAASB, og yderligere krav ifølge dansk revisorlovgivning. Denne standard kræver, at vi planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet. En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen og udformningen af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte kontrolmål og hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 1. 3
5 Som nævnt ovenfor har vi ikke udført handlinger vedrørende funktionaliteten af de kontroller, der indgår i beskrivelsen, og udtrykker derfor ingen konklusion herom. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsning i kontroller hos en serviceleverandør SKI s beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtigt efter deres særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i afsnit 1. Det er vores opfattelse, at: (a) (b) beskrivelsen af indkøbsdatasamarbejdet, således som det var udformet og implementeret pr. 31. december 2018, i alle væsentlige henseender er retvisende, og kontrollerne, der knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet pr. 31. december Tiltænkte brugere og formål Denne erklæring er udelukkende tiltænkt de kommuner, der deltager i indkøbsdatasamarbejdet hos SKI, og deres revisorer, som har en tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kundens egne kontroller. Frederiksberg, den 9. maj 2019 ERNST & YOUNG Godkendt Revisionspartnerselskab CVR-nr Nils B. Christiansen statsaut. revisor mne
6 3 Systembeskrivelse 3.1 Introduktion Det fælleskommunale indkøbsdatasamarbejde har til formål at styrke kommunernes grundlag for at effektivisere indkøbsområdet ved løbende at indsamle, analysere og formidle kommunale indkøbsdata ud fra kommunernes købsfakturaer. 3.2 Juridisk struktur (SKI) er ejet af Finansministeriet og kommunerne via KL med henholdsvis 55 % og 45 %. SKI er operatør på indkøbsdatasamarbejdet og forestår indsamlingen og analyserne. SKI har til formål at effektivisere og professionalisere det offentlige indkøb, hvilket indebærer at skabe viden omkring offentligt indkøb. 3.3 Beskrivelse af indkøbsdatasamarbejdet I forbindelse med indkøbsdatasamarbejdet indsamles de deltagende kommuners købsfakturaer for perioden i årene Det indebærer, at kommunerne skal overføre en kopi af deres e- fakturadata til indkøbsdatasamarbejdet. For at kategorisere e-fakturaerne dvs. oversætte den enkelte fakturalinje til en indkøbskategori såsom Kuglepenne eller Aftørringspapir har SKI indgået en aftale med KMD, der fungerer som underleverandør. KMD kategoriserer e-fakturaerne og sender de kategoriserede e-fakturaoplysninger retur til SKI. Alle SKI s analyser foretages på baggrund af de kategoriserede e-fakturaoplysninger (analysedata), og der udarbejdes individuelle rapporter for alle de deltagende kommuner, som herefter udsendes til kommunerne. 3.4 Beskrivelse af dataudveksling Kommunerne kan bidrage med deres fakturadata på to forskellige måder. Kommunerne kan uploade deres fakturadata til SKI til en sikker FTP-server. SKI vil herefter gemme de oprindelige fakturaer, som kommunerne har, og udbygger denne samling, i takt med at de deltagende kommuner i fremtiden sender nye års e-fakturadata til SKI. Det vil sikre, at SKI i fremtiden fx kan skifte underleverandør til kategoriseringsopgaven, uden at dette kræver, at alle de deltagende kommuner på ny skal fremsende flere års fakturaer til SKI. Den anden måde, kommunerne kan deltage på, omfatter de kommuner, der anvender KMD Indkøbsanalyse. I forlængelse af SKI s aftale med KMD om kategoriseringsaftalen er der indgået en aftale, der betyder, at såfremt en kommune har en aftale med KMD om anvendelse af KMD Indkøbsanalyse, kan de vælge at overføre kommunernes fakturadata til indkøbsdatasamarbejdet vederlagsfrit. Det betyder, at kommunens data kan overføres til samarbejdet uden separat udtræk og upload til SKI. Kommunen skal alene sende en instruks, der giver KMD lov til at overføre fakturadata til indkøbsdatasamarbejdet. Uafhængigt af dataudvekslingsmetode gælder det, at SKI gemmer de modtagne data i op til 5 år efter modtagelsen, hvorefter de slettes. De første data, SKI modtog, var i første halvår Det vil konkret betyde, at fakturadata for perioden , som SKI modtog i foråret 2017, vil blive slettet senest i foråret Fakturadata, som SKI modtager i foråret 2018, vil tilsvarende blive slettet senest i foråret 2023 og så fremdeles. 3.5 Definering af dataansvar/databehandler SKI har med hver deltagende kommune indgået en databehandleraftale, der bl.a. redegør for forhold omkring indsamling, opbevaring, bearbejdning samt efterfølgende sletning af kommunernes data. SKI er dermed databehandler i forhold til hver enkelt kommune, der til gengæld fungerer som dataansvarlig med hensyn til de pågældende data. 5
7 3.6 Beskrivelse af erklæringens omfang Nærværende erklæring baserer sig alene på kontroller i SKI s eget regi. Dermed er der ikke set på kontrolmål og kontroller hos SKI s backupleverandører Atea og ProAct, underdataleverandør KMD, som kategoriserer fakturadata, samt eventuelle cloud-baserede underleverandører (Microsoft). 3.7 Risikostyring De indsamlede fakturaer kan i begrænset omfang indeholde personoplysninger såsom: Navn, fødselsdato og CPR-numre. Oplysninger om stilling, , adresser og øvrige kontaktoplysninger. Oplysninger om ansættelsesforhold. Enkeltstående tilfældighedsprægede oplysninger om de berørte borgere m.v., som er genstand for leverancerne, som herunder indirekte eller direkte kan omfatte fx helbredsmæssige oplysninger, oplysninger af privat karakter. Disse behandles alene som led i bortfiltrering hos SKI ved dannelse af analysegrundlaget ud fra fakturaerne. SKI har i aftalen med underdatabehandleren KMD aftalt en procedure, som har til formål at erstatte CPR-numre med en generisk beskrivelse. Denne procedure har fjernet størstedelen af CPR-numrene. Yderligere er denne procedure skærpet i seneste dataleverance fra KMD til SKI. Uden at fange alle personoplysninger renser den skærpede procedure også for personnavne, fysiske adresser, telefonnumre og mailadresser. Kun et begrænset antal ansatte i SKI har adgang til de kategoriserede fakturadata til behandlingsformål. De pågældende ansatte, der behandler data, er underlagt procedurer, der har til formål bl.a. at sikre, hvordan data indeholdende personoplysninger behandles. 