Til Økonomiudvalget 25. februar Sagsnr Bilag 5: Uddybende konklusioner på tilsyn med informationssikkerheden 2018
|
|
- Leif Eriksen
- 4 år siden
- Visninger:
Transkript
1 KØBENHAVNS KOMMUNE Økonomiforvaltningen Koncern IT NOTAT Til Økonomiudvalget 5. februar 09 Bilag 5: Uddybende konklusioner på tilsyn med informationssikkerheden 08 Baggrund Koncern IT (KIT) fører i henhold til kommunens forretningscirkulærer for organisering af informationssikkerhed årligt tilsyn med overholdelsen af kommunens informationssikkerhedsbestemmelser. Tilsynet skal, jf. Informationssikkerhedsregulativet for Københavns Kommune (KK) foretages ud fra en risikobaseret tilgang, hvor KIT s årlige tilsyn skal bidrage til, at det samlede tilsyn i kommunen er dækkende, tilstrækkeligt og effektivt. Sagsnr Dokumentnr Sagsbehandler Casper Ranzau Bellincampi Indledning KIT har i 08 udvalgt i alt fem tilsynsemner, som der er ført tilsyn med. De fem tilsynsemner er udvalgt med afsæt i den tilgængelige viden, som KIT er i besiddelse gennem enhedens rolle på informationssikkerhedsområdet i KK. Udvælgelsen af tilsynsemner har taget afsæt i en risikobaseret tilgang, hvor KIT har vurderet både sandsynligheden og konsekvenserne i tilfælde af manglende overholdelse af informationssikkerhedsbestemmelserne. Som en del af udvælgelseskriterierne er der bl.a. taget udgangspunkt i emner, hvor der i løbet af året er oplevet konkrete uregelmæssigheder. I 08 er gennemført tilsyn på følgende tilsynsemner: A. TV- og videoovervågning B. Databærende medier C. Eksterne konsulenters adgange D. Uddelegeret brugerstyring E. Sikre kommunikationsløsninger Tilsynets overordnede formål et med det gennemførte tilsyn er at lave en vurdering af, hvorvidt forvaltningerne følger kommunens informationssikkerhedsbestemmelser. Tilsynet skal bidrage til, at forvaltningerne får et indblik i om der er områder, hvor informationssikkerheden ikke er tilrettelagt hensigtsmæssigt og samtidig får anbefalinger til, hvordan informationssikkerheden for de givne emner/områder kan øges. Nedenfor følger en gennemgang af hvert af de fem tilsynsemner, hvor bestemmelser, formålet og resultaterne for de enkelte tilsynsemner er Vejledende Sikkerhed Borups Allé København NV EAN nummer
2 uddybet. For alle tilsynspunkter og for tilsynsemnerne generelt anvendes risikobeskrivelsen, der fremgår af Tabel nedenfor. Tabel : Risiko- og prioritetsbeskrivelser Risikobeskrivelse Anvendes for risici, der anses for kritiske. En risiko anses for kritisk, såfremt der er en høj grad af sandsynlighed for, at forholdet indtræffer og/eller har en betydelig effekt og/eller har en betydelig udbredelse. Risiko/prioritet Anvendes for risici, der anses for væsentlige. En risiko anses for væsentlig, såfremt der er en middel grad af sandsynlighed for, at forholdet indtræffer og/eller har en vis effekt og/eller har en vis udbredelse. Anvendes for risici, der anses for mindre væsentlige. En risiko anses for mindre væsentlig, såfremt der er en lille grad af sandsynlighed for, at forholdet indtræffer og/eller har en lille effekt og/eller har en lille udbredelse. A) Tilsyn med forvaltningernes TV- og videoovervågning Det følger af Københavns Kommunes uddybende it-sikkerhedsregler pkt. 9.3., at forvaltningernes ledelse er ansvarlig for at sikre områder på passende vis. Ledelsen skal endvidere sikre, at tv- og videoovervågning overholder de gældende lovkrav om beskyttelse af persondata samt i øvrigt kommunens egne regler, jf. Københavns Kommunes uddybende it-sikkerhedsregler pkt et med det udvalgte emne er at undersøge, hvorvidt forvaltningen har et ajourført overblik over hvor der er opsat videoovervågning samt sikret at forvaltningerne overholder en række af Københavns kommunes regler om brug af videoovervågning. Resultaterne fremgår af Tabel på næste side. Side af 9
3 Tabel : Resultat for tilsynsemnet: tv- og videoovervågning Har forvaltning udarbejdet overblik Har nødvendigt over hvor der er opsat 6 overblik videoovervågning Har et delvist overblik Har forvaltningen informeret Har informeret udvalgte persongrupper i forbindelse Har informeret delvist med etablering af videoovervågning Har ikke informeret Har forvaltning sikret at optagelser gemmes i maksimalt 30 dage samt udarbejdelse instrukser eller vejledninger herfor. Forvaltningens håndtering af modtagne indsigtsbegæringer efter databeskyttelsesforordningens art. 5 Har forvaltning etableret overvågning af offentlige steder med almindelig færdsel Har forvaltning etableret skiltning i forbindelse med overvågning Har forvaltning indgået aftale med lokale interessenter i forbindelse med etablering af videoovervågning Har forvaltning overblik over hvilke personer som har adgang til videooptagelser Gemmer maksimalt 30 dage Har ikke et totalt overblik over området Sikrer generelt ikke overholdelse af 30 dages reglen. anmodning om indsigt i Videooptagelser Har registreret overvågning af offentlige steder Mangler overblik over karakteren af overvågning Har etableret skiltning Har delvist etableret skiltning Har ikke et centralt overblik over skiltning Indgår aftale med lokale interessenter Oplyser at der ikke er indgået aftaler med lokale interessenter Kan dokumentere personer med rettigheder Har ikke en central registrering eller mangelfuld registrering Har ingen dokumentation om registrerede brugere Side 3 af 9
