Retsudvalget REU Alm.del Bilag 116. Offentligt
|
|
- Anita Hansen
- 7 år siden
- Visninger:
Transkript
1 :m :m EC å«, N 5 om,ampmma.zug w å. a 0mm x U>4>... rm<z m4 CPR-kontoret Holmens Kanal København K 17. december 2015 Datatilsynet Borgergade 28, København K CVR nr Telefon Fax dt@datat' y td ww.datatilsynet.dk.nr Sagsbehandler Kasper Frederiksen Direkte Datatilsynets udtalelse af 3 1. juli 2015 til Rigspolitiet er tilgængelig her: http: nyhedsarkiv artikel vedroerende-uvedkommendesadgang-til-personoplysninger-rigspolitiets-j nr-20 l Datatilsynet har modtaget en større mængde oplysninger i de rejste sager i forlængelse af hackerangrebet herunder oplysninger, som er klassificerede eller af forskellige årsager undtaget fra aktindsigt efter offentlighedsloven Vedrørende hackerangrebet på CSC i forhold til CPR-kontoret l. Baggrunden for sagen Datatilsynet vender hermed tilbage til sagen 0m hackerangrebet 1 forhold t1l personoplysninger, som behandledes hos CSC pa vegne af det daværende Økonomi- og Indenrigsministerium, IT og CPR (nu CPR administrationen i Social- og Indenrigsministeriet, i det følgende CPR-kontoret ). Efter anmodning fra Datatilsynet er CPR-kontoret fremkommet med udtalelser til sagen ved breve af 27. marts og 1 oktober 2014 Datatilsynet har i forbindelse med sagen modtaget Foreløbig rapport om sikkerhedsbrud hos CSC fra juli 2013 fra Center for Cybersikkerhed Tilsynet er ligeledes i besiddelse af Rapport om sikkerhedsbrud hos SC fra august 2014 fra PET og Center for Cybersikkerhed omtalt som Rapport II). Datatilsynet har den 31. juli 2015 truffet afgørelse i sagen om hackerangrebet i forhold til Rigspolitietl. Tilsynet fokuserede i den forbindelse sine undersøgelser på forholdene omkring Schengen-informationssystemet. Undersøgelserne afdækkede imidlertid en række forhold omkring indretningen af den berørte mainframe, som også er af relevans for den nærværende sag. 2. Sagens omstændigheder Datatilsynet kan overordnetz beskrive sagen såled 2.1. CPR-kontorets it-systemer hos CSC CPR-kontoret benyttede CSC som databehandler. I den forbindelse indgik de personoplysninger, som CPR-kontoret er dataansvarlig for, i et mainframe- Retsudvalget REU Alm.del Bilag 116 Offentligt
2 miljø hos CSC. Mainframiljøet indeholdt ud over CPR-kontorets it-systemer også it-systemer fra Modemiseringsstyrelsen, SKAT og Rigspolitiet. Om mainframemiljøet foreligger følgende oplysninger, jf. Datatilsynets brev af 31. juli 2015 til Rigspolitiet: 2.2. Det konkrete system Om mainframens indretning l-iackerangrebet er foregået mod én fysisk computer, en såkaldt mainframe af fabrikat IBM. Mainframen var konfigureret i fire partitioner, såkalte LPAR's (Logical Partitions). De fire LPAR's er benævnt D1 1, D12, D13 og D14. I en LPAR kan der driftes systemer, programmer og services. Mainframen var konfigureret således, at de tilsluttede lagringsmedier (diske) var delte og fysisk kunne tilgås fra alle fire LPAR'er. I det følgende benyttes betegnelsen 'det delte disksystem' for disse lagringsmedier. RACF er et mainframe sikkerhedssystem udviklet af IBM. RACF anvendes bl.a. til at kontrollere bruger-id og password for brugere og administratorer, samt disses autorisationer til at anvende data, programmer og andre ressourcer på mainframes. Den aktuelle mainframe var konfigureret med ét RACF sikkerhedssystem, som var fælles for hele mainframen inklusiv de fire LPAR'er. Dette RACF kontrollerede således i den aktuelle situation bruger-id og password for alle brugere og administratorer samt disses autorisationer til at anvende data, systemer, programmer og services og andre ressourcer i alle fire LPAR er på mainframen. De oplysninger om bruger-id, password og autorisationer, som RACF i det aktuelle tilfælde anvendte, fandtes lagret i krypteret form i en database/fil på det delte disksystem, som var tilsluttet mainframen. I det følgende omtales denne database/fil som 'RACF-databasen'. 1 LPAR D11 var der installeret en aktiv webserverservice, som kunne tilgås fra det åbne internet. Det var en sårbarhed i denne webserver, som hackeren benyttede til at skaffe sig den indledende adgang til mainframen Om mainframens anvendelse l mainframen driñedes bl.a. infonnationssystemer for Rigspolitiet, SKAT, Økonomi- og Indenrigsministeriet og Modemiseringsstyrelsen. De infonnationssystemer, der blev drifiet for Rigspolitiet, omfattede bl.a. Schengeninformationssystemet, Kriminalregisteret, Kørekortregisteret, Pasregisteret og Indexregisteret. Schengen-informationssystemet indeholdt bl.a. oplysninger om personer, der var eftersøgt, havde indrejseforbud i Schengen-området eller var under diskret overvågning af politi eller efterretningstjenester i henhold til artiklerne i Schengenkonventionen. Kriminalregisteret indeholdt bl.a. oplysninger om straffede personer og disses strafbare forhold. Kørekortregisteret indeholdt bl.a. oplysninger om alle personer, der har dansk kørekort, herunder kørekortindehaverens personnummer og kørekortnummer. Pasregisteret indeholdt bl.a. oplysninger om alle personer, der har et dansk pas, herunder bl.a. indehaverens personnummer og pasnummer.