3.8 Beskrivelse af procedure, der skal udføres af kommunerne SKI har i sin vejledning til kommunerne beskrevet, hvordan dataflowet mellem kommunerne og SKI skal foregå med henblik på en sikker håndtering af personoplysninger. Gennem anvendelse af sikker-ftpserver m.v. er det muligt for kommunerne at sende deres fakturadata krypteret til SKI. Det forudsættes dermed fra SKI s side, at kommunerne overholder de fremsendte vejledninger om kun at sende data krypteret. SKI forudsætter endvidere, at kommunernes interne procedurer omkring modtagelse og håndtering af fortroligheden vedrørende sikker post følges korrekt. 3.9 Beskrivelse af procedurer og kontroller Generelle sikkerhedsbestemmelser Kontrolmål: Kontroller giver rimelig grad af sikkerhed for, at der er implementeret sikkerhedsforanstaltninger, der stemmer overens med databehandleraftalen. SKI har etableret en sikkerhedsfunktion med ansvarsområdet it-sikkerhed og fysisk sikkerhed på SKI s lokation. På SKI's lokaler er der etableret fysiske adgangsforhold, der sikrer, at kun ansatte hos SKI har adgang til de indkøbsdata, der behandles, herunder at kun få autoriserede medarbejdere har adgang til den server, hvor indkøbsdata opbevares. SKI har etableret procedurer for godkendelse, tildeling og periodisk gennemgang af adgangsrettigheder, der er implementeret i hele SKI-organisationen (1.1a). SKI har udarbejdet generelle retningslinjer for informationssikkerhed, der fastlægger ansvaret for anvendelse af edb-udstyr. Yderligere har SKI udarbejdet procedurer, som fastlægger ansvaret for og beskriver behandling af ind- og uddatamateriale, således der er udarbejdet dokumentation for sletning af testdata samt underdataleverandørens (KMD) sletteproces (1.1b). I SKI s generelle retningslinjer for informationssikkerhed er der fastlagt retningslinjer for den generelle sikkerhedspolitik i SKI. Disse retningslinjer gennemgås i henhold til årshjulet (1.1c) (1.2). 6
8 SKI s generelle retningslinjer for informationssikkerhed indeholder retningslinjer for fjernarbejdspladser, herunder krav om, at adgangen til SKI s systemer sker via krypteret VPN-forbindelse (1.3). Dog har SKI en række formelle retningslinjer for fjernarbejdspladser (1.3a). I forbindelse med salg, genbrug og kassation samt reparation af anvendt it-udstyr er der fastlagt procedurer og retningslinjer for informationssikkerhed (1.4) (1.5) Inddatamateriale, som indeholder personoplysninger Kontrolmål: Kontroller giver rimelig grad af sikkerhed for, at inddatamateriale er beskyttet og kun kan tilgås af autoriserede brugere, samt at inddatamaterialet slettes i henhold til frister anført i databehandleraftalen. Inddatamaterialet kan kun tilgås af et begrænset antal medarbejdere i SKI. Dette er fastlagt i dokumentet procesdokumentation for indkøbssystem. Alt inddatamateriale er elektronisk og er placeret på sikrede krypterede servere (2.1). SKI har endnu ikke slettet produktionsdata leveret til samarbejdet. Dog er der etableret en procedure for sletningen, som har været anvendt i forbindelse med testdata vedrørende nærværende indkøbsdatasamarbejde og i forbindelse med tidligere pilotprojekt (2.2). SKI er ifølge databehandleraftalen senest 5 år efter modtagelsen forpligtet til at slette de kommunale fakturadata. Denne frist er ikke overskredet. Yderligere giver databehandleraftalen den dataansvarlige mulighed for at anmode om at slette. Dette er ved erklæringens udarbejdelse endnu ikke sket. Der er udarbejdet procedure for sletning (2.2a) Autorisation og adgangskontrol Kontrolmål: Kontroller giver rimelig grad af sikkerhed for, at adgang til behandling af indkøbsdata er begrænset og kun kan udføres af autoriserede brugere. Der er fastlagt retningslinjer for, hvilke personer der kan få adgang til behandlingen af indkøbsdata indeholdende personoplysninger. Yderligere er der fastlagt en retningslinje for, hvordan nye medarbejdere får adgang til data, ligesom der er retningslinjer for fjernelse af adgangen for fratrådte medarbejdere (3.1). Adgangen til data er ikke styret af roller, men udelukkende om der er adgang til data eller ej (3.2). Formålet med indkøbsdatasamarbejdet er at skabe viden og statistik i form af rapporter til de tilsluttede kommuner samt input til udvikling af nye rammeaftaler (3.3). Ud over den begrænsede personkreds med adgang til behandling af personoplysninger har også SKI s drifts- og systemteknikere samt revision adgang til indkøbsdata (3.3a). Kontrollen af adgangen til indkøbsdata indgår i årshjulet (3.4) (3.5) Kontrol med afviste adgangsforsøg Kontrolmål: Kontroller giver rimelig grad af sikkerhed for, at brugeradgang afvises og spærres ved gentagne afviste adgangsforsøg. SKI s it-system registrerer gentagne afviste adgangsforsøg, og kontoen udelukkes i en given periode. Yderligere fremsendes der en systemgenereret mail til SKI s it-afdeling om udelukkelsen (4.1) Uddatamateriale, som indeholder personoplysninger Kontrolmål: Kontroller giver rimelig grad af sikkerhed for, at uddatamateriale er beskyttet og kun kan tilgås af autoriserede brugere, samt at uddatamaterialet slettes i henhold til frister anført i databehandleraftalen. For at imødekomme sikkerheden har SKI udarbejdet procedurer, der har til formål at sikre en korrekt behandling og håndtering af personoplysninger. Som udgangspunkt udarbejdes udelukkende rapporter og andet uddatamateriale, der ikke indeholder personoplysninger. I de få tilfælde, hvor der indgår personoplysninger, renses disse både maskinelt (se 3.7) og manuelt ud inden videregivelse. Uddatamateriale indeholdende personoplysninger sendes udelukkende via sikker post eller til kommunens afhentning på SKI s SFTP-server (5.1). Ud over den begrænsede personkreds har også SKI s drifts- og systemteknikere samt revision adgang til uddatamateriale indeholdende personoplysninger (5.1a). Uddatamateriale gemmes på krypterede servere på SKI s fysiske adresse, hvor der kræves separat adgangstilladelse (5.2). Uddatamateriale er endnu ikke blevet tilintetgjort, idet fristen endnu ikke er overskredet, eller at en kommune har anmodet om at få uddata slettet. Imidlertid er der udarbejdet en procedure omkring 7