4 Der er væsentlige indikationer på, at forvaltningerne ikke lever op til, eller mangler overblik over, væsentlige dele af de informationssikkerhedsmæssige bestemmelser, der er gældende ift. tv- og videoovervågning. Dette gælder specifikt for: Sikring af underretning og aftaler med medarbejder samt lokale interessenter. Overholdelse af sletteregler Skiltning om videoovervågning Manglende overblik og registrering af medarbejdere med adgang til videoovervågningsudstyr. Tilsynet har desuden bemærket, at der syntes at være en manglende koordinering af forvaltningernes registreringer lokalt i forhold til det etablerede samarbejde med Københavns Politi. B) Tilsyn med databærende medier - Procedurer for bortskaffelse af databærende IT-udstyr. Ifølge Københavns Kommunes uddybende it-sikkerhedsregler pkt følger det, at it-udstyr, som indeholder person- eller værdioplysninger, skal destrueres i det omfang, det er muligt. Det følger endvidere af kommunens informationssikkerheds regler, at der ikke må opbevares værdi- eller persondata på databærende medier uden den nødvendige beskyttelse. et med det udvalgte emne er at undersøge, hvorvidt forvaltningen har retningslinjer for og overblik over anvendelsen samt om der sker en tilbagelevering af databærende medier som f.eks. løse harddiske, USB-nøgler, CD, DVD mv. Resultaterne fremgår af Tabel 3 på næste side: Side af 9
5 Tabel 3: Resultat for tilsynsemnet: databærende medier Udarbejdelse af lokale retningslinjer for benyttelse af databærende medier anmærkninger ift. f.eks. løse harddiske, USB-nøgler, 7 punktet CD, DVD, mobile enheder (tablets, mobiltelefoner) Overblik over øvrige databærende medier 7 anmærkninger ift. punktet Sikring af tilbagelevering af databærende medier efter medarbejderens ophør eller organisatorisk flytning Sikring af sikker destruktion af databærende medier (bortset fra aktiver i Koncern IT s CMDB) samt retningslinjer herom 7 7 anmærkninger ift. punktet anmærkninger ift. punktet Tilsynet finder at ingen forvaltninger har overtrådt gældende regler om bortskaffelse af databærende IT-udstyr. I forbindelse med tilsynet har Koncern IT imidlertid henstillet til, at forvaltningerne vurderer, hvorvidt der er behov for yderligere initiativer til at sikre databærende medier. Dette skal bl.a. ske ved, at det bør overvejes om området bør beskrives nærmere. C) Tilsyn med eksterne konsulenters adgange - Procedurer for eksterne konsulenters adgang til servere mv. Det følger af Københavns Kommunes uddybende it-sikkerhedsregler pkt. 0.., at Københavns Kommune skal kunne gennemføre audit eller kontrol med outsourcede aktiviteter herunder logning af adgang og ændringer til systemer. et med det udvalgte emne er at undersøge, hvordan forvaltningerne håndterer de informationssikkerhedsmæssige aspekter, der følger af at samarbejde med eksterne konsulenter. Nærmere har formålet været at undersøge, hvorvidt forvaltningerne har retningslinjer for eksterne konsulenters brugeradgange til servere og systemer som administratorer samt om forvaltning logger (registrerer) og fører tilsyn med konsulenters aktiviteter og rettigheder. Resultaterne fremgår af Tabel på næste side. Side 5 af 9
6 Tabel : Resultat for tilsynsemnet: eksterne konsulenters adgange Retningslinjer for tildeling og sletning af eksterne konsulenters brugeradgange til servere og systemer 3 har retningslinjer for tildeling af autorisationer til eksterne konsulenter som systemadministratorer har delvist udarbejdet Logning af eksterne konsulenters aktiviteter på de pågældende servere mv. Tilsyn med eksterne konsulenters aktiviteter Tilsyn med sletning af eksterne konsulenters brugeradgange retningslinjer gennemfører logning af konsulenters aktiviteter gennemfører kun i begrænset omfang logning af eksterne konsulenter aktiviteter fører tilsyn med eksterne konsulenters aktiviteter fører delvist tilsyn eller er i færd med at føre tilsyn med eksterne konsulenter aktiviteter fører intet tilsyn med konsulenter fører tilsyn med at