Rammeaftalebilag E Databehandleraftale
|
|
- Victoria Svendsen
- 7 år siden
- Visninger:
Transkript
1 Rammeaftalebilag E Databehandleraftale Myntevej 5, 8920 Randers NV H. C. Ørsteds Vej 50C, 1879 Frederiksberg Tolstrup & Hvilsted ApS Side 1 af 6
2 1 Indledning Nærværende bilag indeholder følgende dokumenter: Procedure for indgåelse af databehandleraftale Databehandleraftale Bilag A til databehandleraftale Bilag B til databehandleraftale Bilag C til databehandleraftale Bilag D til databehandleraftale Myntevej 5, 8920 Randers NV H. C. Ørsteds Vej 50C, 1879 Frederiksberg Tolstrup & Hvilsted ApS Side 2 af 6
3 Procedure for indgåelse af databehandleraftale Du skal altid forholde dig til, om der skal indgås en databehandleraftale mv., inden du indgår et samarbejde med en ekstern partner uden for Aarhus Kommune. Hvornår skal jeg indgå en Der skal indgås en databehandleraftale, når: databehandleraftale med en samarbejdspartner? En virksomhed skal drifte et it-system for kommunen En virksomhed skal udføre en opgave for kommunen, som kræver at virksomheden får adgang til kommunes lokaliteter, systemer, data, manuelle registre og/eller netværk Et analysebureau skal foretage en undersøgelse iblandt borgere på vegne af kommunen Hvad siger lovgivningen? Ifølge Sikkerhedsbekendtgørelsen (kap. 2, 7) og Persondataloven ( 42) skal der indgås en skriftlig aftale imellem den dataansvarlige og databehandleren, når en offentlige myndighed (den dataansvarlige) overlader behandling af personoplysninger til en databehandler. Databehandleraftalen er altså et krav så snart data er personhenførbare. Personhenførbare oplysninger Når en person eller en biperson kan identificeres direkte/indirekte ved navn, adresse, personnummer eller andet nummer, fx løbenummer og/eller billede. Enkeltmandsejede virksomheder og interessentskaber, der er en sammenslutning af fysiske personer. Virksomhedsoplysninger, der kan identificere enkeltpersoner, fx aktionærer, anpartshavere, kommanditister og/eller om en person har en bestemt stilling i en virksomhed eller er kontaktperson. Myntevej 5, 8920 Randers NV H. C. Ørsteds Vej 50C, 1879 Frederiksberg Tolstrup & Hvilsted ApS Side 3 af 6
4 Hvad er formålet med at indgå en databehandler-aftale? Hvor finder jeg databehandleraftalen og bilag? Formålet med en databehandleraftale er at sikre mod, at oplysninger Hændeligt eller ulovligt tilintetgøres, fortabes eller forringes Kommer til uvedkommendes kendskab eller misbruges Behandles i strid med lov om behandling af personoplysninger Skabelon og bilag findes på edoc-sag nr. 14/ eller i ITsikkerhedshåndbogens mappe med Bilag. Databehandleraftalen Bilag A: Aarhus Kommunes IT-sikkerhedspolitik Bilag B: Krav til databehandler Bilag C: Kvitteringsbilag Bilag D: Oversigt over tilknyttede medarbejdere Hvad skal jeg være opmærksom på i forhold til aftalen og bilag? Databehandleraftalen: Udfyld alt med rød skrift og ret dato. Vær opmærksom på, at databehandleraftalen kun dækker de kontrakter/aftaler, som angives i indledningen. Bilag A skal udleveres til samarbejdspartneren. Der henvises en del til it-sikkerhedshåndbogen. Samarbejdspartneren kan eventuelt få et udskrift af håndbogen. Bilag B skal udfyldes af Samarbejdspartneren, da kontraktholderen kan vælge at det udfyldte Bilag B skal indgå i en risikovurdering. Der kan dog være nogle af felterne, som ikke er relevante. ikke relevant påføres i så fald ud for de pågældende felter. Udfyld alt med rød skrift. Myntevej 5, 8920 Randers NV H. C. Ørsteds Vej 50C, 1879 Frederiksberg Tolstrup & Hvilsted ApS Side 4 af 6
5 Bilag C udfyldes af samarbejdspartneren, hvis der er udleveret personhenførbart og/eller fortroligt materiale til samarbejdspartneren. Udfyld alt med rød skrift og ret dato. Bilag D udfyldes af samarbejdspartneren, hvis der er medarbejdere tilknyttet samarbejdspartneren, der skal have adgang til Aarhus Kommunes lokaliteter/netværk/data. Hvad skal jeg gøre, når tilbuddene er modtaget? Det er et krav fra Datatilsynet, at der skal foretages en risikovurdering af løsningen og leverandørerne, fx når løsningen er skybaseret, når data opbevares i et andet land eller der er tale om kritiske kerneydelser. Den udbudsansvarlige skal sammen med den lokale ITsikkerhedsansvarlige risikovurdere løsningen og den valgte leverandør eller evt. to leverandører, hvis man er splittet imellem to tilbud. Hvordan laver jeg risikovurderingen? Risikovurderingen foretages i Risk-modulet i ITsikkerhedshåndbogen. Du skal sende følgende oplysninger til Brugerservice via ITsikkerhedspostkassen (itsikkerhed@aarhus.dk) Navn på den/de udvalgte leverandører Data for deadline for risikovurdering Navn på opgaven/udbuddet Navn/navne på de vurderingsansvarlige (fx kontraktholder og systemejer), der skal deltage i risikovurderingen Herefter klargør Brugerservice vurderingsprojektet og sender et link til de vurderingsansvarlige. Når vurderingen er foretaget (kan evt. ske i samarbejde med Brugerservice), udarbejder Brugerservice i Myntevej 5, 8920 Randers NV H. C. Ørsteds Vej 50C, 1879 Frederiksberg Tolstrup & Hvilsted ApS Side 5 af 6
6 samarbejde med de vurderingsansvarlige en risikovurderingsrapport, som giver et billede af leverandørens modenhed på ITsikkerhedsområdet i forhold til opgaven/udbuddet. Hvornår databehandleraftalen underskrives? skal Databehandleraftalen skal underskrives samtidig med kontraktindgåelse. Hvis databehandleraftalen undtagelsesvis ikke har været en del af anskaffelsesprocessen, skal det efterfølgende sikres, at databehandleraftalen bliver indgået, inden der kan gives adgang til kommunale data. Hvor skal jeg journalisere databehandleraftalen? Du skal journalise den underskrevne databehandleraftale med bilag i edoc på afdelingens sag under projektnr Opret et dokument pr. databehandleraftale. Skal jeg gøre andet end at indgå en databehandler-aftale? Du skal indgå en skriftlig kontrakt/driftsaftale med den eksterne samarbejdspartner. Databehandleraftalen gør det ikke ud for sådanne. Vær opmærksom på, at leverandøren er forpligtet til løbende at tilmelde nye medarbejdere og afmelde medarbejdere, der ikke længere har behov for adgang, til kontraktholder hos Aarhus Kommune. Du skal oprette en intern anmeldelse se vejledningen Opret en anmeldelse på Anmeldelsesportalen. Myntevej 5, 8920 Randers NV H. C. Ørsteds Vej 50C, 1879 Frederiksberg Tolstrup & Hvilsted ApS Side 6 af 6