9 sletning af uddatamateriale omhandlende enkeltpersoner eller en enkelt kommunes samlede data (5.3). Ud over ovenstående er SKI s generelle it-sikkerhedspolitik implementeret med passende tekniske og organisatoriske foranstaltninger (5.4) Eksterne kommunikationsforbindelser Logning Kontrolmål: Kontroller giver rimelig grad af sikkerhed for, at eksterne kommunikationsforbindelser er sikret. I forbindelse med håndtering af personoplysninger anvendes følgende eksterne kommunikationsforbindelser; VPN ved fjernarbejdspladser, SFTP ved overførsel af større datamængder, sikker post ved uddata med personoplysninger og fremsendelse af brugernavn og adgangskode til SFTP. Fællesnævneren for disse er, at der er tale om krypterede forbindelser, der skal sikre, at uvedkommende ikke får adgang til data (6.1). Kontrolmål: Kontroller giver rimelig grad af sikkerhed for, at brugen af fakturadata logges. Alle søgninger i fakturadata logges. Der skelnes i denne forbindelse ikke mellem persondata eller ej persondata (7.1). Denne logning består af brugernavn, tidspunkt og søgekriterier. (7.1a) Hvis en kommune eller tilsynsmyndighed ønsker at modtage kopi af logfilen, er der oprettet procedure herfor (7.2). 8
10 4 Tests udført af EY 4.1 Formål og omfang Vores arbejde blev gennemført i overensstemmelse med ISAE 3000, andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger (andre erklæringsopgaver med sikkerhed). Vores test af kontrollernes udformning har omfattet de kontrolmål og tilknyttede kontroller, der er udvalgt af ledelsen, og som fremgår af afsnit 4.3. Eventuelle andre kontrolmål, tilknyttede kontroller og kontroller hos regioner/kommuner er ikke omfattet af vores gennemgang. Vores test har omfattet de kontroller, der er knyttet til de kontrolmål, som blev vurderet nødvendige for at kunne opnå høj grad af sikkerhed for, at de specifikke kontrolmål er opfyldt pr. 31. december Udførte tests De udførte tests i forbindelse med fastlæggelsen af kontrollers udformning og effektivitet er beskrevet nedenfor. Inspektion Forespørgsler Observation Genudførelse Gennemlæsning af dokumenter og rapporter, som indeholder angivelse omkring udførelse af kontrollen. Dette omfatter bl.a. gennemlæsning af og stillingtagen til rapporter og anden dokumentation for at vurdere, om specifikke kontroller er udformet og implementeret, så de kan forventes at blive effektive. Endvidere har vi vurderet, om kontroller overvåges og kontrolleres tilstrækkeligt og med passende intervaller. Forespørgsel af passende personale hos SKI. Forespørgsler har omfattet spørgsmål om, hvordan kontroller udføres. Vi har observeret udførelsen af kontrollen. Vi har observeret kontrollens udførelse og implementering med henblik på at verificere, at kontrollen har fungeret som forudsat. 9
11 4.3 Resultater af tests Kontrolmål Generelle sikkerhedsbestemmelser 1. Kontroller giver rimelig grad af sikkerhed for, at der er implementeret sikkerhedsforanstaltninger, der stemmer overens med databehandleraftalen. 1.1a Databehandleren skal fastsætte interne bestemmelser om sikkerhedsforanstaltninger til uddybning af de krav, der fremgår af dette bilag. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. 1.1b Databehandleren skal fastsætte interne bestemmelser om sikkerhedsforanstaltninger til uddybning af de krav, der fremgår af dette bilag. Der skal fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. 1.1c Databehandleren skal fastsætte interne bestemmelser om sikkerhedsforanstaltninger til uddybning af de krav, der fremgår af dette bilag. Der skal fastsættes retningslinjer for tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for Databehandleren. Forespurgt til sikkerhedsorganisationen hos SKI. Forespurgt til fysisk sikring hos SKI. Forespurgt til administration af adgange og autorisationer. Inspiceret administration af adgange. Inspiceret administration af autorisationer. Observeret oversigt over fysiske nøgler. Forespurgt til procedure for sletning af ind- og ud datamateriale. Inspiceret informationssikkerhedspolitikken. Inspiceret dokumentation for datasletning. Inspiceret sletning af data leveret til SKI-Dataprojekt 2018 hos KMD A/S. Forespurgt til tilsyn med overholdelse af sikkerhedsforanstaltningerne. Inspiceret retningslinjer for informationssikkerhed. 10
12 1.2 De interne bestemmelser skal gennemgås mindst én gang årligt med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold hos Databehandleren. Forespurgt til procedure for årlig gennemgang af sikkerhedsbestemmelserne. Inspiceret informationssikkerhedspolitisk status Inspiceret ledelsesgodkendt informationssikkerhedspolitik. Inspiceret årlig gennemgang af interne bestemmelser. 1.3 Databehandleren skal fastsætte særlige retningslinjer for behandling af personoplysninger omfattet af Databehandleraftalen, der finder sted på en arbejdsplads uden for Databehandlerens lokaliteter (fjernarbejdsplads), således at det sikres, at de fornødne tekniske og organisatoriske foranstaltninger iagttages i relation til denne behandling af oplysningerne. Forespurgt til procedure for fjernarbejdspladser. Inspiceret retningslinjer for fjern- og hjemmearbejdspladser. Observeret brugen af VPN. Inspiceret dokumentation for opsætning af VPN og dens krypteringsniveau. 1.3a Såfremt behandlingen af personoplysninger hos Databehandleren sker helt eller delvist ved anvendelse af hjemmearbejdspladser, skal Databehandleren fastsætte retningslinjer for medarbejdernes behandling af personoplysninger ved anvendelse af hjemmearbejdspladser. Forespurgt til procedure for fjernarbejdspladser. Inspiceret retningslinjer for fjern- og hjemmearbejdspladser. Observeret brugen af VPN. Inspiceret dokumentation for opsætning af VPN og dens krypteringsniveau. 11