3 Index-registeret indeholdt bl.a. oplysninger fra CPR-registeret om alle borgere i Danmark med et personnummer. Rigspolitiet har oplyst, at Rigspolitiets systemer blev driftet i LPAR D11 og D14. På forespørgsel har Rigspolitiet oplyst, at den implicerede webserver, som var installeret og aktiv i LPAR Dl l, havde til fonnål at give adgang fra internettet til portalen Modemiseringsstyrelsen er dataansvarlig for intemetportalen Portalen retter sig mod alle tjenestemænd med tjenestemandspension. På portalen kan den enkelte tjenestemand finde relevante oplysninger om egen tjenestemandspension. Datatilsynet har specifikt spurgt Rigspolitiet om, hvem (feks. Rigspolitiet eller CSC), der har truffet beslutning om, at webserveren skulle kunne tilgås fra internettet af brugere udenfor CSC's lokalitet. I to omgange har Rigspolitiet ikke besvaret spørgsmålet. Datatilsynet lægger i det følgende til grund, at LPAR D1 l er blevet anvendt af både Modemiseringsstyrelsen og Rigspolitiet. Dette understøttes af oplysningeme i de rapporter, som Datatilsynet er i besiddelse af, hvoraf det fremgår, at både Rigspolitiet og Modemiseringsstyrelsen benyttede LPAR Dl l. RACF sikkerhedssystemet på mainframen var fælles for de fire ovennævnte LPAR'er D] l, D12, D13 og D14. RACF sikkerhedssystemets database (RACF-databasen) indeholdt oplysninger om ca bruger- og administrator-id'er, samt oplysninger om de hertil knyttede password og autorisationer til at anvende programmer, services og data på hele mainframen. Det høje antal bruger- og administrator-id'er i RACF-databasen hænger sammen med, at RACF-sikkerhedssystemet kontrollerede brugere og administratorer af systemerne fra såvel Rigpolitiet, Økonomi- og Indenrigsministeriet, SKAT og Modemiseringsstyrelsen. En kopi af RACF-databasen blev fundet på hackerens computer." 2.2. Hackerangrebet Om hackerangrebet er oplyst følgende, jf. Datatilsynets brev af 3 l. juli 2015 til Rigspolitiet: "Hackerangrebet blev foretaget ved bl.a. at udnytte to sårbarheder i IBM softwaren på mainframen. Begge sårbarheder var såkaldte zero-day sårbarheder, hvilket betyder, at der ikke eksisterer rettelser til afhjælpning af sårbarhedeme. IBM udsendte først rettelser til afhjælpning af de to zero-day sårbarheder, eñer at angrebet var ophørt. Den aktuelle udnyttelse af sårbarhedeme kunne derfor ikke have været afværget ved patchning. Hackeren har skaffet sig adgang til mainframen via en webserver, som kunne tilgås fra det åbne internet. Ved at udnytte den ene zero-day sårbarhed, som fandtes i IBM webserversoñwaren, har hackeren opnået en indledende og begrænset adgang til mainframen. Ved dereñer at udnytte den anden zero-day sårbarhed i mainframens systemsoñware, har hackeren trinvis kunnet øge sine beføjelser og tiltage sig mere kontrol med mainframen. Forløbet førte til, at hackeren opnåede ubegrænset adgang til alle data og denned adgang til at kopiere, slette, ændre og tilføje data. Der er undervejs i forløbet blevet installeret et eller flere programmer, som har kunnet benyttes til at udtrække data fra mainframen. Undervejs i forløbet har hackeren opnået så store rettigheder, at hackeren har kunnet stjæle og kopiere (downloade) hele RACF-databasen fra mainframen. Endvidere er der opnået adgang til at omgå logning af de udførte handlinger, hvorefter hackeren har kunnet operere "Stealth".