eksterne konsulenter slettes efter ophør. fører ikke tilsyn med, eller kan ikke dokumentere evt. gennemført tilsyn Tilsynet finder at der en væsentlig risiko for at manglende retningslinjer, logning og tilsyn med eksterne konsulenter, medfører en forøget risiko for tab af fortrolighed, integritet og tilgængelighed. KIT har på baggrund af tilsynsresultaterne lagt op til en drøftelse heraf i Digitaliseringschefkredsen samt påbegyndt udformningen af en vejledning. D) Tilsyn med uddelegeret brugerstyring - Procedurer for brugeradministration i systemer som er uddelegeret til lokal styring i forvaltningerne Det følger af Københavns Kommunes tidligere it-sikkerhedsregulativ 7 stk. a, at administrationen af brugeradgange i Københavns Kommunes it-systemer varetages af Brugeradministrationen i Koncernservice (nu Koncern IT). Side 6 af 9
7 Koncern IT har gennemført en stikprøvekontrol for 5 af de systemer, hvor varetagelsen af brugeradministrationen er uddelegeret til varetagelse lokalt i forvaltningerne. et med det udvalgte emne er at undersøge, hvorvidt forvaltningerne har udarbejdet en specifik autorisationsprocedure, der sikrer korrekte procedurer for tildeling og sletning af autorisationer. Resultaterne fremgår af Tabel 5 nedenfor: Tabel 5: Resultat for tilsynsemnet: uddelegeret brugerstyring Autorisationsprocedure for systemet opfylder kravene til autorisationsproceduren synes kun at have et delvist billede af autorisationsproceduren Sikring af sletning af medarbejdere sikrer at medarbejdere som ophører eller ikke længere skal slettes ved ophør eller 5 have systemadgang. ved bortfald af opgaver. Procedure for tildeling af nye adgangskoder i tilfælde af skift af adgangskode. opfylder kravene til en procedure for tildeling af adgangskoder giver ikke tilstrækkelig sikkerhed ved adgangskodeskift og passwordkompleksitet Tilsynet finder at der med de fundne forhold er en mindre risiko for, at de beskrevne autorisationsprocesser ikke er tilstrækkelige. Kvaliteten og udformningen af procedurerne er imidlertid svingende og bygger alene på de centrale regler. Bl.a. i den forbindelse har KIT udarbejdet en vejledning, der skal øge kvaliteten af nuværende og fremtidige autorisationsprocedurer. E) Tilsyn med sikre kommunikationsløsninger - Borgeres mulighed for at sende sikker via en række af Københavns kommunes hjemmesider på Det følger af kommunens uddybende it-sikkerhedsregler, navnlig punkt.3., at kommunen skal kunne kommunikere sikkert med borgere og virksomheder. Der gælder endvidere et krav om, at Side 7 af 9
8 kommunen skal stille løsninger til rådighed, så borgere og virksomheder kan skrive sikkert til kommunen, hvis der skal sendes fortrolige eller følsomme oplysninger over det åbne internet. et med tilsynsaktiviteten er at tjekke, hvorvidt der stilles sikre kommunikationsløsninger til rådighed når dette bør være til stede, og at der i øvrigt ikke afgives misvisende informationer omkring kommunikationen. Koncern IT har foretaget en stikprøvekontrol af 50 borgerrettede hjemmesider og de tilknyttede informationer. Resultaterne fremgår af Tabel 6 nedenfor. Tabel 6: Resultat for tilsynsemnet: sikre kommunikationsløsninger Forvaltningens procedurer for borgeres mulighed for at sende sikker via Københavns Kommune hjemmesider har ikke modtaget nogle bemærkninger for deres 5 håndtering af sikre kommunikationsløsninger. har modtaget bemærkninger, fordi det er Koncern IT s vurdering, at der er en betydelig risiko for, at borgere fremsender fortrolige eller følsomme oplysninger ukrypteret til forvaltningernes enheder. Tilsynet finder, at der generelt er en mindre sandsynlighed for at borgere ikke har mulighed for at sende sikker mail til København Kommunes forvaltninger. Tilsynet peger dog på, at forvaltningerne altid skal sikre, at sider hvor det kan forventes at borgere henvender sig skriftligt, gives mulighed for at sende sikker post. Den videre proces ØKF/Koncern IT foretager løbende tilsyn med overholdelsen af kommunens informationssikkerhedsbestemmelser og kan i den forbindelse bl.a. udstede påbud til forvaltningerne med henblik på, at kommunens regler for informationssikkerhed overholdes, jf. kommunens forretningscirkulære for organisering af informationssikkerhed. Side 8 af 9
9 Hertil kommer, at ØKF/Koncern IT bl.a. på baggrund af de respektive tilsyn i forvaltningerne mindst en gang årligt orienterer Økonomiudvalget om status på informationssikkerhedsarbejdet i kommunen, jf. nærværende status. Side 9 af 9
IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereØkonomiudvalget om status på it-sikkerhedsarbejdet i kommunen, og herunder om it-sikkerhedshændelser og kompenserende tiltag.