13 1.4 I forbindelse med salg, genbrug og kassation af anvendt udstyr, herunder dataudstyr og datamedier, der indeholder personoplysninger omfattet af Databehandleraftalen, og som har været anvendt til Databehandleraftalens opfyldelse, skal Databehandleren træffe passende tekniske og organisatoriske foranstaltninger for at sikre, at disse oplysninger hverken hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt træffe foranstaltninger mod, at disse personoplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med de persondataretlige regler og/eller denne Databehandleraftale. 1.5 I forbindelse med reparation og service af udstyr, der anvendes til opfyldelse af formålene med behandlingen af oplysninger omfattet af Databehandleraftalen, og som indeholder oplysninger omfattet af Databehandleraftalen, skal Databehandleren træffe de fornødne foranstaltninger for at sikre, at oplysningerne hverken hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt foranstaltninger mod, at oplysningerne kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med de persondataretlige regler eller denne Databehandleraftale. Inspiceret retningslinjer for informationssikkerhed, genbrug, destruktion og reparation af udstyr. Inspiceret dokumentation for kryptering af datamedier. Inspiceret retningslinjer for informationssikkerhed, genbrug, destruktion og reparation af udstyr. Inspiceret dokumentation for kryptering af datamedier. 12
14 Kontrolmål Inddatamateriale som indeholder personoplysninger 2. Kontroller giver rimelig grad af sikkerhed for, at inddatamateriale er beskyttet og kun kan tilgås af autoriserede brugere, samt at inddatamaterialet slettes i henhold til frister anført i databehandleraftalen. 2.1 Databehandleren skal sikre, at inddatamateriale indeholdende personoplysninger omfattet af Databehandleraftalen kun anvendes af personer, som er beskæftiget med inddatering i forbindelse med opfyldelse af formålene med behandlingen af oplysninger omfattet af Databehandleraftalen. Inddatamaterialet skal opbevares aflåst, når det ikke anvendes. Forespurgt til procedurer for behandling af inspiceret indkøbsdatasamarbejde i SKI. Inspiceret procedure for oprettelse af brugeradgange. Inspiceret dokumentation for gennemgang af brugeradgange. 2.2 Inddatamateriale skal slettes eller tilintetgøres, når det ikke længere skal anvendes til formålene med behandlingen af oplysninger omfattet af Databehandleraftalen eller til kontrol med de inddaterede personoplysninger, dog senest efter en af den Dataansvarlige nærmere fastsat frist. 2.2a Ved tilintetgørelse af inddatamaterialet træffer Databehandleren de fornødne sikkerhedsforanstaltninger mod, at materialet misbruges eller kommer til uvedkommendes kendskab. Forespurgt til procedure for sletning af inddatamateriale. Inspiceret dokumentation for datasletning. Inspiceret sletning af data leveret til SKI-Dataprojekt 2018 hos KMD A/S. Forespurgt til procedure for sletning af inddatamateriale. Inspiceret dokumentation for datasletning. Inspiceret sletning af data leveret til SKI-Dataprojekt 2018 hos KMD A/S. 13
15 Kontrolmål Autorisation og adgangskontrol 3. Kontroller giver rimelig grad af sikkerhed for, at adgang til behandling af indkøbsdata er begrænset og kun kan udføres af autoriserede brugere. 3.1 Databehandleren skal sikre, at kun de personer, som autoriseres hertil, må have adgang til personoplysninger, der behandles efter aftalen. Forespurgt til tildeling af adgangsrettigheder vedrørende indkøbsdatasamarbejdes projektet. Inspiceret dokumentation for tildelte adgange til data i indkøbsdatasamarbejdet. Inspiceret procedure samt dokumentation for oprettelse af adgange til datasamarbejdsprojektet. 3.2 Databehandleren skal sikre, at Databehandlerens medarbejdere autoriseres og tildeles rettigheder i overensstemmelse med Databehandlerens interne retningslinjer efter punkt 1, hvori det er beskrevet, i hvilket omfang Databehandlerens medarbejdere må forespørge på, inddatere eller slette oplysninger omfattet af Databehandleraftalen. Forespurgt til proceduren for tildeling af rettigheder. Inspiceret dokumentation for oprettelse og nedlæggelse af adgange til indkøbsdatasamarbejdet. 3.3 Databehandleren må kun autorisere personer, der er beskæftiget med de formål, hvortil personoplysninger behandles i forbindelse med Databehandleraftalens opfyldelse. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har specifikt behov for i forbindelse med Aftalens opfyldelse. Forespurgt til medarbejderes arbejdsbetingede behov for behandling af data fra indkøbsdatasamarbejdet. Inspiceret procedure samt dokumentation for oprettelse af adgange til datasamarbejdsprojektet. Inspiceret dokumentation for tildelte adgange til data i indkøbsdatasamarbejdet. 14
16 3.3a Ud over det i forrige afsnit angivne må Databehandleren endvidere autorisere brugere, for hvem adgang til oplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver i forbindelse med opfyldelse af formålene med behandlingen af personoplysningerne. Inspiceret dokumentation for, at privilegerede adgange til indkøbsdatasamarbejdet er begrænset og godkendt. 3.4 Databehandleren skal som minimum træffe de foranstaltninger, der er beskrevet i Databehandlerens interne retningslinjer efter punkt 1, for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de oplysninger og anvendelser, som de er autoriserede til i forbindelse med Databehandleraftalens opfyldelse. Forespurgt til medarbejderes arbejdsbetingede behov for behandling af data fra indkøbsdatasamarbejdet. Inspiceret dokumentation for tildelte adgange til data i indkøbsdatasamarbejdet. 3.5 Databehandleren skal løbende sikre og dokumentere, at de autoriserede brugere fortsat opfylder betingelserne i punkt 4 og Databehandlerens interne retningslinjer efter punkt 1. Kontrol heraf skal foretages mindst én gang hvert halve år. Forespurgt til medarbejderes arbejdsbetingede behov for behandling af data fra indkøbsdatasamarbejdet. Forespurgt til proceduren for review af brugeradgange. Inspiceret dokumentation for review af brugeradgange. 15