4 Der foreligger ikke et fuldstændigt overblik over, hvilke data der med sikkerhed er kopieret fra mainfrarnemiljøet. Det er imidlertid konstateret, at store mængder data tilhørende politiet er kopieret 0g trukket ud fra systemet, ligesom RACF-databasen er blevet kopieret og downloadet CPR-kontorets håndtering af hackerangrebet CPR-kontoret har bl.a. oplyst, at det daværende Økonomi- og Indenrigsministerium med bistand fra Center for Cybersikkerhed igangsatte en nærmere undersøgelse af, om der var grund til at tage yderligere forholdsregler for CPR-systemet på baggrund af den konkrete sag, og at CPR-kontoret følger ISO og træffer løbende sikkerhedsforanstaltninger i forhold til den aktuelle risikovurdering for CPR-systemet, ligesom kontoret har fulgt de anbefalinger til yderligere sikkerhedsforanstaltninger, som er fremkommet under den iværksatte undersøgelse af hackerangrebet. Endvidere har CPR-kontoret bl.a. oplyst, gt CPR-systemet siden marts 2014 ikke længere driftsafvikles på den fællesoffentlige mainframe hos CSC eller anvender den fælles RACF, og at CPR-systemet er flyttet til en selvstændig platform, hvor der anvendes et andet adgangskontrolsystem. CPR-kontoret har også oplyst, a_t der i forbindelse med flytningen af CPR-systemet blev foranstaltet en ekstraordinær, uvildig it-revision og gennemført en sikkerhedsvurdering af den nye platform i samarbejde med Center for Cybersikkerhed. Herudover oplyste CPR-kontoret ved sit brev af 27. marts 2014, a_t det daværende Økonomi- og Indenrigsministerium ikke havde konstateret, at personoplysninger, som behandledes hos CSC på vegne af CPR-kontoret, var blevet uautoriseret tilgået, modificeret, misbrugt eller offentliggjort som følge af hackerangrebet, g CPR-kontoret i perioden siden februar 2012 ikke havde modtaget henvendelser eller indikationer på, at CPR's data skulle være blevet uautoriseret modificeret, misbrugt eller offentliggjort som følge af hackerangrebet, at Økonomi- og Indenrigsministeriet løbende vurderede, om der var anledning til at informere konkrete borgere eller grupper af borgere om sikkerhedsbruddet, men indtil videre ikke havde fundet anledning til dette, og a_t Økonomi- og Indenrigsministeriet bemærkede, at politiet den 6. juni 2013 offentliggjorde en vejledning til borgerne efter sikkerhedsbristen. I forhold til den kopierede og downloadede RACF-database har CPR-kontoret bl.a. oplyst, a_t databasen for CPR-systemets vedkommende indeholdt oplysninger om bl.a. brugemavne og passwords for ca brugere, a_t af disse brugere var aktive, mens de resterende var blokerede og ikke kunne anvendes, og a_t databasen for ca af brugemavnene bl.a. også indeholdt oplysninger om fornavn og efternavn på brugeren samt i visse tilfælde e- mailadresse.