KØBENHAVNS KOMMUNE Økonomiforvaltningen Koncernservice NOTAT Til Økonomiudvalget Aflæggerbordet Orientering til Økonomiudvalget om status på itsikkerhedsarbejdet og it-sikkerhedshændelser i 2016 Baggrund
Læs mereRevisionsrapport Revision af vederlag for 2017
Intern Revision Økonomiforvaltningen Att.: Adm. direktør - Peter Stensgaard Mørch Københavns Rådhus 1599 København V Revisionsrapport Revision af vederlag for 2017 Indledning Som led i den løbende revision
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs merePolitik for informationssikkerhed i Plandent IT
9. maj 2018 Version 0.8. Politik for informationssikkerhed i Plandent IT Indhold Formål med politik for informationssikkerhed... 3 Roller og ansvar... 3 Politik for manuel håndtering af følsomme kundedata...
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereBilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer
Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereRetningslinjer. for. Video-overvågning i Faxe Kommune
Ændringer er markeret med rødt Retningslinjer for Video-overvågning i Faxe Kommune Formål Formålet med i Faxe Kommune er at beskytte kommunens ejendomme og værdier mod kriminelle handlinger samt tilføre
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereIshøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.
IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens
Læs mereTil Økonomiudvalget. Sagsnr Dokumentnr Bilag 1 til indstilling til Økonomiudvalget
KØBENHAVNS KOMMUNE Økonomiforvaltningen Koncernservice NOTAT Til Økonomiudvalget Bilag 1 til indstilling til Økonomiudvalget Uddybning vedr. Købehavns Kommunens modenhed på Itsikkerhedsområdet Konklusionen
Læs mereJesper Andersen / Lone Forsberg Databeskyttelsesrådgiveren September 2018
Databeskyttelse i Københavns Kommune Jesper Andersen / Lone Forsberg Databeskyttelsesrådgiveren September 2018 DAGENS EMNER Københavns Kommunes anno 2016 & compliancearbejdet Governance på databeskyttelsesområdet
Læs merePERSONDATAPOLITIK ekstern persondatapolitik til hjemmesiden
PERSONDATAPOLITIK ekstern persondatapolitik til hjemmesiden Persondataansvar hos Inter Terminals Danmark koncernen Vi tager beskyttelse af dine persondata alvorligt Inter Terminals Danmark koncernen (herefter
Læs mereINFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik
Informationssikkerhedspolitik Er informationssikkerhed aktuel? Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet Hvorfor
Læs mereFællesregional Informationssikkerhedspolitik
Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6
Læs mereDatabehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes
Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn
Læs mereTøystrup Gods udfører al håndtering af personlige data i overensstemmelse med gældende lovgivning.
Persondatapolitik Et af vores mål er at opretholde det højeste niveau af sikkerhed for vores gæster, kunder og medarbejdere dette gør sig også gældende, når det kommer til beskyttelsen af personoplysninger.