17 Kontrolmål Kontrol med afviste adgangsforsøg 4. Kontroller giver rimelig grad af sikkerhed for, at der foretages registrering af adgangsforsøg, og afviste adgangsforsøg udløser en blokering af brugeren. 4.1 Databehandleren skal foretage registrering af og dokumentere alle afviste adgangsforsøg. Hvis der inden for en af den Dataansvarlige bestemt periode er registreret et af den Dataansvarlige bestemt antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Databehandleren skal løbende afrapportere herom til den Dataansvarlige. Inspiceret opsætning for maksimum antal loginforsøg. Observeret, at en bruger bliver lukket efter 10 forkerte loginforsøg. Observeret, at IT skal åbne brugeren, før den kan benyttes igen. Forespurgt til rapportering om afviste loginforsøg. Kontrolmål Uddatamateriale, som indeholder personoplysninger 5. Kontroller giver rimelig grad af sikkerhed for, at uddatamateriale indeholdende personoplysninger behandles på fortrolig og hensigtsmæssig vis. 5.1 Databehandleren skal sikre, at uddatamateriale indeholdende personoplysninger omfattet af Databehandleraftalen kun anvendes af personer, der er beskæftiget med de formål, til hvilke behandlingen af de givne oplysninger foretages, herunder personer, som er beskæftiget med at tilvejebringe uddatamateriale. Forespurgt til indhold af uddatamateriale, samt hvorledes uddatamateriale behandles. Inspiceret proceduren for beskyttelse af uddatamateriale. Inspiceret, at adgange til uddatamateriale er begrænset til personer med et arbejdsbetinget behov. 16
18 5.1a Uanset udgangspunktet i forrige afsnit må uddatamateriale dog ligeledes anvendes af personer, som er beskæftiget med revision eller drifts- og systemtekniske opgaver i det pågældende system. Forespurgt til indhold af uddatamateriale, samt hvorledes uddatamateriale behandles. Inspiceret proceduren for beskyttelse af uddatamateriale. Inspiceret liste over brugere med privilegeret adgang til uddata. 5.2 Databehandleren skal opbevare uddatamateriale på en sådan måde, at uvedkommende ikke kan få adgang til at gøre sig bekendt med de oplysninger, som er indeholdt heri. Inspiceret proceduren for beskyttelse af uddatamateriale. Inspiceret, at adgange til uddatamateriale er begrænset til personer med et arbejdsbetinget behov. Ingen afvigelser konstateret Inspiceret dokumentation for adgang til serverrum. 5.3 Databehandleren skal tilintetgøre uddatamateriale, når dette ikke længere skal anvendes i forbindelse med Databehandleraftalen og senest efter en af Den Dataansvarlige nærmere fastsat frist. Derudover skal uddatamateriale om enkeltpersoner kunne slettes efter anmodning fra den Dataansvarlige. Forespurgt til procedure for tilintetgørelse af uddatamateriale. Vi er blevet informeret om, at kontrollen ikke har været udløst endnu, hvorfor det ikke har været muligt at teste implementeringen. 5.4 I forbindelse med tilintetgørelse af uddatamateriale skal Databehandleren træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger mod, at dette uddatamateriale misbruges eller kommer til uvedkommendes kendskab. Forespurgt til procedure for tilintetgørelse af uddatamateriale. Vi er blevet informeret om, at kontrollen ikke har været udløst endnu, hvorfor det ikke har været muligt at teste implementeringen. 17
19 Kontrolmål Eksterne kommunikationsforbindelser 6. Kontroller giver rimelig grad af sikkerhed for, at eksterne kommunikationsforbindelser er regelmæssigt sikret. 6.1 Databehandleren må kun anvende eksterne kommunikationsforbindelser til behandling af oplysninger omfattet af Databehandleraftalen i forbindelse med aftalens opfyldelse, hvis der træffes særlige foranstaltninger, såsom kryptering, for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Forespurgt til proceduren for ekstern kommunikationsforbindelse og hjemmearbejdspladser. Inspiceret VPN-opsætning med adgang til behandling af oplysninger. Observeret, at det ikke er muligt at tilgå data uden brug af VPN. Kontrolmål Logning 7. Kontroller giver rimelig grad af sikkerhed for, at der foretages logning af personoplysninger, og at disse opbevares forsvarligt. 7.1 Databehandleren skal foretage logning af alle anvendelser af personoplysninger omfattet af Databehandleraftalen. Inspiceret, at anvendelsen af personoplysninger logges. 7.1a Logningen, jf. forrige afsnit, skal mindst indeholde oplysninger om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Inspiceret, at loggen indeholder oplysninger om tidspunkt, bruger, type af anvendelse og det anvendte søgekriterie. 7.1b Logningen, jf. forrige afsnit, skal opbevares i 6 måneder, medmindre andet er aftalt med den Dataansvarlige, hvorefter den skal slettes. Inspiceret, at log over brugen af persondata opbevares i minimum 6 måneder. 18
20 7.2 Databehandleren skal på den Dataansvarliges anmodning uden unødigt ophold udlevere logdata til den Dataansvarlige eller til en tilsynsmyndighed. Forespurgt til procedure for udlevering af logdata til den Dataansvarlige. Vi er blevet informeret om, at kontrollen ikke har været udløst endnu, hvorfor det ikke har været muligt at teste implementeringen. 19
Fonden Center for Autisme CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataloven og tilhørende bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger med senere ændringer