7 Databehandleraftale om udførelse af opgaver for Aarhus Kommune Version 1.0 4/ Databehandleraftale mellem Aarhus Kommune, afdelingsnavn indsættes og leverandørnavn indsættes Det er jf. - kontrakt/driftsaftale/anden aftale + titel - aftalt, at - leverandørnavn indsættes - skal udføre følgende opgave for Aarhus Kommune:. Indledning På denne baggrund indgås denne databehandleraftale mellem Aarhus Kommune som dataansvarlig og med - leverandørnavn indsættes (herefter databehandleren) som databehandler for Aarhus Kommune, idet der jf. Persondatalovens 42, stk. 2, skal indgås en skriftlig aftale, når Aarhus Kommune overlader en behandling af personoplysninger til en databehandler. Der aftales herved følgende: 1. Efter instruks Databehandleren handler alene efter instruks fra Aarhus Kommune i forbindelse med udførelse af de aftalte opgaver. Oplysninger må ikke videregives til tredjepart eller behandles til andre formål, medmindre dette sker efter aftale med Aarhus Kommune. 2. Databeskyttelseslovgivning Databehandleren overholder den til enhver tid gældende persondatalovgivning og herunder sikkerhedsbekendtgørelse nr. 528 af 15. juni 2000 og de sikkerhedsregler, der følger af sikkerhedsbekendtgørelsen. 2.1 Databehandleren sikrer herunder, at der er truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataloven eller Aarhus Kommunes IT-sikkerhedspolitik 1 (Bilag A) og herunder den offentlige standard for informationssikkerhed DS 484:2005 eller tilsvarende standard for informationssikkerhed. Databehandleren skal ved tilbudsafgivelsen bekræfte at kunne leve op til kravene i bilag B 2. Det skal fremhæves, at bilag B ikke er en udtømmende liste over sikkerhedskrav. Udfyldelsen af bilag B skal foretages af databehandleren og godkendes af Aarhus Kommune inden kontraktindgåelsen. 2.2 Hvis databehandleren er etableret i et andet land, skal databehandler sikre, at de ud over den danske lovgivning også lever op til dette lands databeskyttelseslovgivning. 1 Bilag A Aarhus Kommunes IT-sikkerhedspolitik 2 Bilag B Krav til databehandlere 1
8 Databehandleraftale om udførelse af opgaver for Aarhus Kommune Version 1.0 4/ Hvis det drejer sig om databehandling i et usikkert tredjeland 3, skal kommissionens standardkontrakt 4 indgås. Hvis andre myndigheder fremlægger en kendelse om adgang til Aarhus Kommunes data, skal databehandler gøre indsigelse mod en kendelse og oplyse Aarhus Kommune herom. 2.3 Databehandleren skal levere en oversigt over datacentre og backup centre med præcis adresseangivelse af, hvor Aarhus Kommunes data behandles. Der sendes en ny oversigt til Aarhus Kommune ved ændringer. Der kan ikke uden forudgående aftale med Aarhus Kommune placeres data i et andet land. 2.4 Databehandleren er forpligtet til straks at give Aarhus Kommune (den kontraktansvarlige) meddelelse om driftsforstyrrelser, mistanke om brud på IT-sikkerhedsreglerne eller andre væsentlige uregelmæssigheder i forbindelse med udførelsen af opgaven. 3 Adgang til data Ved adgang til sikrede lokaler i Aarhus Kommune, kan den enkelte kommunale afdeling udlevere et adgangskort med en personlig kode eller en nøgle mod kvittering. Databehandleren har det ledelsesmæssige ansvar for, at databehandlerens medarbejdere overholder kommunens IT-sikkerhedsregler. 3.1 Databehandlerens medarbejdere må alene have adgang til data og/eller udføre jobs i det omfang, det er nødvendigt for udførelsen af arbejdet. Data må ikke lagres lokalt på medarbejderens udstyr. Databehandlerens medarbejdere må ikke behandle fortrolige data uden for det aftalte driftsmiljø uden forudgående godkendelse af den pågældende afdeling 5. Kvitteringsbilag C kan anvendes. Opbevaring af data skal ske under sikrede forhold, og sådan at der herunder alene er adgang for de involverede. Databehandleren garanterer, at nødvendig kopiering og backup af data sker under fuldt betryggende forhold. Efter endt brug skal udleveret datamateriale enten returneres tilstrækkeligt sikkert til Aarhus Kommune eller destrueres forsvarligt, så det ikke er muligt at genskabe dem. Eventuel destruktion skal aftales nærmere med den dataansvarlige i Aarhus Kommune. 3.2 Databehandlerens medarbejdere, som har behov for adgang til Aarhus Kommunes netværk skal forsynes med digital virksomhedssignatur (medarbejder NemID) af databehandleren. Medarbejderne skal være tilknyttet et sikkerhedsområde i Aarhus Kommunes IT-sikkerhedsorganisation. 3 Under Erhverv, Tredjelande, Sikre tredjelande 4 Under Erhverv, Tredjelande, Kommissionens standardkontrakt 5 Bilag C - Kvitteringsbilag 2
9 Databehandleraftale om udførelse af opgaver for Aarhus Kommune Version 1.0 4/ Medarbejdere tildeles en brugerident samt en personlig og fortrolig adgangskode i h.t. gældende standarder i Aarhus Kommune. Bestilling af ny kode - ved glemt kode - skal så vidt muligt ske via Aarhus Kommunes ITsikkerhedsorganisation. 4 Tavshedspligt Databehandleren forpligter sig over for uvedkommende til at hemmeligholde alle oplysninger modtaget fra og om Aarhus Kommune, som databehandleren får kendskab til i forbindelse med udførelsen af arbejdet for Aarhus Kommune. 4.1 Databehandleren sikrer, at deres medarbejdere, der får adgang til oplysninger fra Aarhus Kommune har underskrevet en tavshedserklæring om, at de har tavshedspligt over for uvedkommende med hensyn til deres adgang til kunders/samarbejdspartneres data. Tavshedspligten er gældende såvel under ansættelsen som efter ansættelsens ophør. Databehandler skal levere en kopi af disse erklæringer efter anmodning fra Aarhus Kommune. 4.2 Ved indgåelse af aftalen vedlægges et bilag D med en oversigt over de tilknyttede medarbejdere 6, der skal have adgang til Aarhus Kommunes lokaliteter/netværk. Leverandøren er forpligtet til at løbende at tilmelde nye medarbejdere og afmelde medarbejdere, der ikke længere har behov for adgang, til kontraktholder hos Aarhus Kommune. 5. Underdatabehandlere (underleverandører) Hvis databehandleren anvender underdatabehandlere er det databehandlerens ansvar, at underdatabehandleren efterlever databehandleraftalen, idet aftalen også gælder for disse. Databehandleren skal informere Aarhus Kommune om evt. underdatabehandlere samt sikre, at også deres underdatabehandleres medarbejdere har underskrevet en tavshedserklæring. Efter anmodning fra Aarhus Kommune skal databehandler levere en kopi af underdatabehandleraftalen. 6 Tilsyn Aarhus Kommune fører tilsyn med, at databehandleren har truffet de fornødne sikkerhedsforanstaltninger. Dette kan ske ved et besøg hos databehandleren og/eller hos evt. underdatabehandlere. Aarhus Kommune kan også lade andre (f.eks. revisor) gennemføre tilsyn. Aarhus Kommune er til enhver tid berettiget til at gennemføre yderligere kontrolforanstaltninger, herunder at begrænse databehandlers adgangsmuligheder til Aarhus Kommunes netværk og data. Databehandleren skal på Aarhus Kommunes anmodning, give Aarhus Kommune tilstrækkelige oplysninger til, at denne kan påse, at de krævede tekniske og organisatoriske sikkerhedsforanstaltninger er truffet Bilag D Oversigt over tilknyttede medarbejdere 3
10 Databehandleraftale om udførelse af opgaver for Aarhus Kommune Version 1.0 4/ Hvis det fremgår af kontrakten, skal der ved underskrift af databehandleraftalen leveres den seneste revisorerklæring, og herunder evt. baggrundsmateriale til erklæringen. Herefter leveres en årlig revisorerklæring, der er udarbejdet i overensstemmelse med de gældende branchestandarder på området (f.eks. ISAE 3000 vedrørende overholdelse af persondataloven). Dette gælder også for evt. underdatabehandlere. 7. Øvrige forhold Hvis Aarhus Kommune oplyser, at der foretages videoovervågning i de lokaliteter, hvor databehandlerens medarbejdere færdes hos Aarhus Kommune, skal databehandleren sikre, at deres medarbejdere samt underdatabehandleres medarbejdere gøres bekendt med dette. Databehandleren skal endvidere informere de pågældende medarbejdere om, at der sker registrering (logning) af alle anvendelser af fortrolige personoplysninger samt registrering af afviste adgangsforsøg i kommunens IT-systemer. De pågældende medarbejdere skal herunder gøres bekendt med, at der foretages kontrol med alle anvendelser af systemer med fortrolige personoplysninger. Loggen gemmes i 6 måneder, hvorefter den slettes. 8. Overtrædelse af databehandleraftalen Parternes erstatningspligt efter dansk rets almindelige regler skal være reguleret i kontrakten. 9. Databehandleraftalens ophør Aftalen kan genforhandles, hvis der sker ændring af det i punkt 2 anførte juridiske grundlag for aftalen. 9.1 Databehandleraftalen træder ud af funktion, når det samarbejde, der er en forudsætning for aftalen, ikke længere er gældende. 9.2 Tavshedspligten for databehandleren/underdatabehandlere og deres medarbejdere ophører ikke, selv om databehandleraftalen træder ud af kraft Databehandleren må kun behandle personoplysninger, som Aarhus Kommune er ansvarlig for, så længe det er nødvendigt for udførelse af den aftalte opgave Ved ophør skal det aftales med Aarhus Kommune, at data skal leveres tilbage til Aarhus Kommune eller der skal ske uoprettelig sletning punkt 3.1. For leverandørnavn indsættes Aarhus Kommune, Dato: / - 201_ Dato: / - 201_ 4