5 3. Datatilsynets udtalelse 3.1. For så vidt angår RACF-systemet og det disksystem, der var tilknyttet den omhandlede mainframe, konkluderede Datatilsynet i afgørelsen af 31. juli 2015 bl.a.: "Sikkerhedssystemet RACF styrer og kontrollerer adgang og autorisationer til systemer for brugere og administratorer. Den aktuelle mainframe var indrettet med ét RACF, som dækkede hele mainframen, dvs. alle fire LPAR'er Dl l, D12, D13 og D14, brugere og administratorer af systemerne samt data for såvel Rigspolitiet som SKAT, Økonomi- og Indenrigsministeriet og Modemiseringsstyrelsen. Ved at dele RACF påførte de fire dataansvarlige hinanden forøgede risici, både fordi den enkelte dataansvarlige, f.eks. Rigspolitiet, eksponeres for visse former for sikkerhedshændelser hos de øvrige dataansvarlige, og fordi konsekvenserne af visse sikkerhedshændelser kan sprede sig fra én dataansvarlig til de øvrige dataansvarlige. Rigspolitiet har på forespørgsel oplyst, at der i RACF-databasen eksisterede (eller kunne oprettes) bruger- eller administrator-id med autorisationer til at kunne tilgå og udføre handlinger på data, som Rigspolitiet ikke er dataansvarlig for. Rigspolitiet har endvidere oplyst, at det drejer sig om data, som SKAT, Modemiseringsstyrelsen eller Økonomi- og Indenrigsministeriet er dataansvarlige for. På computeren, som blev beslaglagt i Cambodia, blev fundet en kopi af en RACF-database. Det er fastslået, at der er tale om en kopi af RACF-databasen, som fandtes på den aktuelle mainframe. RACF-databasen indeholdt adgangskoder og autorisationer for ca brugerog administrator-war hidrørende fra forskellige myndigheder. Datatilsynet må anse det for overvejende sandsynligt, at hackeren har været i stand til at bryde den kryptering, der var på RACF-databasens indhold, og dermed tilgå indholdet. På denne baggrund - og fordi hackeren vides at have tilegnet sig ubegrænsede rettigheder til at tilgå alle data på mainframen - må alle data på mainframen og hele det delte disksystem anses for eksponeret og potentielt kompromitteret ved hackerangrebet." og: "Den aktuelle mainframe var indrettet med ét delt disksystem, som kunne tilgås fra alle fire LPAR'er D11, D12, D13 og D14. Det delte disksystem blev benyttet til at lagre data for informationssystememe, som blev driñet i alle fire LPAR'er, dvs. for Rigspolitiet, SKAT, Økonomi- og Indenrigsministeriet og Modemiseringsstyrelsen. Ved at dele disksystemet påførte de fire dataansvarlige hinanden forøgede risici, både fordi den enkelte dataansvarlige, feks. Rigspolitiet, eksponeredes for visse former for sikkerhedshændelser hos de øvrige dataansvarlige, og fordi konsekvenserne af visse sikkerhedshændelser kunne sprede sig fra én dataansvarlig til de øvrige dataansvarlige. Delingen af disksystemet er med hensyn til adskillelse af dataansvarlige og adskillelse af de dataansvarliges data risikabel og undergraver tillige forsvar i dybden for alle de dataansvarlige." 3.2. Datatilsynets vurdering i forhold til CPR-kontoret Datatilsynet må lægge til grund, at angriberen potentielt har haft adgang til at ændre i, tilføje eller slette data, som befandt sig i systemer, som på vegne af CPR-kontoret blev håndteret hos CSC. Datatilsynet har i den forbindelse noteret sig, at det er anført i Rapport II, at de berørte myndigheder har foretaget dataintegritetscheck (og konsekvensvurdering) som anbefalet af Center for Cybersikkerhed i den foreløbige rapport frajuli 2013.
6 3 Ifølge persondatalovens 41, stk. 3, skal der træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven Hertil kommer, at de oplysninger om personlige brugere, der indgik RACFdatabasen, efter Datatilsynets opfattelse i sig selv udgør personoplysninger omfattet af persondataloven. Tilsynet lægger herved vægt på, at oplysningerne omfattede navne 0g andre personoplysninger. Efter Datatilsynets opfattelse er der således tale om, at personoplysninger, som CPR-kontoret er dataansvarlig for, er kommet til uvedkommendes kendskab, da RACF-databasen er blevet kopieret og downloadet. Det forhold, at mainframemiljøet hos CSC var delt mellem flere myndigheder, medvirkede efter Datatilsynets opfattelse til, at en angriber via en webserver, som én myndighed var dataansvarlig for, kunne tilgå både data, som den pågældende myndighed var dataansvarlig for, og data, som andre myndigheder var dataansvarlige for. Det forhold, at RACF -databasen var delt mellem flere myndigheder, forøgede desuden angriberens mulighed for at skaffe sig adgang til CPR-kontorets systemer via uberettiget adgang til andre myndigheders systemer. Efter Datatilsynets opfattelse har CPR-kontoret derfor ikke haft tilstrækkelig kontrol med sikkerheden omkring de personoplysninger, som på myndighedens vegne blev håndteret hos CSC. Datatilsynet finder således, at CPRkontoret ikke har levet op til kravet i persondatalovens 41, stk. 33, om de fornødne sikkerhedsforanstaltninger. Datatilsynet tager ved sin vurdering af sagen også i betragtning, at CPRkontoret fik håndteret CPR-systemet i det pågældende mainframemiljø hos CSC, og at kompromittering af oplysningerne kurme få alvorlige skadevirkninger for såvel CPR-kontoret, andre myndigheder, som bruger CPRsystemet, som de personer, der behandles oplysninger om. På den baggrund er det efter Datatilsynets opfattelse meget alvorligt, a_t en udenforstående potentielt har haft mulighed for at tilgå, kopiere, slette 0 g ændre i CPR-systemet hos CSC, og at personoplysninger i RACF-databasen er blevet kopieret og downloadet. Datatilsynet finder derfor CPR-kontorets manglende efterlevelse af persondatalovens sikkerhedskrav kritisabel. Datatilsynet har noteret sig det oplyste om de skridt, som CPR-kontoret har taget til at forbedre beskyttelsen af CPR-systemet.