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs merePERSONDATAPOLITIK ekstern persondatapolitik til hjemmesiden
PERSONDATAPOLITIK ekstern persondatapolitik til hjemmesiden Persondataansvar hos Inter Terminals Danmark koncernen Vi tager beskyttelse af dine persondata alvorligt Inter Terminals Danmark koncernen har
Læs mereDATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx
DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående
Læs mereRetningslinier. for. Video-overvågning i Faxe Kommune
Retningslinier for Video-overvågning i Faxe Kommune Formål Formålet med i Faxe Kommune er at beskytte kommunens ejendomme og værdier mod kriminelle handlinger samt tilføre tryghed for ansatte i kommunen
Læs mereOrientering til Økonomiudvalget - Proces for revisionsrapportering
KØBENHAVNS KOMMUNE Økonomiforvaltningen Center for Økonomi NOTAT Til Økonomiudvalget 16. maj 2019 Orientering til Økonomiudvalget - Proces for revisionsrapportering Baggrund Borgmester Cecilia Lonning-Skovgaard
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Friskolen og Idrætsefterskolen UBBY Overordnet organisering af personoplysninger Friskolen og Idrætsefterskolen UBBY ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereDatabehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]
Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn
Læs mereBilag. Region Midtjylland. Bilag til Kasse og regnskabsregulativet - Retningslinier for intern kontrol. til Regionsrådets møde den 12.
Region Midtjylland Bilag til Kasse og regnskabsregulativet - Retningslinier for intern kontrol Bilag til Regionsrådets møde den 12. december 2007 Punkt nr. 48 Regionshuset Viborg Regionsøkonomi Regnskabskontoret
Læs mereVEJLEDNING TIL BEBOERREPRÆSENTANTER - BESKYTTELSE AF PERSONDATA
VEJLEDNING TIL BEBOERREPRÆSENTANTER - BESKYTTELSE AF PERSONDATA HVILKE PERSONOPLYSNINGER LIGGER I INDE MED? Side 1 af 10 Oktober 2018 BESKYTTELSE AF PERSONDATA - DET ER OGSÅ JERES ANSVAR Som beboerrepræsentanter
Læs merePersondatapolitik Revideret dato: 24. maj 2018
Denne persondatapolitik omhandler indsamling, brug og videregivelse af oplysninger med Vitus Bering Innovation Park som dataansvarlig. Formålet med vores persondatapolitik er at give indsigt i hvordan
Læs mereDragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere
Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,
Læs mereREVISIONSRAPPORT Socialforvaltningen Administration af betalingskommuneoplysninger
Intern Revision 22. september 2015 REVISIONSRAPPORT 2015 Socialforvaltningen Administration af betalingskommuneoplysninger i Folkeregisteret MODTAGER Anette Laigaard Anders Kirchhoff INTERN REVISION Jesper
Læs mereSammenfattende kan Datatilsynet konkludere
Odense Kommune Flakhaven 2 5000 Odense C Att.: John Bonnerup Sendt med Digital Post 11. november 2016 Vedrørende tilsyn med behandling af personoplysninger Datatilsynet Borgergade 28, 5. 1300 København
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereProcedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Læs mereTil ØU. Sagsnr Dokumentnr Sagsbehandler Anna Hesseldahl Larsen
KØBENHAVNS KOMMUNE Økonomiforvaltningen Koncernservice NOTAT Til ØU ØU aflæggerbord 30/8 2016: Optimering og kvalitetsudvikling på løn- og personaleområdet, finansiering af handlingsplan til sikring af
Læs mereDATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )
DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:
Læs mereDatabeskyttelsespolitik
Databeskyttelsespolitik for Rasmus Gissel, tekstforfatter, oversætter og korrekturlæser 1. Indledning I denne databeskyttelsespolitik kan du læse følgende: hvordan, hvornår og hvorfor jeg indsamler persondata
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs mereBehandling af personoplysninger. Tv-overvågning
Behandling af personoplysninger Tv-overvågning Version 01 / Maj 2018 Baggrund Persondataloven indeholder en række regler, som bl.a. giver personer, der udsættes for tvovervågning en række rettigheder.