11 Databehandleraftale om udførelse af opgaver for Aarhus Kommune Version 1.0 4/ (Underskrift) (Underskrift) Bilagsoversigt: Bilag A Aarhus Kommunes IT-sikkerhedspolitik Bilag B Krav til databehandlere Bilag C Kvitteringsbilag Bilag D Oversigt over tilknyttede medarbejdere 5
12 Aarhus Kommune Politik
13 Politik Indledning IT-sikkerhedspolitikken blev vedtaget i byrådets møde den 24. juni 2009 Revisionsdato: 11. marts 2016 IT-sikkerhedspolitikken er den overordnede ramme for IT-sikkerheden i kommunens informationsbehandling generelt. IT-sikkerhedspolitikken og den tilhørende IT-sikkerhedshåndbog skal være tilgængelig for alle medarbejdere/itbrugere i Aarhus Kommune. IT-sikkerhedspolitikken er udarbejdet på baggrund af den offentlige standard for informationssikkerhed DS 484:2005, lov om behandling af personoplysninger, Lov nr. 429 af 31. maj 2000 samt kommunens hidtidige ITsikkerhedspolitik. Formål Det er af vital betydning for Aarhus Kommune, at informationer behandles sikkerhedsmæssigt forsvarligt, idet informationer og informationssystemer (herunder netværk og telefoni) er særdeles vigtige for kommunens virksomhed. IT-sikkerhedspolitikken definerer en ramme for beskyttelse af kommunens informationer (herunder personoplysninger og andre fortrolige oplysninger f.eks. om økonomiske forhold) og sikrer hermed særligt, at følsomme og kritiske informationer bevarer deres fortrolighed, integritet og tilgængelighed. IT-sikkerhedsniveauet vil være afstemt efter risiko, væsentlighed, lovkrav, Aarhus Kommunes IT-strategi og god IT-skik m.v. IT-sikkerhedspolitikken skal være med til at forebygge sikkerhedsproblemer, begrænse skader samt sikre retablering af informationer og de forvaltningsprocesser, informationerne indgår i. Politikkens omfang IT-sikkerhedspolitikken omfatter alle informationer, der behandles i Aarhus Kommune, uanset i hvilken form de modtages, opbevares og formidles. Herunder omfatter politikken systemer, netværk, telefoni m.v. IT-sikkerhedspolitikken gælder for alle medarbejdere/it-brugere, uanset ansættelsesform samt selvejende institutioner eller andre samarbejdspartnere, som kommunen har indgået driftsoverenskomst med. Ved udlicitering af opgaver samt hvor leverandører udfører opgaver for kommunen, skal systemejerne sikre, at kommunens IT-sikkerhedsniveau overholdes. Leverandøren skal således mindst leve op til kommunens ITsikkerhedsniveau. Ledelsesansvar SecureAware Side 1 af 7
14 Politik Det følger af kommunens styrelsesvedtægt, at Aarhus Byråd er ansvarlig myndighed og herunder, at Borgmesteren har det overordnede ledelsesansvar for IT-sikkerhedspolitikken. Rådmænd og direktører har ledelsesansvaret for udmøntningen af sikkerhedspolitikken i den enkelte magistratsafdeling, herunder selvejende institutioner, som magistratsafdelingen har indgået driftsoverenskomst med. Forvaltningschefer har ledelsesansvaret for sikkerhedspolitikken i den enkelte forvaltning, og chefer for de enkelte enheder har ledelsesansvaret for sikkerhedspolitikken i den enkelte afdeling, område, institution m.v. IT-sikkerhedsorganisationen Det er af stor betydning for overholdelse af IT-sikkerhedspolitikken, at denne har en ledelsesmæssig forankring. Til støtte for dette har følgende en særlig rolle i IT-sikkerhedsorganisationen. IT-sikkerhedschefen er den øverste ansvarlige for administration, håndhævelse, tilsyn m.v. af ITsikkerhedsreglerne i Aarhus Kommune og herunder godkendelse af sikkerhedsområder og sikkerhedsansvarlige. Det nærmere indhold af opgaverne fremgår af bilag 1 samt IT-sikkerhedshåndbogen. Direktørerne er overordnet ansvarlige for, at magistratsafdelingen overholder sikkerhedsreglerne. IT-cheferne fungerer som stedfortræder for direktørerne i forhold til denne opgave. De forvaltningsansvarlige og de afdelingsansvarlige (forvaltningschefer og afdelingschefer) er ansvarlige for, at forvaltningen/afdelingen overholder sikkerhedsreglerne og herunder, at der etableres en hensigtsmæssig sikkerhedsstruktur med et passende antal sikkerhedsansvarlige i forhold til organisationens størrelse. De forvaltningsansvarlige udpeger de sikkerhedsansvarlige og stedfortrædere, der skal forestå de daglige sikkerhedsopgaver i sikkerhedsområderne. De sikkerhedsansvarlige er ansvarlige for udførelse af de daglige sikkerhedsopgaver i de respektive sikkerhedsområder, herunder at informere sikkerhedsområdets medarbejdere om sikkerhedsreglerne samt at medarbejderne alene autoriseres til oplysninger, der er relevante for vedkommendes arbejdsområde. IT-sikkerhedsudvalg IT-sikkerhedsudvalget består af en repræsentant og en backup-repræsentant fra hver magistratsafdeling samt fra Brugerservice, der har den fornødne beslutningskompetence og gerne en særlig interesse for ITsikkerhedsområdet. Emner, der har særlig betydning for medarbejderne, skal også behandles i kommunens Med-system, jf. Lokalaftale om medindflydelse og medbestemmelse i Aarhus Kommune. Formandskabet for ITsikkerhedsudvalget varetages af IT-sikkerhedschefen. Sekretariatsfunktionen varetages af Borgmesterens Afdeling. IT-sikkerhedsudvalgets opgave er at behandle principielle sikkerhedsspørgsmål og være rådgivende organ for IT-sikkerhedsarbejdet i IT-sikkerhedsorganisationen. SecureAware Side 2 af 7
15 Politik Udvalget refererer til IT-styregruppen, der sætter rammer for det IT-sikkerhedsmæssige arbejde og følger kommunens efterlevelse heraf. Der skal foreligge et kommissorium for IT-sikkerhedsudvalgets arbejde. IT-sikkerhedsniveau Det er Aarhus Kommunes politik at beskytte informationer, sikre tilgængelighed og udelukkende tillade brug, adgang og offentliggørelse af informationer under hensyntagen til den til enhver tid gældende lovgivning. På denne baggrund fastlægger Aarhus Kommune en afbalanceret risiko- og konsekvensvurdering under hensyntagen til de basale sikkerhedsforanstaltninger i DS 484, persondatalovens bestemmelser samt Aarhus Kommunes IT-strategi. Den overordnede risikovurdering skal fremgå af IT-sikkerhedshåndbogen, der er gældende for kommunens informationsbehandling og har samme status som instrukser. Der skal foretages en årlig gennemgang af den overordnede risikovurdering. IT-sikkerhedschefen gennemfører i samarbejde med magistratsafdelingerne et passende antal risikoanalyser i forbindelse med større forandringer i organisationen eller ved væsentlige ændringer i risikobilledet. IT-sikkerhedshåndbogen IT-sikkerhedshåndbogen indeholder de konkrete retningslinier om IT-sikkerhed. Det nærmere indhold af