Læs mereUdkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland
Lovafdelingen Dato: Kontor: Databeskyttelseskontoret Sagsbeh: André Dybdal Pape/ Marcus Nymand Sagsnr.: 2016-766-0019 Dok.: 2104838 Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse
Læs mereDatabehandlerinstruks
1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren
Læs mereDATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]
DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE Flakhaven 2, 5000 Odense C OG [INDSÆT NAVN CVR xxxxxxxx Adresse ] 1. INDLEDNING... 3 2. ALMINDELIGE BESTEMMELSER... 3 3. SUPPLERENDE KRAV... 4 4. UNDERSKRIFTER...
Læs mereRetningsgivende databehandlervejledning:
Retningsgivende databehandlervejledning: 1. Databehandleren handler alene efter vejledning af den dataansvarlige og vedrører de opgaver, datahandleren har i henhold til bilag 1 til databehandleraftalen
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereNetic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.
www.pwc.dk Netic A/S Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser Juni 2018 Indhold 1. Ledelsens udtalelse 2 2. Uafhængig revisors
Læs mereIMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer
MARTS 2019 IMS A/S CVR-nummer 25862015 ISAE 3402 TYPE 1 ERKLÆRING Revisors erklæring vedrørende overholdelse af sikkerhedsprocedurer omkring dataudveksling. Rammen for sikkerhedsprocedurer er angivet i
Læs merePlan og Handling CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov pr. 29-01-2019 ISAE 3000 CVR-nr.: 18 13 74 37
Læs mereTilladelsen gives på følgende vilkår:
Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,
Læs mereLector ApS CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesloven (GDPR) pr. 06-07-2018 ISAE 3000-I Lector ApS CVR-nr.: 10 02 16 18 Juli 2018 REVI-IT A/S statsautoriseret
Læs mereAthena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018
www.pwc.dk Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018 Indhold 1. Ledelsens udtalelse... 3 2. Uafhængig revisors
Læs mereKomiteen for Sundhedsoplysning CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) pr. 20-12-2018 ISAE 3000 Komiteen for Sundhedsoplysning CVR-nr.: 14 03 53 38 December
Læs mere1. Ledelsens udtalelse
www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens
Læs mereEG Cloud & Hosting
www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017
Læs mereEG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser
www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...
Læs mereUnderbilag Databehandlerinstruks
Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataforordningen (GDPR) pr. 25-05-2018 ISAE 3000-I CVR-nr.: 33 07 66 49 Maj 2018 REVI-IT A/S statsautoriseret
Læs mereMichael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk
Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs mereIshøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.
IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens
Læs mereDeltagelse i indkøbsdatasamarbejdet:
Bilag 1 til Tilmeldingsskemaet til Deltagelse i indkøbsdatasamarbejdet: Databehandleraftale Dags dato er indgået nedenstående aftale mellem (Kommunenavn) (CVR nr.) (Adresse) (Postnummer og by) (Herefter
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov for leverancen af rekrutteringsydelser i perioden
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs mereUNDERBILAG 14A.1 DATABEHANDLERINSTRUKS
UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS 1. Vedrørende Databehandlerens ansvar 1.1. Databehandleren må alene behandle personoplysninger omfattet af Databehandleraftalen efter instruks fra den Dataansvarlige
Læs mere3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.
Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling
Læs mereBilag A Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (Beierholms kunde) indgåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandleren (Beierholm)
Læs mereDATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx
DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående
Læs mereAFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN
AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør
Læs mereDATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )
DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:
Læs mereSikkerhedsregler for Kalundborg Kommune
Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til
Læs mereBilag B Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (s kunde) indgåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren () behandling af personoplysninger,
Læs mereAFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )
AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik
Læs mereUnderbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]
Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] DATABEHANDLERAFTALE Der er dags dato indgået følgende Databehandleraftale mellem
Læs mere- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)
Læs mereDatabehandleraftale. om [Indsæt navn på aftale]
Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune
Læs mere1. Indledende bestemmelser Formål. Område
1. Indledende bestemmelser Formål 1.1 Formålet med bestemmelserne er, at den enkelte persons retsbeskyttelse og integritet ikke krænkes ved behandling af personoplysninger i Region Hovedstaden og på Steno
Læs mereDATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS
DATABEHANDLERAFTALE General aftale omkring behandling af persondata Udarbejdet af: ZISPA ApS Aftalen Denne databehandleraftale (Aftalen) er ZISPA s generelle databehandler aftale til den indgåede samhandelsaftale
Læs mereKontraktbilag 7: Databehandleraftale
Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør
Læs mereDATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde
DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde sig til indholdet evt.