Læs mereDatabehandleraftale Leverandør
, Beskæftigelses- og Integrationsforvaltningen Bilag L - 1 Leverandør Dags dato er indgået nedenstående aftale mellem: Københavns Kommune Beskæftigelses- og Integrationsforvaltningen CVR.nr.: 64 94 22
Læs merePolitik for informationssikkerheddatabeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for informationssikkerheddatabeskyttelse Politik for databeskyttelse i Ballerup Kommune Denne informationssikkerhedspolitikdatabeskyttelsespolitik
Læs mereJ U H L - S Ø R E N S E N
Persondatapolitik Juhl-Sørensen A/S Et af Juhl-Sørensen A/S overordnede mål er, at opretholde det højeste niveau af sikkerhed for kunder, medarbejdere og samarbejdspartnere. Dette gør sig også gældende,
Læs mereMELLEM. 2300 København S. (herefter SKI )
BRUGERTILSLUTNINGSAFTALE SKI. dk MELLEM Staten og Kommunernes Indkøbs Service A/S Zeppelinerhallen, Islands Brygge 55 2300 København S CVR 17472437, EAN 57900002758477 (herefter SKI ) og (Herefter Kunden
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs merePrivatlivspolitik for Psykolog Stig Jensen
Privatlivspolitik for Psykolog Stig Jensen Kontaktoplysninger: Kontaktperson: Stig Jensen CVR: 26803101 Telefonnr.: 40 31 20 42 Mail: Stig@presentiapsykologerne.dk Website: www.presentiapsykologerne.dk
Læs mereDatabehandleraftale Underleverandør
, Beskæftigelses- og Integrationsforvaltningen Bilag L 2 Dags dato er indgået nedenstående aftale mellem: [Indsæt Leverandørens virksomhedsnavn] Beskæftigelses- og Integrationsforvaltningen CVR.nr.: [Indsæt]
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs mereKontraktbilag 7: Databehandleraftale
Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør
Læs mereInformationssikkerhedspolitik for Region Midtjylland
Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik
Læs mereKÆRE MEDARBEJDER OG LEDER
Region Hovedstaden 1 KÆRE MEDARBEJDER OG LEDER Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen.
Læs mereSIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT
SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING 4 3. KONSEKVENSER 6 4. FORSLAG, HENSTILLINGER
Læs merePrivatlivspolitik for Fyns Psykologpraksis
Privatlivspolitik for Fyns Psykologpraksis Kontaktoplysninger: Fyns Psykologpraksis Baumgartensvej 46, 5000 Odense C Kontaktperson: Chefpsykolog Frans Boeriis CVR: 31 81 11 98 Telefon: 50 48 46 14 E-mail:
Læs mereDatabeskyttelsespolitik
Databeskyttelsespolitik Overordnet organisering af personoplysninger Den Miljøterapeutiske Organisation herunder Dagbehandlingsstilbuddet Hjembækskolen (herefter tilsammen benævnt som Den Miljøterapeutiske
Læs merePrivatlivs og databehandling
Privatlivs og databehandling Promotemi registrerer ingen data, der kan bruges til at identificere dig, med mindre du selv tilmelder dig tjenester (abonnementer andre løsninger). Promotemi videregiver persondata
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereVideoovervågning. Herning Kommune. Version oktober 2015
Videoovervågning Version 1.3 14. oktober 2015 Herning Kommune Udarbejdet af: Videoovervågnings beskrivelsen vedligeholdes af Koncern IT og beskriver indhold, funktionalitet og proces for implementering
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs mereDatabehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )
Databehandleraftale Virksomhed [Adresse] [Adresse] CVR-nr.: (den Dataansvarlige ) og Net & Data ApS Hollands Gaard 8 4800 Nykøbing F CVR-nr.: 27216609 ( Databehandleren ) (den Dataansvarlige og Databehandleren
Læs mereInformationssikkerhedspolitik
Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad
Læs mereDATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )
Skau Reipurth & Partnere Advokatpartnerselskab DATABEHANDLERAFTALE Indgået mellem [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet ) og [Databehandleren: F.eks. en lønbehandler] [Adresse]
Læs mereWORKSHOP BSS. Databeskyttelse AARHUS OLE BOULUND KNUDSEN UNIVERSITET 18. DECEMBER 2017 INFORMATIONSSIKKERHEDSCHEF
WORKSHOP BSS Databeskyttelse OPBEVARING AF DATA Der findes mange forskellige muligheder for opbevaring: Netværksdrev Forskningssystemer (Fx RedCap) Sharepoint Workzone Lokal pc USB diske Cloudtjenester
Læs merePrivatlivsbeskyttelsespolitik for Lyngby- Taarbæk Kommune/ Ejendomskontor
Dato 01.06.2018 Privatlivsbeskyttelsespolitik for Lyngby- Taarbæk Kommune/ Ejendomskontor Dataansvarlighed Vi tager din persondatabeskyttelse alvorligt Lyngby-Taarbæk Kommune/ Ejendomskontor behandler
Læs mereBallerup Kommune Politik for databeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18 Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme
Læs mereInformationssikkerhedspolitik For Aalborg Kommune
Click here to enter text. Infor mationssi kkerhedspoliti k 2011 «ed ocaddressci vilcode» Informationssikkerhedspolitik For Aalborg Kommune Indhold Formål... 3 Gyldighedsområde... 3 Målsætning... 3 Sikkerhedsniveau...