ITsikkerhedshåndbogen fremgår af bilag 1. IT-infrastruktur Borgmesterens Afdeling skal sikre, at kommunen har en IT-infrastruktur, der understøtter de fastsatte sikkerhedsregler. IT-drift Systemejerne skal sikre, at driftsaftaler, der indgås, tilsvarende understøtter de fastsatte sikkerhedsregler. IT-sikkerhedsbevidsthed Det er vigtigt, at alle ansatte er bevidste omkring IT-sikkerheden i kommunen. Til brug for dette udarbejder ITsikkerhedschefen i samarbejde med de øvrige magistratsafdelinger informations- og undervisningsmateriale, der vil blive publiceret til medarbejderne via IT-sikkerhedsorganisationen. IT-sikkerhedsorganisationen skal løbende følge op på, at medarbejderne er bevidste omkring IT-sikkerhedsreglerne. IT-sikkerhedsorganisationen skal sikre, at alle medarbejdere er gjort bekendt med IT-sikkerhedsreglerne og kontrol f.eks. i forbindelse med brug af systemer, E-post, Internet, videoovervågning og øvrige kontrolforanstaltninger. Dette skal ske på en klar og utvetydig måde. Kontrolforanstaltningerne i forhold til medarbejderne er i øvrigt omfattet af "Aftale om kontrolforanstaltninger OK-08". IT-beredskab IT-sikkerhedschefen skal sikre, at kommunens informationer, herunder data og systemer, der er kritiske for kommunens informationsbehandling, håndteres efter en særlig risikovurdering. Det skal også sikres, at kommunens driftsmiljø, kommunikationsforbindelser m.v. håndteres efter en særlig risikovurdering. Dette skal ske i sammenhæng med de kommunale Indsatsplaner for fortsat drift. SecureAware Side 3 af 7
16 Politik Brud på eller trusler mod IT-sikkerheden Konstaterede IT-sikkerhedsmæssige brud på eller trusler mod IT-sikkerheden skal registreres og dokumenteres, og alle væsentlige brud skal rapporteres til IT-sikkerhedschefen til vurdering samt til den løbende opsamling af sikkerhedsproblemer til brug for revurdering af IT-sikkerhedsbestemmelserne. Tilsyn og rapportering IT-sikkerhedschefen fører tilsyn med overholdelsen af IT-sikkerhedspolitikken og de herunder fastsatte ITsikkerhedsbestemmelser. Tilsynet foregår ved stikprøvekontroller, udsendelse af screeningsskema til ITsikkerhedsområder samt eventuelle efterfølgende besøg. IT-sikkerhedschefen rapporterer løbende om IT-sikkerheden i Aarhus Kommune og herunder om eventuelle ændringer i IT-sikkerhedspolitikken via IT-sikkerhedsportalen. En gang årligt foretages en risikovurdering og herunder en vurdering af, om der skal ske ændring af de gældende IT-sikkerhedsregler og tilhørende procedurer. Aarhus Byråd orienteres om status for IT-sikkerhedsarbejdet i Aarhus Kommune via ITsikkerhedsportalen. Vedligeholdelse Som et led i den overordnede IT-sikkerhedsstyring samt på grundlag af den løbende overvågning og rapportering tages IT-sikkerhedspolitikken op til en årlig revurdering i IT-sikkerhedsudvalget. IT-sikkerhedshåndbogen vedligeholdes af IT-sikkerhedschefen i samarbejde med IT-sikkerhedsudvalget. Bilag 1 til IT-sikkerhedspolitik for Aarhus Kommune Dette bilag definerer det nærmere indhold af IT-sikkerhedspolitikken, der anvendes som grundlag for de konkrete retningslinier om IT-sikkerhed i IT-sikkerhedshåndbogen. Retningslinierne og deres operationalisering skal være med til at forhindre, at kommunens informationer, herunder særligt følsomme og kritiske, hændeligt eller ulovligt tilintetgøres, fortabes eller forringes eller kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Håndbogens opbygning skal følge den samme punktinddeling, som anvendes i standarden DS 484:2005 med tilføjelse af yderligere punkter til opfyldelse af regler på persondatalovens område. IT-sikkerhedschefen er ansvarlig for udarbejdelse af de konkrete retningslinier om IT-sikkerhed. 1. IT-sikkerhedshåndbogen Indeholder en beskrivelse af IT-sikkerhedshåndbogens opbygning og indhold. 2. Definitioner Indeholder en beskrivelse af anvendte definitioner. 3. Særligt vedrørende persondatalovens område SecureAware Side 4 af 7
17 Politik Indeholder en nærmere beskrivelse af persondatalovens bestemmelser, som ikke direkte fremgår af DS 484, herunder regler for hvilke oplysninger, der er omfattet af persondataloven, anmeldelse af behandlinger, videregivelse af personhenførbare oplysninger, sammenstilling af personhenførbare oplysninger, kurser i brugen af systemer med personhenførbare oplysninger, opfyldelse af oplysningspligten og tv-overvågning. 4. Risikovurdering og -h åndtering Indeholder en overordnet risikovurdering, herunder konsekvens- og sårbarhedsvurdering. Den overordnede vurdering anvendes bl.a. i forbindelse med IT- beredskabet samt den årlige revurdering af ITsikkerhedspolitikken i Aarhus Kommune. Det er målet, at kommunen har et forsvarligt sikkerhedsniveau for de aktiver, kommunen har ansvaret for at behandle set i forhold til mulige sikkerhedstruende hændelser. 5. Tilsyn med IT-sikkerheden Indeholder en nærmere beskrivelse af kontrolprocedurer i forbindelse med tilsynet med overholdelse af kommunens IT-sikkerhedsregler. 6. Organisering af informationssikkerhed Placering af ansvar er vitalt for at sikre kommunens informationer og informationssystemer. ITsikkerhedschefen vedligeholder IT-sikkerhedsorganisationen, som skal varetage de IT-sikkerhedsmæssige opgaver, både i forhold til interne organisatoriske forhold og eksterne samarbejdspartnere/leverandører. Kontrakter med selvejende institutioner eller andre samarbejdspartnere og andre aftaler er ligeledes et område, der har indflydelse på informationssikkerheden. Interne organisatoriske forhold: Indeholder en nærmere beskrivelse af IT-sikkerhedsorganisationen og herunder IT-sikkerhedsudvalgets samt IT-sikkerhedschefens opgaver. Eksterne samarbejdspartnere/leverandører: Systemejerne skal sikre, at IT-sikkerhedsniveauet hos eksterne samarbejdsparter/leverandører mindst er på niveau med kommunens IT-sikkerhedsniveau. Dette dokumenteres ved indgåelse af databehandlingsaftaler samt ved aflevering af relevante revisionserklæringer. 7. Styring af informationsrelaterede aktiver Alle kommunens fysiske og funktionsmæssige informationsrelaterede aktiver skal beskyttes, uanset om det er fysiske aktiver som dokumenter, der er udskrevet, produktionsudstyr eller IT-systemer. Det er derfor nødvendigt at identificere, klassificere og placere ejerskab for alle aktiver. De enkelte magistratsafdelinger samt Fælles IT skal vedligeholde fortegnelser over alle væsentlige aktiver, herunder IT-udstyr og informationssystemer. Der skal udpeges en ejer som ansvarlig for hvert aktiv. Borgmesterens Afdeling udarbejder retningslinier for accepteret brug af kommunens informationsaktiver. 8. Medarbejdersikkerhed Informationssikkerheden i kommunen afhænger i høj grad af medarbejderne. Medarbejdere skal derfor uddannes i IT-sikkerhed i relation til deres jobfunktion og modtage de nødvendige informationer. Endvidere er det nødvendigt med regler, der beskriver sikkerhedsforhold, når et ansættelsesforhold slutter. IT-sikkerhedschefen udarbejder en nærmere beskrivelse af sikkerhedsprocedurerne. SecureAware Side 5 af 7