Læs mereBilag 9 Databehandleraftale
Bilag 9 Databehandleraftale Aftale om databehandling mellem Trafik-, Bygge- og Boligstyrelsen Edvard Thomsens Vej 14 2300 København S (i det følgende betegnet som den Dataansvarlige) og XXX XX XX (i det
Læs merehos statslige myndigheder
IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet
Læs mereDATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr
DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr. 29189668 (herefter Kommunen ) og Firmanavn Adresse Postnr. og by CVR.nr. (herefter Leverandøren ) er der indgået nedenstående
Læs mereDriftskontrakt. Databehandleraftale. Bilag 14
Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]
Læs mereDatabehandlervilkår. 1: Baggrund, formål og definitioner
Databehandlervilkår 1: Baggrund, formål og definitioner 1.1 Denne databehandleraftale (herefter kaldet Databehandleraftalen ) vedrører de af den Dataansvarlige indkøbte løsninger og ydelser, hvor behandling
Læs mereBilag X Databehandleraftale
Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN
Læs mereDATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren )
Læs mereDatabehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:
Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter
Læs mereAftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )
Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) og Steuermann ApS Flæsketorvet 68 1711 København V CVR. nr. 35809422 (i det følgende betegnet Databehandler ) (herefter samlet
Læs mereDATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]
DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] Tekst markeret med GRØN, udfyldes inden udsendelse til leverandøren Tekst markeret med TURKIS, udfyldes af leverandøren Side 1/16 Side 2/16 DATABEHANDLERAFTALE
Læs mereDATABEHANDLERAFTALE [LEVERANDØR]
DATABEHANDLERAFTALE Mellem [KUNDE] og [LEVERANDØR] Der er den [dato] indgået følgende databehandleraftale ("Aftalen") mellem: (A) (B) [VIRKSOMHEDEN], [ADRESSE] et selskab registreret under CVR-nr. [ ]
Læs mereIST DANMARK APS ISAE 3000 ERKLÆRING
MAJ 2017 IST DANMARK APS ISAE 3000 ERKLÆRING Uafhængig revisors erklæring om IST Danmark ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerheds- foranstaltninger til beskyttelse af personoplysninger.
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs mere3 Omfattede typer af personoplysninger og kategorier af registrerede
1 Behandlingsformål og behandlingsomfang Denne Databehandleraftale (Databehandleraftalen) er indgået som del af eller under henvisning til, at Parterne har aftalt en eller flere leveringer af it-ydelser
Læs mereDatabehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]
Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn
Læs mere1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.
Aftalens omfang 1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden. 1.2 Personoplysninger, der behandles af Leverandøren,
Læs mereDATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)
DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: By: (i det følgende benævnt KUNDEN) MICO ApS CVR 29220646 Bådehavnsgade 42 2450 København SV (i det følgende benævnt MICO) INDLEDNING Nærværende
Læs mereJNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma
647-192717 JNA/jna 26.09.2016 DATABEHANDLERAFTALE mellem herningcentret (Dataansvarlig) og Emplate ApS (Databehandler) Advokatfirma Indholdsfortegnelse 1. Parterne... 3 2. De juridiske rammer... 3 3. Pligt
Læs mereDatabehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes
Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn
Læs mere1.1. Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.
Der indgås hermed følgende databehandleraftale ("Aftalen") mellem "Kunden"og MemberLink Aps (som driver Rokort.dk), Stenager 2, 6400 Sønderborg CVR 33381638 ("Leverandøren"), der samlet benævnes "Parterne"
Læs mereCC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Aftalen foreligger mellem Adresse Post nr. og By CVR. nr. xx xx xx xx (i det følgende betegnet Dataansvarlig ) og CC GROUP DENMARK Møllebugtvej 5 7000 Fredericia Att: CVR. nr. 27415032
Læs mereSletteregler. v/rami Chr. Sørensen
Sletteregler v/rami Chr. Sørensen 1 Generelt om retten til berigtigelse og sletning efter artikel 16-17 Efter begæring (artikel 5, stk. 1, litra d) Skal angå den registrerede selv Ingen formkrav Den dataansvarlige
Læs mereAftale omkring behandling af persondata.
Databehandleraftale Aftale omkring behandling af persondata. Aftalen Denne databehandleraftale er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig) og ApS (Databehandler), og er gældende
Læs mereDATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Januar 2018 Version 1.1 Udarbejdet af: Jansson Gruppen A/S på vegne af: Jansson EL A/S, CVR nr.: 73 28 93 19 Jansson Alarm A/S, CVR nr.: 74 78
Læs mereBilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS
Side: 1 DATABEHANDLERAFTALE Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS 1. Baggrund 1.1 Den Dataansvarlige er den juridiske enhed/kunde som har indgået
Læs mereCuranet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Åstvej 10, B 7190 Billund CVR. nr. 30 56 13 17 (i det følgende betegnet Dataansvarlig ) og Curanet A/S Højvangen 4 8660 Skanderborg CVR. nr. 29
Læs mereDATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem
vedr. Indkøbsordning til visiterede borgere i eget hjem Mellem Hvidovre Kommune Hvidovrevej 278 2650 Hvidovre Glostrup Kommune Rådhusparken 2 2600 Glostrup (CVR nr. 65120119) Rødovre Kommune Rødovre Parkvej
Læs mere1. Ledelsens udtalelse
www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden
Læs mereKontraktbilag 3. Databehandleraftale
Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i
Læs merelov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).
Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.
Læs mereDatabehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.
Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke Herefter benævnt Dataansvarlig Og Leverandør navn Adresse Herefter benævnt Databehandler side 1 af 5 Generelt Databehandleren
Læs mere2. Leverandøren er som databehandler forpligtet til følgende:
DPG DATABEHANDLER AFTALE Timengo DPG A/S Lautrupvang 1 2750 Ballerup Denmark Databehandler aftale Databehandler aftalen omfatter Leverandør rolle som databehandler for kunden. Det skal understreges, at
Læs mereForsvarsministeriets Materiel- og Indkøbsstyrelse
Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.
Læs mereRegisterforskrifter. Den Centrale Venteliste
Dato: 25.04.2005. J.nr.: 42.20.05 Registerforskrifter Den Centrale Venteliste De foreliggende registerforskrifter er gældende for Registret Den Centrale Venteliste, som føres af Familiedirektoratet. Registerforskrifterne
Læs mereDATABEHANDLERAFTALE. Aftale omkring behandling af persondata
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Denne databehandleraftale (Aftalen) er er et tillæg til den indga ede samtykke mellem kunden (Dataansvarlig) og GSGroup Esbjerg (Databehandler)
Læs mereDatatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration
Side 1 af 2 Forside / Erhverv / Personaleadministration / Krav om datasikkerhed i forbindelse med personaleadministration Opdateret: 06.05.15 Krav om datasikkerhed i forbindelse med personaleadministration
Læs mereBilag 4- Ydelsesbeskrivelse
Bilag 4- Ydelsesbeskrivelse 1. Ydelsesbeskrivelsens indhold Ydelsesbeskrivelsen består af dette bilag 4 med tilhørende underbilag. 2. Ændring af Ydelsesbeskrivelsen 2.1 Leverandørens ret til løbende at
Læs mereDatabehandler aftale Bilag til Aftale om MemberLink
Denne databehandleraftale er et bilag til den mellem Parterne indgåede Aftale om MemberLink ( Aftalen om MemberLink ) og udgør en integreret del deraf jf. Aftalen om MemberLinks bestemmelser vedrørende
Læs mereDragør Kommune Borgmestersekretariat, IT og Personale Marts
Bilag 5 Databehandleraftale 1. Overholdelse af gældende regler og forskrifter Databehandleren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten,
Læs mereBILAG 14: DATABEHANDLERAFTALE
BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav
Læs mereDatabehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD
INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel
Læs mereDATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )
DATABEHANDLERAFTALE Databahandleraftale #00014207_2018-05-23 Mellem Navn Adresse Postnr og by CVR: 12345678 (I det følgende benævnt Kunden ) og Corpital P/S Tobaksvejen 23B 2860 Søborg CVR: 28133391 (I
Læs mereJeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )
DATABEHANDLERAFTALEN Databehandleraftale ( Aftalen ) mellem: Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK-36726350 ( Leverandøren ) A: OMFANG A.1 Databehandleraftale
Læs mere3 Omfattede typer af personoplysninger og kategorier af registrerede
1 Behandlingsformål og behandlingsomfang Denne Databehandleraftale (Databehandleraftalen) er indgået som del af eller under henvisning til, at Parterne har aftalt en eller flere leveringer af it-ydelser
Læs mereSKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017
SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 Side 1/19 Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med gul er aftaletekst,
Læs mereDanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Vilhelm Thomsens plads 1 8900 Randers CVR. nr. 35 58 90 31 (i det følgende betegnet Dataansvarlig ) og DanDomain A/S Normansvej 1 8920 Randers
Læs mereDatabehandleraftale. Dags dato er indgået nedenstående aftale mellem
Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]
Læs mereRammeaftalebilag 5 - Databehandleraftale
Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)
Læs mereVilkår og privatlivspolitik
Vilkår og privatlivspolitik 1. Ansvar Beskyttelse af dine persondata har vores højeste prioritet, uanset om disse data handler om dig, dine transaktioner, dine produkter eller dine serviceydelser. Vi behandler
Læs mereEksempel på KOMBITs instruks til ISAE 3000 revisionserklæring
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,
Læs mereBekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
Uddrag af Persondataloven, lov nr. 429 af 31. maj 2000 41. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller
Læs mereDatabehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem
Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")
Læs mereDatabehandlingsvilkår - vilkår for behandling af personoplysninger på vegne af en dataansvarlig kunde
Databehandlingsvilkår - vilkår for behandling af personoplysninger på vegne af en dataansvarlig kunde 1. Gyldighed 1.1 Dette dokument, benævnt Databehandlingsvilkår, beskriver de vilkår Damgaard-Jensen
Læs mereorigo Databehandleraftale
Databehandleraftale MED ORIGO SYSTEMS APS Baseret på Kombits skabelon version 1.0 af 3. april 2017 Side! 1/! DATABEHANDLERAFTALE Mellem CVR. nr.: (herefter Kunden ) og Origo Systems ApS Sjællandsgade 72
Læs mereISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer
plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger
Læs mereTønder Kommune BILAG 10
Tønder Kommune BILAG 10 Databehandleraftale mellem Tønder kommuner og Leverandør Side 1/14 DATABEHANDLERAFTALE Mellem Tønder Kommune Wegners Plads 2 6270 Tønder CVR. nr.: 29189781 (herefter Kommunen )
Læs mereDatabehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )
Databehandleraftale Virksomhed [Adresse] [Adresse] CVR-nr.: (den Dataansvarlige ) og Net & Data ApS Hollands Gaard 8 4800 Nykøbing F CVR-nr.: 27216609 ( Databehandleren ) (den Dataansvarlige og Databehandleren
Læs mereDATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )
DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren
Læs mereDatabehandleraftale 2013
Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE
Læs mere