Læs merePolitik for behandling af persondata ved Viby Gymnasium
Viby Gymnasium, Søndervangs Allé 45, 8260 Viby www.vibygym.dk administration@vibygym.dk Tlf: +45 8734 8000 CVR: 29 55 38 07 EAN: 5798000558427 UVMs skolenr.: 751076 Politik for behandling af persondata
Læs merePersondatapolitik. I denne politik betyder persondata og data enhver form for information eller oplysning, der vedrører din person.
Persondatapolitik Denne persondatapolitik fastlægger det grundlag, hvorpå vi behandler de persondata, som du oplyser os, eller som vi i øvrigt indsamler om dig. Ved at bruge vores hjemmeside og system,
Læs merePrivatlivspolitik for Presentiapsykologerne A/S
Didde Dynesen v/ Presentia Psykologerne ApS 5000 Odense C Tlf. 28342484 didde@presentiapsykologerne.dk www.presentiapsykologerne.dk cvr-nr. 36362626 Privatlivspolitik for Presentiapsykologerne A/S V psykologerne
Læs mereIt-revision af Sundhedsdatanettet 2015 15. januar 2016
MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen
Læs mereAlsidig Fysioterapi Politik om Privatlivsbeskyttelse og Datasikkerhed
Alsidig Fysioterapi Politik om Privatlivsbeskyttelse og Datasikkerhed 1. politik om privatlivsbeskyttelse og datasikkerhed DJFYS Vi vil altid gøre vores bedste for at sikre dine data og privatlivet for
Læs mereREVISIONSRAPPORT Beskæftigelses- og Integrationsforvaltningen. Børneattester
9. februar 2017 REVISIONSRAPPORT 2016 Beskæftigelses- og Integrationsforvaltningen MODTAGER Bjarne Winge Michael Baunsgaard Schreiber INTERN REVISION Jesper Andersen Solveig Petersen Indholdsfortegnelse
Læs mereTv-overvågning i BoVendia
Tv-overvågning i BoVendia 1. Indledning 1.1 BoVendia (herefter "Boligorganisationen") foretager tv-overvågning af en række arealer mv., hvilket indebærer, at der optages (behandles) personoplysninger.
Læs mereFor nærmere uddybning af hvilken type data vi anvender om dig se nedenstående link.
Cubus Administration anpartsselskab Dronningens Tværgade 30, 5 sal Postboks 9060 1022 København K Telefon: +45 70 26 99 10 Telefax: +45 33 23 50 10 Privatlivsbeskyttelsespolitik for Cubus Administration
Læs mereDatabehandlervilkår. 1: Baggrund, formål og definitioner
Databehandlervilkår 1: Baggrund, formål og definitioner 1.1 Denne databehandleraftale (herefter kaldet Databehandleraftalen ) vedrører de af den Dataansvarlige indkøbte løsninger og ydelser, hvor behandling
Læs mereREVISIONSRAPPORT Børne- og Ungdomsforvaltningen
2. maj 2017 REVISIONSRAPPORT 2016 Børne- og Ungdomsforvaltningen Opfølgning revisionsbemærkning 2015 Børneattester MODTAGER Tobias Børner Stax, BUF Steen Enemark Kildesgaard, BUF INTERN REVISION Jesper
Læs merePrivatlivspolitik for Konferencesalen/Storcenter Nord
Privatlivspolitik for Konferencesalen/Storcenter Nord Version: 24-05-2018 Din databeskyttelse bliver taget alvorligt Vi har vedtaget denne privatlivspolitik, som danner grundlag for vores behandling af
Læs mereSletteregler. v/rami Chr. Sørensen
Sletteregler v/rami Chr. Sørensen 1 Generelt om retten til berigtigelse og sletning efter artikel 16-17 Efter begæring (artikel 5, stk. 1, litra d) Skal angå den registrerede selv Ingen formkrav Den dataansvarlige
Læs mereSLETTEPOLITIK FOR FREDERIKSSUND LÆRERKREDS
SLETTEPOLITIK FOR FREDERIKSSUND LÆRERKREDS INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. GENERELT OM SLETNING AF PERSONOPLYSNINGER 3 3. PROCEDURER FOR SLETNING 4 4. GENNEMGANG AF POLITIK 4 BILAG 1: OPBEVARING
Læs merePersondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata
Persondata og IT-sikkerhed Vejledning i sikker anvendelse og opbevaring af persondata December 2015 Indledning Denne vejledning har til formål, at hjælpe ansatte på IT-Center Fyns partnerskoler med at
Læs mereBEHANDLING AF PERSONOPLYSNINGER I FORBINDELSE MED TV-OVERVÅGNING
BEHANDLING AF PERSONOPLYSNINGER I FORBINDELSE MED TV-OVERVÅGNING 1. INDLEDNING 1.1 AlmenBo Aarhus (herefter "Boligorganisationen") foretager tv-overvågning af en række arealer mv., hvilket indebærer, at