18 Politik Medarbejderne skal kvittere for at have set og forstået IT-sikkerhedsfilmen og at de vil overholde kommunens gældende IT-sikkerhedsregler. Den enkelte magistratsafdeling vurderer behovet for baggrundscheck og straffeattest. 9. Fysisk sikkerhed Kommunens IT-infrastruktur, lokaler, informationsbehandlingsudstyr og kommunikationsudstyr skal beskyttes mod uautoriseret fysisk adgang samt fysiske skader og uønskede hændelser. IT-sikkerhedschefen beskriver retningslinier for fysisk afgrænsning af områder, fysisk adgangskontrol, sikring af kontorer, lokaler og udstyr, beskyttelse mod eksterne trusler, forsyningssikkerhed, sikker bortskaffelse eller genbrug af udstyr m.v. 10. Styring af netværk og drift Borgmesterens Afdeling beskriver operationelle procedurer og ansvarsområder. Herunder driftsafviklingsprocedurer, beskyttelse mod skadevoldende programmer og mobil kode, sikkerhedskopiering, netværkssikkerhed, databærende medier, informationsudveksling, elektroniske forretningsydelser samt overvågning og registrering af sikkerhedsrelaterede hændelser. Systemejerne skal sikre en korrekt og betryggende driftsafvikling af kommunens informationssystemer. 11. Adgangsstyring Adgangen til at udføre handlinger på kommunens IT-systemer beskyttes af adgangskontrolsystemer. Systemerne har til formål at sikre mod uautoriserede ændringer, ordrer, fejl og svindel. Kommunens medarbejdere skal medvirke til beskyttelse af informationsaktiverne gennem korrekt brug af systemerne. IT-sikkerhedschefen beskriver retningslinier for adgangsstyring, administration af brugeradgang, brugernes ansvar, styring af netværksadgang, styring af systemadgang, styring af adgang til brugersystemer og informationer samt mobilt udstyr og fjernarbejdspladser. 12. Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer Det er vigtigt, at indkøb, udvikling og implementering af nye systemer foregår kontrolleret for at undgå unødvendige risici for kommunens informationsbehandling. Når løsninger implementeres skal sikkerhedsovervejelser altid indgå som en integreret del af processen. Systemejerne skal derfor sikre, at krav til sikkerhed bliver identificeret i forbindelse med udarbejdelse af kravspecifikationen ved anskaffelsen af et nyt system IT-sikkerhedschefen beskriver sikkerhedskravene til informationsbehandlingssystemer, herunder korrekt informationsbehandling, kryptering, logning, styring af driftsmiljøet, sikkerhed i udviklings- og hjælpeprocesser og sårbarhedsstyring. 13. Styring af sikkerhedshændelser Alle medarbejdere, samarbejdspartnere og øvrige brugere skal være bekendt med forretningsgangene for rapportering af forskellige typer hændelser og svagheder, der kan have indflydelse på sikkerheden for kommunens aktiver. Væsentlige sikkerhedshændelser og svagheder skal hurtigst muligt rapporteres til ITsikkerhedschefen. IT-sikkerhedschefen beskriver procedurer for rapportering af sikkerhedshændelser, svagheder, håndtering af sikkerhedsbrud og forbedringer. SecureAware Side 6 af 7
19 Politik 14. Beredskabsstyring Risikostyring og katastrofeplanlægning er nødvendige for at sikre mod uforudsete hændelser. Nødplanerne skal være med til at opretholde driften, således at skaderne for kommunen minimeres. Borgmesterens Afdeling beskriver IT-beredskabet og herunder plan for periodisk afprøvning. 15. Overensstemmelse med lovbestemte og kontraktlige krav Kommunens virke er omfattet af lovgivning og/eller påvirket af kontrakter eller eksterne parters rettigheder. Borgmesterens Afdeling beskriver overensstemmelsen med lovbestemte krav, sikkerhedspolitik og retningslinier samt beskyttelsesforanstaltninger ved revision af informationsbehandlingssystemer. Persondataloven gælder for behandling af oplysninger om identificerbare personer, når denne behandling helt eller delvis foretages ved hælp af elektronisk databehandling og ved ikke-elektronisk behandling af personoplysninger, der indeholdes i et register. I forhold til persondataloven skal ansatte i kommunen særlig være opmærksomme på: Hvornår en behandling er omfattet af persondataloven, Eventuel anmeldelsespligt, Den registreredes rettigheder (oplysningspligt, indsigtsret, indsigelsesret) og Aftaler med eventuelle leverandører. SecureAware Side 7 af 7
20 Bilag B Krav til databehandleraftale 5/ Krav til databehandlere I dette bilag beskriver databehandlernavn indsættes, hvordan nedenstående krav opfyldes. Nr. Krav Hvordan opfyldes dette? 1 Lagring af fortrolige data på datacentre skal sikres forsvarligt mod uvedkommendes adgang 2 Der skal anvendes en anerkendt kryptering ved transport af fortrolige data mellem datacentre indbyrdes og ved transport mellem datacentre og brugerne 3 Oversigt over datacentre og back-up centre med præcis adresseangivelse af hvor data findes 4 Der må ikke være udokumenterede adgange (bagdøre) til ITleverancen 5 Andre kunder må ikke kunne få adgang til Aarhus Kommunes data 6 Aarhus Kommunes data skal kunne adskilles fra andre kunders data og fremsøges 7 Løbende rapportering om sikkerhedsmæssige forhold - herunder brud/trusler/andre hændelser og gentagne afviste adgangsforsøg skal sendes til systemejer/kontraktholder i Aarhus Kommune 8 Der skal foretages tilstrækkelig 1 sletning af back-up, log og andre uddata, efter den aftalte opbevaringsperiode 9 Hvis der behandles fortrolige oplysninger, skal der ske log- 1 Definition: At data ikke kan genskabes
21 ning af dataanvendelsen jf. Datatilsynets sikkerhedsbekendtgørelse Aktiviteter udført af superadministratorer 2 skal logges 11 Administratorkodeord skal ændres når en administrator fratræder 12 Hvis det f.eks. 3 drejer sig om Saas (Software as a service) skal Aarhus Kommune kunne administrere egne brugere og egne data 13 I SLA-aftalen skal indgå en beskrivelse af styring af bl.a. drifts-, udviklings- og testmiljøer 2 Person, der kan delegere administratorrettigheder 3 Det kan også gælde i andre tilfælde
22 Bilag C Kvitteringsbilag databehandlernavn indsættes 5/ Kvitteringsbilag for udleveret materiale Under henvisning til indgået databehandleraftale mellem databehandlernavn indsættes og Aarhus Kommune kvitterer undertegnede herved for, at medarbejdere ikke må behandle fortrolige data uden for det aftalte driftsmiljø uden forudgående godkendelse af den pågældende afdeling. Opbevaring af data skal ske under sikrede forhold, og sådan at der herunder alene er adgang for de involverede. Beskrivelse af modtaget materiale: Udleveret af: Undertegnede indestår for, at det modtagne materiale behandles i overensstemmelse med den indgåede databehandleraftale, herunder at materialet returneres tilstrækkeligt sikkert til den udleverende afdeling. Kvittering for ovenstående: Dato: Navn: Underskrift:
23 Databehandleraftale om udførelse af opgaver for Aarhus Kommune Version 1.0 4/ Databehandleraftale mellem Aarhus Kommune, afdelingsnavn indsættes og leverandørnavn indsættes Det er jf. - kontrakt/driftsaftale/anden aftale + titel - aftalt, at - leverandørnavn indsættes - skal udføre følgende opgave for Aarhus Kommune:. Indledning På denne baggrund indgås denne databehandleraftale mellem Aarhus Kommune som dataansvarlig og med - leverandørnavn indsættes (herefter databehandleren) som databehandler for Aarhus Kommune, idet der jf. Persondatalovens 42, stk. 2, skal indgås en skriftlig aftale, når Aarhus Kommune overlader en behandling af personoplysninger til en databehandler. Der aftales herved følgende: 1. Efter instruks Databehandleren handler alene efter instruks fra Aarhus Kommune i forbindelse med udførelse af de aftalte opgaver. Oplysninger må ikke videregives til tredjepart eller behandles til andre formål, medmindre dette sker efter aftale med Aarhus Kommune. 2. Databeskyttelseslovgivning Databehandleren overholder den til enhver tid gældende persondatalovgivning og herunder sikkerhedsbekendtgørelse nr. 528 af 15. juni 2000 og de sikkerhedsregler, der følger af sikkerhedsbekendtgørelsen. 2.1 Databehandleren sikrer herunder, at der er truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataloven eller Aarhus Kommunes IT-sikkerhedspolitik 1 (Bilag A) og herunder den offentlige standard for informationssikkerhed DS 484:2005 eller tilsvarende standard for informationssikkerhed. Databehandleren skal ved tilbudsafgivelsen bekræfte at kunne leve op til kravene i bilag B 2. Det skal fremhæves, at bilag B ikke er en udtømmende liste over sikkerhedskrav. Udfyldelsen af bilag B skal foretages af databehandleren og godkendes af Aarhus Kommune inden kontraktindgåelsen. 2.2 Hvis databehandleren er etableret i et andet land, skal databehandler sikre, at de ud over den danske lovgivning også lever op til dette lands databeskyttelseslovgivning. 1 Bilag A Aarhus Kommunes IT-sikkerhedspolitik 2 Bilag B Krav til databehandlere 1
24 Databehandleraftale om udførelse af opgaver for Aarhus Kommune Version 1.0 4/ Hvis det drejer sig om databehandling i et usikkert tredjeland 3, skal kommissionens standardkontrakt 4 indgås. Hvis andre myndigheder fremlægger en kendelse om adgang til Aarhus Kommunes data, skal databehandler gøre indsigelse mod en kendelse og oplyse Aarhus Kommune herom. 2.3 Databehandleren skal levere en oversigt over datacentre og backup centre med præcis adresseangivelse af, hvor Aarhus Kommunes data behandles. Der sendes en ny oversigt til Aarhus Kommune ved ændringer. Der kan ikke uden forudgående aftale med Aarhus Kommune placeres data i et andet land. 2.4 Databehandleren er forpligtet til straks at give Aarhus Kommune (den kontraktansvarlige) meddelelse om driftsforstyrrelser, mistanke om brud på IT-sikkerhedsreglerne eller andre væsentlige uregelmæssigheder i forbindelse med udførelsen af opgaven. 3 Adgang til data Ved adgang til sikrede lokaler i Aarhus Kommune, kan den enkelte kommunale afdeling udlevere et adgangskort med en personlig kode eller en nøgle mod kvittering. Databehandleren har det ledelsesmæssige ansvar for, at databehandlerens medarbejdere overholder kommunens IT-sikkerhedsregler. 3.1 Databehandlerens medarbejdere må alene have adgang til data og/eller udføre jobs i det omfang, det er nødvendigt for udførelsen af arbejdet. Data må ikke lagres lokalt på medarbejderens udstyr. Databehandlerens medarbejdere må ikke behandle fortrolige data uden for det aftalte driftsmiljø uden forudgående godkendelse af den pågældende afdeling 5. Kvitteringsbilag C kan anvendes. Opbevaring af data skal ske under sikrede forhold, og sådan at der herunder alene er adgang for de involverede. Databehandleren garanterer, at nødvendig kopiering og backup af data sker under fuldt betryggende forhold. Efter endt brug skal udleveret datamateriale enten returneres tilstrækkeligt sikkert til Aarhus Kommune eller destrueres forsvarligt, så det ikke er muligt at genskabe dem. Eventuel destruktion skal aftales nærmere med den dataansvarlige i Aarhus Kommune. 3.2 Databehandlerens medarbejdere, som har behov for adgang til Aarhus Kommunes netværk skal forsynes med digital virksomhedssignatur (medarbejder NemID) af databehandleren. Medarbejderne skal være tilknyttet et sikkerhedsområde i Aarhus Kommunes IT-sikkerhedsorganisation. 3 Under Erhverv, Tredjelande, Sikre tredjelande 4 Under Erhverv, Tredjelande, Kommissionens standardkontrakt 5 Bilag C - Kvitteringsbilag 2
25 Databehandleraftale om udførelse af opgaver for Aarhus Kommune Version 1.0 4/ Medarbejdere tildeles en brugerident samt en personlig og fortrolig adgangskode i h.t. gældende standarder i Aarhus Kommune. Bestilling af ny kode - ved glemt kode - skal så vidt muligt ske via Aarhus Kommunes ITsikkerhedsorganisation. 4 Tavshedspligt Databehandleren forpligter sig over for uvedkommende til at hemmeligholde alle oplysninger modtaget fra og om Aarhus Kommune, som databehandleren får kendskab til i forbindelse med udførelsen af arbejdet for Aarhus Kommune. 4.1 Databehandleren sikrer, at deres medarbejdere, der får adgang til oplysninger fra Aarhus Kommune har underskrevet en tavshedserklæring om, at de har tavshedspligt over for uvedkommende med hensyn til deres adgang til kunders/samarbejdspartneres data. Tavshedspligten er gældende såvel under ansættelsen som efter ansættelsens ophør. Databehandler skal levere en kopi af disse erklæringer efter anmodning fra Aarhus Kommune. 4.2 Ved indgåelse af aftalen vedlægges et bilag D med en oversigt over de tilknyttede medarbejdere 6, der skal have adgang til Aarhus Kommunes lokaliteter/netværk. Leverandøren er forpligtet til at løbende at tilmelde nye medarbejdere og afmelde medarbejdere, der ikke længere har behov for adgang, til kontraktholder hos Aarhus Kommune. 5. Underdatabehandlere (underleverandører) Hvis databehandleren anvender underdatabehandlere er det databehandlerens ansvar, at underdatabehandleren efterlever databehandleraftalen, idet aftalen også gælder for disse. Databehandleren skal informere Aarhus Kommune om evt. underdatabehandlere samt sikre, at også deres underdatabehandleres medarbejdere har underskrevet en tavshedserklæring. Efter anmodning fra Aarhus Kommune skal databehandler levere en kopi af underdatabehandleraftalen. 6 Tilsyn Aarhus Kommune fører tilsyn med, at databehandleren har truffet de fornødne sikkerhedsforanstaltninger. Dette kan ske ved et besøg hos databehandleren og/eller hos evt. underdatabehandlere. Aarhus Kommune kan også lade andre (f.eks. revisor) gennemføre tilsyn. Aarhus Kommune er til enhver tid berettiget til at gennemføre yderligere kontrolforanstaltninger, herunder at begrænse databehandlers adgangsmuligheder til Aarhus Kommunes netværk og data. Databehandleren skal på Aarhus Kommunes anmodning, give Aarhus Kommune tilstrækkelige oplysninger til, at denne kan påse, at de krævede tekniske og organisatoriske sikkerhedsforanstaltninger er truffet Bilag D Oversigt over tilknyttede medarbejdere 3
26 Databehandleraftale om udførelse af opgaver for Aarhus Kommune Version 1.0 4/ Hvis det fremgår af kontrakten, skal der ved underskrift af databehandleraftalen leveres den seneste revisorerklæring, og herunder evt. baggrundsmateriale til erklæringen. Herefter leveres en årlig revisorerklæring, der er udarbejdet i overensstemmelse med de gældende branchestandarder på området (f.eks. ISAE 3000 vedrørende overholdelse af persondataloven). Dette gælder også for evt. underdatabehandlere. 7. Øvrige forhold Hvis Aarhus Kommune oplyser, at der foretages videoovervågning i de lokaliteter, hvor databehandlerens medarbejdere færdes hos Aarhus Kommune, skal databehandleren sikre, at deres medarbejdere samt underdatabehandleres medarbejdere gøres bekendt med dette. Databehandleren skal endvidere informere de pågældende medarbejdere om, at der sker registrering (logning) af alle anvendelser af fortrolige personoplysninger samt registrering af afviste adgangsforsøg i kommunens IT-systemer. De pågældende medarbejdere skal herunder gøres bekendt med, at der foretages kontrol med alle anvendelser af systemer med fortrolige personoplysninger. Loggen gemmes i 6 måneder, hvorefter den slettes. 8. Overtrædelse af databehandleraftalen Parternes erstatningspligt efter dansk rets almindelige regler skal være reguleret i kontrakten. 9. Databehandleraftalens ophør Aftalen kan genforhandles, hvis der sker ændring af det i punkt 2 anførte juridiske grundlag for aftalen. 9.1 Databehandleraftalen træder ud af funktion, når det samarbejde, der er en forudsætning for aftalen, ikke længere er gældende. 9.2 Tavshedspligten for databehandleren/underdatabehandlere og deres medarbejdere ophører ikke, selv om databehandleraftalen træder ud af kraft Databehandleren må kun behandle personoplysninger, som Aarhus Kommune er ansvarlig for, så længe det er nødvendigt for udførelse af den aftalte opgave Ved ophør skal det aftales med Aarhus Kommune, at data skal leveres tilbage til Aarhus Kommune eller der skal ske uoprettelig sletning punkt 3.1. For leverandørnavn indsættes Aarhus Kommune, Dato: / - 201_ Dato: / - 201_ 4