7 os aan: Woñoanram 3.3. Underretning af de berørte personer Hvis personoplysninger er kommet til uvedkommendes kendskab, er det Datatilsynets opfattelse og faste praksis, at reglen i persondatalovens 5, stk. 1, om god databehandlingsskik medfører, at den dataansvarlige skal vurdere, om og i givet fald hvordan de berørte personer skal underrettes. Ved vurderingen af spørgsmalet om underretning må den dataansvarlige blandt andet tage oplysningemes karakter og de mulige konsekvenser for de berørte personer i betragtning. I et tilfælde, hvor en brugerdatabase er blevet kompromitteret, ma det også tages i betragtning, om såvel brugernavne som passwords er berørt, om passwords var krypteret, og om det må frygtes, at angriberen har brudt krypteringen. Tilsynet vurderer umiddelbart, at der i sådanne situationer som oftest vil være behov for underretning ganske hurtigt. Ud over nulstilling af passwords i de berørte løsninger kan der saledes være brugere der har behov for at ændre passwords andre steder eller at ændre en metodik til opbygning af passwords som kan være blotlagt. Datatilsynet skal på denne baggrund opfordre CPR-kontoret til at fastsætte retningslinjer for håndtering af sikkerhedsbrud både for myndigheden selv og som led i aftalerne med de relevante databehandlere såfremt sådanne retningslinjer ikke allerede er fastsat Afsluttende bemærkninger Datatilsynet foretager sig herefter ikke yderligere i sagen. Tilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside ed venl' hilsen
Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.
Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29
Læs mereMichael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk
Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,
Læs mereDatatilsynet har besluttet at undersøge sagen af egen drift.
KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet
Læs mereRetsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt
Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning
Læs mereSammenfattende kan Datatilsynet konkludere
Odense Kommune Flakhaven 2 5000 Odense C Att.: John Bonnerup Sendt med Digital Post 11. november 2016 Vedrørende tilsyn med behandling af personoplysninger Datatilsynet Borgergade 28, 5. 1300 København
Læs mereartikel 96 eller artikel 97.
xxx xxx xxx 24. september 2001 Vedrørende Deres klage over Rigspolitiets afslag på indsigt i Schengen- Informationssystemet Datatilsynet Christians Brygge 28, 4. 1559 København V CVR-nr. 11-88-37-29 Telefon
Læs merePERSONDATAPOLITIK. Håndtering af personoplysninger om kunder og samarbejdspartnere hos BOXITs depotrumsafdeling
PERSONDATAPOLITIK Håndtering af personoplysninger om kunder og samarbejdspartnere hos BOXITs depotrumsafdeling Denne politik er en del af Boxits, herefter virksomheden, samlede dokumentation for, at virksomhedens
Læs mereTilladelsen gives på følgende vilkår:
Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,
Læs mereAFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN
AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs mere3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.
Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling
Læs mereBilag A Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (Beierholms kunde) indgåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandleren (Beierholm)
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereR E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R
R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R Afsnit 1: Indledning... side 1 Afsnit 2: Generelt om sikkerhedsbrud...