Læs merePersondatapolitik - Munck Gruppen a/s
1 af 5 Persondatapolitik - Seneste revidering: oktober, 2019 2 af 5 Indholdsfortegnelse 1. Dataansvarlig... 3 2. Om hvem og hvordan indsamler MG personoplysninger?... 3 3. Hvilke informationer indsamler
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs merePROCEDURE FOR TRANSPORT AF FYSI- SKE MEDIER INDEHOLDENDE PERSON- DATA
Ikrafttrædelsesdato: 1. juni 2019 Godkendt af: Direktionen d. 23. maj 2019 PROCEDURE FOR TRANSPORT AF FYSI- SKE MEDIER INDEHOLDENDE PERSON- DATA VI HAR KUN BORGERNES DATA TIL LÅNS, OG SKAL PASSE GODT PÅ
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs mereDriftskontrakt. Databehandleraftale. Bilag 14
Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]
Læs merePrivatlivspolitik for Det Våde Får/Tolykkegård
Privatlivspolitik for Det Våde Får/Tolykkegård Side 1 af 8 Privatlivspolitik for Det Våde Får/Tolykkegård Kontaktoplysninger: Det Våde Får/Tolykkegård Græstedvej 28 3200 Helsinge CVR-nr: 16096245 Kontakt:
Læs mereDATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]
DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] Tekst markeret med GRØN, udfyldes inden udsendelse til leverandøren Tekst markeret med TURKIS, udfyldes af leverandøren Side 1/16 Side 2/16 DATABEHANDLERAFTALE
Læs merePrivatlivspolitik for NEWWWEB ApS
Privatlivspolitik for NEWWWEB ApS Dataansvar Vi tager din databeskyttelse alvorligt Vi behandler persondata og har derfor vedtaget denne privatlivsbeskyttelsespolitik, der fortæller dig, hvordan vi behandler
Læs mereOS2kravmotor Håndtering af GDPR
OS2kravmotor Håndtering af GDPR 13.03.2018 Agenda Hovedpunkter i GDPR (jeg er ikke jurist) Nuværende GDPR kravdækning i OS2kravmotor Opsummering af 145 DIGIT krav vedrørende it-sikkerhed Mangler vi krav
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereVejledning til ansøgning om deltagelse i et længerevarende Task Force forløb. Ansøgningsfrist d. 23. oktober 2015 kl. 12
Ministeriet for Børn, Ligestilling, Integration og Sociale Forhold Socialstyrelsen Den Permanente Task Force på området udsatte børn og unge Vejledning til ansøgning om deltagelse i et længerevarende Task
Læs mereDatabehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem
Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")
Læs mereVejledning til ansøgning om deltagelse i et længerevarende Task Force forløb. Ansøgningsfrist d. 18. maj 2015 kl. 12
Ministeriet for Børn, Ligestilling, Integration og Sociale Forhold Socialstyrelsen Den Permanente Task Force på området udsatte børn og unge Vejledning til ansøgning om deltagelse i et længerevarende Task
Læs mereJeg skrev blandt andet følgende til Beskæftigelses- og Integrationsforvaltningen:
Borgerrådgiveren Beskæftigelses- og Integrationsforvaltningen Center for Driftsunderstøttelse Fremsendt dags dato med e-mail til: bif@bif.kk.dk og cduklagesager@bif.kk.dk 12-10-2012 Sagsnr. 2012-91002
Læs mereTVovervågning. Struer Kommune Retningslinjer for anvendelse og indkøb af. TV-overvågning
TVovervågning Struer Kommune Retningslinjer for anvendelse og indkøb af TV-overvågning Formål TV-overvågning i Struer Kommune benyttes for at bekæmpe, forebygge og opklare kriminelle handlinger som hærværk,
Læs mereRevisionsrapport Revision af vederlag for 2018
Økonomiforvaltningen Att.: Adm. direktør - Peter Stensgaard Mørch Københavns Rådhus Rådhuspladsen 1 1550 København V Revisionsrapport Revision af vederlag for 2018 Indledning Som led i den løbende revision
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereCC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Aftalen foreligger mellem Adresse Post nr. og By CVR. nr. xx xx xx xx (i det følgende betegnet Dataansvarlig ) og CC GROUP DENMARK Møllebugtvej 5 7000 Fredericia Att: CVR. nr. 27415032
Læs mereAFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )
AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik
Læs mere