27 Databehandleraftale om udførelse af opgaver for Aarhus Kommune Version 1.0 4/ (Underskrift) (Underskrift) Bilagsoversigt: Bilag A Aarhus Kommunes IT-sikkerhedspolitik Bilag B Krav til databehandlere Bilag C Kvitteringsbilag Bilag D Oversigt over tilknyttede medarbejdere 5
Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes
Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn
Læs mereAarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014
Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen
Læs mereDatabehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]
Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn
Læs mereDatabehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )
#BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]
Læs mereAFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )
AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik
Læs mereRammeaftalebilag 5 - Databehandleraftale
Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)
Læs mereAarhus Kommune. Politik 1.4 11-03-2016
Aarhus Kommune Politik 1.4 11-03-2016 Indledning IT-sikkerhedspolitikken blev vedtaget i byrådets møde den 24. juni 2009 Revisionsdato: 11. marts 2016 IT-sikkerhedspolitikken er den overordnede ramme for
Læs mereBilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer
Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede
Læs mereDatabehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )
#BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]
Læs mereDatabehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)
Databehandleraftale mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) og Hedensted Kommune Horsens Kommune Odder Kommune Niels Espes Vej 8 Rådhustorvet 4 Rådhusgade
Læs mereDatabehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem
Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")
Læs mereDatabehandleraftale. 1. Baggrund, formål og definitioner. mellem. xxxxxxxxxx xxxxxxxxxx xx xxxx xxxxxxx CVR.nr. xxxxxx
#BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem xxxxxxxxxx xxxxxxxxxx xx xxxx xxxxxxx CVR.nr. xxxxxx (herefter benævnt
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs mereKontraktbilag 7: Databehandleraftale
Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs mereDragør Kommune Borgmestersekretariat, IT og Personale Marts
Bilag 5 Databehandleraftale 1. Overholdelse af gældende regler og forskrifter Databehandleren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten,
Læs mereDATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )
DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren
Læs mere3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.
Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling
Læs mereDATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )
DATABEHANDLERAFTALE Mellem Furesø Kommune Stiager 2 3500 Værløse CVR. nr.: 29188327 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er der
Læs mereDATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx
DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående
Læs mereProcedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Læs mereDATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]
DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE Flakhaven 2, 5000 Odense C OG [INDSÆT NAVN CVR xxxxxxxx Adresse ] 1. INDLEDNING... 3 2. ALMINDELIGE BESTEMMELSER... 3 3. SUPPLERENDE KRAV... 4 4. UNDERSKRIFTER...
Læs mereTønder Kommune BILAG 10
Tønder Kommune BILAG 10 Databehandleraftale mellem Tønder kommuner og Leverandør Side 1/14 DATABEHANDLERAFTALE Mellem Tønder Kommune Wegners Plads 2 6270 Tønder CVR. nr.: 29189781 (herefter Kommunen )
Læs mereBILAG 14: DATABEHANDLERAFTALE
BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav
Læs mereDATABEHANDLERAFTALE. ("Aftalen") om Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige.
Databehandleraftale Rev. 1.0 [Navn på dataansvarlig] CVR-nr.: [CVR-nr.] [Adresse] [Land] ("den Dataansvarlige") og Motus A/S CVR-nr.: 14145486 Svanemøllevej 65 2900 Hellerup Danmark ("Databehandleren")
Læs mereDatabehandlingsvilkår - vilkår for behandling af personoplysninger på vegne af en dataansvarlig kunde
Databehandlingsvilkår - vilkår for behandling af personoplysninger på vegne af en dataansvarlig kunde 1. Gyldighed 1.1 Dette dokument, benævnt Databehandlingsvilkår, beskriver de vilkår Damgaard-Jensen
Læs mereDATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde
DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde sig til indholdet evt.
Læs mereDatabehandleraftale. om [Indsæt navn på aftale]
Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune
Læs mereDatabehandlingsaftale
Databehandlingsaftale Dataansvarlig: Kunde lokaliseret inden for EU (den dataansvarlige ) og Databehandler: Europæisk repræsentant Virksomhed: ONE.COM (B-one FZ-LLC) One.com A/S Reg.nr. Reg.nr. 19.958
Læs mereDATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )
DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:
Læs mereDatabehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD
INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel
Læs mereDATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )
Skau Reipurth & Partnere Advokatpartnerselskab DATABEHANDLERAFTALE Indgået mellem [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet ) og [Databehandleren: F.eks. en lønbehandler] [Adresse]
Læs mereUnderbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]
Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] DATABEHANDLERAFTALE Der er dags dato indgået følgende Databehandleraftale mellem
Læs mereDATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]
DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] Tekst markeret med GRØN, udfyldes inden udsendelse til leverandøren Tekst markeret med TURKIS, udfyldes af leverandøren Side 1/16 Side 2/16 DATABEHANDLERAFTALE
Læs mereDATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)
DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: By: (i det følgende benævnt KUNDEN) MICO ApS CVR 29220646 Bådehavnsgade 42 2450 København SV (i det følgende benævnt MICO) INDLEDNING Nærværende
Læs mereDriftskontrakt. Databehandleraftale. Bilag 14
Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]
Læs mereBilag X Databehandleraftale
Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN
Læs mereEksempel på KOMBITs instruks til ISAE 3000 revisionserklæring
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,
Læs mere1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.