Læs mereDATABEHANDLERAFTALE Version 1.1a
DATABEHANDLERAFTALE Version 1.1a Mellem Institutionens navn Institutions nr. Adresse Kommune Institutions CVR. nr. og WEBTJENESTEN LÆRIT.DK ApS Ellehammersvej 93 7500 Holstebro CVR: 35862056 (herefter
Læs mereAftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )
Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) og Steuermann ApS Flæsketorvet 68 1711 København V CVR. nr. 35809422 (i det følgende betegnet Databehandler ) (herefter samlet
Læs mereHåndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer
Borgerrådgiveren Socialforvaltningen Brev er d.d. fremsendt pr. e-mail. 16-11-2012 Sagsnr. 2012-98616 Dokumentnr. 2012-900691 Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling
Læs mereRetningslinjer for håndtering af sikkerhedsbrud vedrørende personoplysninger
Retningslinjer for håndtering af sikkerhedsbrud vedrørende personoplysninger R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L
Læs mereVilkår og privatlivspolitik
Vilkår og privatlivspolitik 1. Ansvar Beskyttelse af dine persondata har vores højeste prioritet, uanset om disse data handler om dig, dine transaktioner, dine produkter eller dine serviceydelser. Vi behandler
Læs mereDanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup
DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup 24. september 2010 Vedrørende sikkerhedsforanstaltningerne omkring udstedelse af NemID Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29
Læs mereR E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R
R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R 1 INDLEDNING 1.1 Disse retningslinjer vedrører UBSBOLIG A/S (herefter
Læs mereBilag B Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (s kunde) indgåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren () behandling af personoplysninger,
Læs mereCC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Aftalen foreligger mellem Adresse Post nr. og By CVR. nr. xx xx xx xx (i det følgende betegnet Dataansvarlig ) og CC GROUP DENMARK Møllebugtvej 5 7000 Fredericia Att: CVR. nr. 27415032
Læs mereDatabeskyttelse og cyber risk-forsikringer
Databeskyttelse og cyber risk-forsikringer v/ partner Anne Buhl Bjelke & Den offentlige uddannelsesdag 2014 persondataspecialist Charlotte Bagger Tranberg Persondataretlige aspekter Personoplysninger kun
Læs mereDatatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration
Side 1 af 2 Forside / Erhverv / Personaleadministration / Krav om datasikkerhed i forbindelse med personaleadministration Opdateret: 06.05.15 Krav om datasikkerhed i forbindelse med personaleadministration
Læs mereDATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Januar 2018 Version 1.1 Udarbejdet af: Jansson Gruppen A/S på vegne af: Jansson EL A/S, CVR nr.: 73 28 93 19 Jansson Alarm A/S, CVR nr.: 74 78
Læs mereDATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )
DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:
Læs mereDATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]
DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE Flakhaven 2, 5000 Odense C OG [INDSÆT NAVN CVR xxxxxxxx Adresse ] 1. INDLEDNING... 3 2. ALMINDELIGE BESTEMMELSER... 3 3. SUPPLERENDE KRAV... 4 4. UNDERSKRIFTER...
Læs mere[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]
!"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne
Læs mere- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)
Læs mereDATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS
DATABEHANDLERAFTALE General aftale omkring behandling af persondata Udarbejdet af: ZISPA ApS Aftalen Denne databehandleraftale (Aftalen) er ZISPA s generelle databehandler aftale til den indgåede samhandelsaftale
Læs mereDATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )
Skau Reipurth & Partnere Advokatpartnerselskab DATABEHANDLERAFTALE Indgået mellem [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet ) og [Databehandleren: F.eks. en lønbehandler] [Adresse]
Læs mereJeg skrev blandt andet følgende til Beskæftigelses- og Integrationsforvaltningen:
Borgerrådgiveren Beskæftigelses- og Integrationsforvaltningen Center for Driftsunderstøttelse Fremsendt dags dato med e-mail til: bif@bif.kk.dk og cduklagesager@bif.kk.dk 12-10-2012 Sagsnr. 2012-91002
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs mere1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.
Aftalens omfang 1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden. 1.2 Personoplysninger, der behandles af Leverandøren,
Læs mereUnderbilag Databehandlerinstruks
Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter
Læs mereKontraktbilag 7: Databehandleraftale
Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør
Læs mereDATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.
DATABEHANDLERAFTALE Opdateret 24. maj 2018 Virksomhedsnavn: Virksomhedens adresse: Postnummer og by: Virksomhedens CVR nr.: (herefter benævnt Dataansvarlig ) og SpotOn Marketing ApS Ryesgade 106A, 4. th.
Læs mereTønder Kommune BILAG 10
Tønder Kommune BILAG 10 Databehandleraftale mellem Tønder kommuner og Leverandør Side 1/14 DATABEHANDLERAFTALE Mellem Tønder Kommune Wegners Plads 2 6270 Tønder CVR. nr.: 29189781 (herefter Kommunen )
Læs mereVedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk
Brevdato: 23. maj 2006 Modtager: Scandinavian Airlines Danmark (SAS) J.nr. 2006-219-0370 Stikord: Fingeraftryk, personoplysninger, saglighed og proportionalitet, alternativ løsning, oplysningspligt, datasikkerhed.
Læs mereDatabehandlerinstruks
1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren
Læs mereBilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner
Bilag 8 Retningslinje om brud på persondatasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereRetningsgivende databehandlervejledning:
Retningsgivende databehandlervejledning: 1. Databehandleren handler alene efter vejledning af den dataansvarlige og vedrører de opgaver, datahandleren har i henhold til bilag 1 til databehandleraftalen
Læs merePERSONDATAPOLITIK. Håndtering af personoplysninger om kunder og samarbejdspartnere hos BOXITs containerafdeling
PERSONDATAPOLITIK Håndtering af personoplysninger om kunder og samarbejdspartnere hos BOXITs containerafdeling Denne politik er en del af Boxits, herefter virksomheden, samlede dokumentation for, at virksomhedens
Læs mereDATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx
DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående
Læs mereCuranet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Åstvej 10, B 7190 Billund CVR. nr. 30 56 13 17 (i det følgende betegnet Dataansvarlig ) og Curanet A/S Højvangen 4 8660 Skanderborg CVR. nr. 29
Læs merePRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK
PRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK Vores privatlivspolitik giver dig et tydeligt overblik over, hvordan vi behandler dine data, samt hvad du kan forvente, at vi bruger dem til.
Læs mereBeretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb
Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 1 Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 2 Introduktion til de 2 beretninger
Læs mereDATABEHANDLERAFTALE [LEVERANDØR]
DATABEHANDLERAFTALE Mellem [KUNDE] og [LEVERANDØR] Der er den [dato] indgået følgende databehandleraftale ("Aftalen") mellem: (A) (B) [VIRKSOMHEDEN], [ADRESSE] et selskab registreret under CVR-nr. [ ]
Læs mereDatabehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem
Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")
Læs mereTilsynsbesøget fandt sted den 9. november 2018.
Randers Kommune Laksetorvet 1 8900 Randers C Sendt med Digital Post 5. august 2019 Tilsyn med Randers Kommunes behandling af personoplysninger Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29
Læs mereForsvarsudvalget L 192 endeligt svar på spørgsmål 3 Offentligt
Forsvarsudvalget 2013-14 L 192 endeligt svar på spørgsmål 3 Offentligt Folketingets Forsvarsudvalg Christiansborg FORSVARSMINISTEREN 23. maj 2014 Folketingets Forsvarsudvalg har den 13. maj 2014 stillet
Læs mereRetningslinjer for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste
Sagsbehandler: PAH Sagsnummer: 2012/002293 13. maj 2013 Indledning Retningslinjer for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste Forsvarets Efterretningstjeneste
Læs mereFormål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde
ø Retningslinjer om brud på datasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU)
Læs mereRetningslinjer om brud på persondatasikkerheden
Retningslinjer om brud på persondatasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs merePersondata Behandlingssikkerhed. v/rami Chr. Sørensen
Persondata Behandlingssikkerhed v/rami Chr. Sørensen Behandlingssikkerhed Artikel 32 2 Behandlingssikkerhed art. 32 Henset til det aktuelle tekniske niveau og omkostningerne og i betragtning af behandlingens
Læs mereAftale omkring behandling af persondata.
Databehandleraftale Aftale omkring behandling af persondata. Aftalen Denne databehandleraftale er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig) og ApS (Databehandler), og er gældende
Læs mereVedrørende tilsyn med behandling af personoplysninger
Att.: Kommunaldirektøren Sendt med Digital Post Dat0 Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail dt@datatilsynet.dk www.datatilsynet.dk J.nr.