Aftalens omfang 1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden. 1.2 Personoplysninger, der behandles af Leverandøren,
Læs mereIshøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.
IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens
Læs mereDATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr
DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr. 29189668 (herefter Kommunen ) og Firmanavn Adresse Postnr. og by CVR.nr. (herefter Leverandøren ) er der indgået nedenstående
Læs mereDatabehandleraftale. Dags dato er indgået nedenstående aftale mellem
Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]
Læs mereDatabehandleraftale e-studio.dk Side 1 af 6
DATABEHANDLERAFTALE Mellem (herefter benævnt Den dataansvarlige ) Og e-studio ApS Albanivej 74 5792 Årslev CVR. nr.: 37074640 (herefter benævnt Databehandleren ) er der indgået nedenstående databehandleraftale
Læs mere(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )
Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter
Læs mereDatabehandleraftale. Dags dato er indgået nedenstående aftale mellem
Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:
Læs mereSKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017
SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 Side 1/19 Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med gul er aftaletekst,
Læs mereDATABEHANDLERAFTALE Version 1.1a
DATABEHANDLERAFTALE Version 1.1a Mellem Institutionens navn Institutions nr. Adresse Kommune Institutions CVR. nr. og WEBTJENESTEN LÆRIT.DK ApS Ellehammersvej 93 7500 Holstebro CVR: 35862056 (herefter
Læs mereDATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren )
Læs mereKontraktbilag 3. Databehandleraftale
Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i
Læs mereNOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer
NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010
Læs mereIT-sikkerhedspolitik for
Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs mereDatabehandleraftale. Dags dato er indgået nedenstående aftale mellem
Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereForsvarsministeriets Materiel- og Indkøbsstyrelse
Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.
Læs mereDS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484
DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres
Læs mereJeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )
DATABEHANDLERAFTALEN Databehandleraftale ( Aftalen ) mellem: Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK-36726350 ( Leverandøren ) A: OMFANG A.1 Databehandleraftale
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereGenerel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS
Generel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS I forbindelse med de nationale databeskyttelsesregler for personoplysninger samt Europa- Parlamentets og Europarådets
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereDatabehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )
Databehandleraftale Virksomhed [Adresse] [Adresse] CVR-nr.: (den Dataansvarlige ) og Net & Data ApS Hollands Gaard 8 4800 Nykøbing F CVR-nr.: 27216609 ( Databehandleren ) (den Dataansvarlige og Databehandleren
Læs mereNetic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.
www.pwc.dk Netic A/S Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser Juni 2018 Indhold 1. Ledelsens udtalelse 2 2. Uafhængig revisors
Læs mereDatabehandlerinstruks
1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren
Læs mereBilag B Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (s kunde) indgåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren () behandling af personoplysninger,
Læs mereBilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler
Acadrenr. 15/27563 Bilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler og persondataloven for Helsingør Kommune Indledning / Introduktion It-sikkerhedsaftale med ekstern part som følger af
Læs mereDATABEHANDLERAFTALE [LEVERANDØR]
DATABEHANDLERAFTALE Mellem [KUNDE] og [LEVERANDØR] Der er den [dato] indgået følgende databehandleraftale ("Aftalen") mellem: (A) (B) [VIRKSOMHEDEN], [ADRESSE] et selskab registreret under CVR-nr. [ ]
Læs mereBilag A Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (Beierholms kunde) indgåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandleren (Beierholm)
Læs mereBehandling af personoplysninger
Behandling af personoplysninger Orientering til kunder om Zibo Athene A/S behandling af personoplysninger. Nærværende dokument er en information til dig som kunde hos Zibo Athene A/S (herefter Zibo Athene)
Læs mereRetningsgivende databehandlervejledning:
Retningsgivende databehandlervejledning: 1. Databehandleren handler alene efter vejledning af den dataansvarlige og vedrører de opgaver, datahandleren har i henhold til bilag 1 til databehandleraftalen
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs merePolitik <dato> <J.nr.>
Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .
Læs mere3 Omfattede typer af personoplysninger og kategorier af registrerede
1 Behandlingsformål og behandlingsomfang Denne Databehandleraftale (Databehandleraftalen) er indgået som del af eller under henvisning til, at Parterne har aftalt en eller flere leveringer af it-ydelser
Læs mereBilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS
Side: 1 DATABEHANDLERAFTALE Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS 1. Baggrund 1.1 Den Dataansvarlige er den juridiske enhed/kunde som har indgået
Læs mereDATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.
DATABEHANDLERAFTALE Opdateret 24. maj 2018 Virksomhedsnavn: Virksomhedens adresse: Postnummer og by: Virksomhedens CVR nr.: (herefter benævnt Dataansvarlig ) og SpotOn Marketing ApS Ryesgade 106A, 4. th.
Læs mereDatabehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:
Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter
Læs mereAftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )
Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) og Steuermann ApS Flæsketorvet 68 1711 København V CVR. nr. 35809422 (i det følgende betegnet Databehandler ) (herefter samlet
Læs mere1. Ledelsens udtalelse
www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens
Læs mereAthena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018
www.pwc.dk Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018 Indhold 1. Ledelsens udtalelse... 3 2. Uafhængig revisors
Læs mereOPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE
OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE Bilag 14, IT-sikkerhed og databehandleraftale v.1.0 / Option til RM og RN INSTRUKTION TIL LEVERANDØREN VED UDNYTTELSE
Læs mereEG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser
www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mereBILAG G DATABEHANDLERAFTALE. mellem. Aalborg Havn Logistik A/S XXX A/S
Dette Bilag udgør Bilag G til Partnerskabs- og Driftsaftalen. BILAG G DATABEHANDLERAFTALE mellem Aalborg Havn Logistik A/S og XXX A/S APRIL 2019 [1] DATABEHANDLERAFTALE Mellem Aalborg Havn Logistik A/S
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs mere- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)
Læs mereDatabehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.
Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke Herefter benævnt Dataansvarlig Og Leverandør navn Adresse Herefter benævnt Databehandler side 1 af 5 Generelt Databehandleren
Læs mere2. Leverandøren er som databehandler forpligtet til følgende:
DPG DATABEHANDLER AFTALE Timengo DPG A/S Lautrupvang 1 2750 Ballerup Denmark Databehandler aftale Databehandler aftalen omfatter Leverandør rolle som databehandler for kunden. Det skal understreges, at
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereIT-SIKKERHEDSPOLITIK UDKAST
IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereOVERORDNET IT-SIKKERHEDSPOLITIK
OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5
Læs merelov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).
Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.
Læs mereDATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS
DATABEHANDLERAFTALE General aftale omkring behandling af persondata Udarbejdet af: ZISPA ApS Aftalen Denne databehandleraftale (Aftalen) er ZISPA s generelle databehandler aftale til den indgåede samhandelsaftale
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:
Databehandleraftale Mellem Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: og Databehandleren Virksomhed: OnlineFox CVR: 38687794 Adresse: Pilagervej 32 Postnummer & By: 4200 Slagelse
Læs mereInformationssikkerhedspolitik Frederiksberg Kommune
Maj 2018 Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler
Læs mereBilag 9 Databehandleraftale
Bilag 9 Databehandleraftale Aftale om databehandling mellem Trafik-, Bygge- og Boligstyrelsen Edvard Thomsens Vej 14 2300 København S (i det følgende betegnet som den Dataansvarlige) og XXX XX XX (i det
Læs mereDATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Januar 2018 Version 1.1 Udarbejdet af: Jansson Gruppen A/S på vegne af: Jansson EL A/S, CVR nr.: 73 28 93 19 Jansson Alarm A/S, CVR nr.: 74 78
Læs mere