Læs mereBILAG 14: DATABEHANDLERAFTALE
BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav
Læs mereRammeaftalebilag 5 - Databehandleraftale
Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)
Læs merehos statslige myndigheder
IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet
Læs mereBrud på datasikkerheden
Brud på datasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april
Læs mereDatabehandleraftale. Dataansvarlig. Databehandler. Navn: CVR nr.: Adresse:
Databehandleraftale Dataansvarlig Navn: CVR nr.: Adresse: Databehandler Navn: Dataspecialisten CVR nr.: 25252985 Adresse: Idrætsvej 17, 4532 Gislinge Baggrund og formål 1.1 Parterne har aftalt levering
Læs mereBeredskabsplan for Kolding HF & VUC
Beredskabsplan for Kolding HF & VUC ved brud på datasikkerheden Indledning Denne beredskabsplan for Kolding HF & VUC fastsætter de nærmere retningslinjer og interne procedurer for Kolding HF & VUC' håndtering
Læs mere! Databehandleraftale
! Databehandleraftale Indledning 1.1. Denne aftale vedrørende behandling af personoplysninger ( Databehandleraftalen ) regulerer Pensopay APS CVR-nr. 36410876 (databehandleren) og Kunden (den Dataansvarlige
Læs mereUdkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland
Lovafdelingen Dato: Kontor: Databeskyttelseskontoret Sagsbeh: André Dybdal Pape/ Marcus Nymand Sagsnr.: 2016-766-0019 Dok.: 2104838 Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse
Læs mereTitel: Ikke ret til dataudtræk fra logoplysninger vedrørende opslag i elektroniske patientjournaler
2016-49433 Titel: Ikke ret til dataudtræk fra logoplysninger vedrørende opslag i elektroniske patientjournaler På foranledning af en henvendelse fra en borger har Statsforvaltningen udtalt: Henvendelse
Læs mereSikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer
Sikkerhedsanbefaling Styrkelse af informationssikkerheden i mainframeinstallationer Januar 2015 Indledning Inden for de seneste år har flere mainframeinstallationer været udsat for hackerangreb. I Sverige
Læs mereDATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )
DATABEHANDLERAFTALE Mellem Furesø Kommune Stiager 2 3500 Værløse CVR. nr.: 29188327 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er der
Læs merePERSONDATAPOLITIK (EKSTERN)
PERSONDATAPOLITIK (EKSTERN) INDSAMLING OG ANVENDELSE AF PERSONOPLYSNINGER HOS FREDERIKSHAVN HAVN Denne politik er en del af Frederikshavn Havns samlede dokumentation for, at virksomheden overholder den
Læs mereSagsnr. 26250-0 NOTAT OM DATABEHANDLING
Sagsnr. 26250-0 NOTAT OM DATABEHANDLING INDHOLDSFORTEGNELSE 1. Beskrivelse af problemstillingen... 3 2. Overladelse af persondata... 3 2.1. Behandlingshjemmel... 3 2.2. Dataansvar... 4 2.3. Databehandlerinstruks...
Læs mere(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )
Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter
Læs mereBilag 1.Talepapir ved samråd i KOU den 8. oktober
Kommunaludvalget 2014-15 KOU Alm.del endeligt svar på spørgsmål 3 Offentligt Bilag 1.Talepapir ved samråd i KOU den 8. oktober Samrådsspørgsmål: Finansministeren bedes redegøre for kritikken af sikkerheden
Læs mereRetningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2
Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium Indholdsfortegnelse ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 HVORDAN HÅNDTERER VI ET BRUD PÅ PERSONDATASIKKERHEDEN?... 3 NÅR
Læs mereBilag X Databehandleraftale
Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN
Læs mereBilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS
Side: 1 DATABEHANDLERAFTALE Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS 1. Baggrund 1.1 Den Dataansvarlige er den juridiske enhed/kunde som har indgået
Læs mereIt-sikkerhedstekst ST2
It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version
Læs mereDatabehandlingsaftale
Databehandlingsaftale Dataansvarlig: Kunde lokaliseret inden for EU (den dataansvarlige ) og Databehandler: Europæisk repræsentant Virksomhed: ONE.COM (B-one FZ-LLC) One.com A/S Reg.nr. Reg.nr. 19.958
Læs mereBrud på persondatasikkerheden
Brud på persondatasikkerheden Marts 2018 Baggrund og formål Et af de mest omtalte emner i Databeskyttelsesforordningen relateres til brud på persondatasikkerheden, idet forordningen introducerer nogle
Læs mereUddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)
Side 1 af 8 Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Kapitel 1 Lovens område 1. Stk. 7. Loven gælder for enhver form for behandling af personoplysninger i forbindelse
Læs mereMidtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner
Retningslinje om brud på persondatasikkerheden HolmehiEijvej 4 5750 Ringe Tlf. 6262 2577 e-mail: post@mfg. dk www.mfg. dk Juni, 2018 Anvendelsesområde Retningslinje om brud på persondatasikkerheden er
Læs mereDatabehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)
Databehandleraftale mellem Heyloyalty ApS Jens Baggesens Vej 47 8200 Aarhus N Cvr: 29394458 (i det følgende HL eller databehandleren) og Kunden (i det følgende kunden eller dataansvarlig) [1/5] 1. Baggrund
Læs mereDatabehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)
Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at
Læs mereBehandling af personoplysninger
Behandling af personoplysninger Orientering til kunder om Zibo Athene A/S behandling af personoplysninger. Nærværende dokument er en information til dig som kunde hos Zibo Athene A/S (herefter Zibo Athene)
Læs mereDatabehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.
Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke Herefter benævnt Dataansvarlig Og Leverandør navn Adresse Herefter benævnt Databehandler side 1 af 5 Generelt Databehandleren
Læs mereDatabehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD
INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel
Læs mereDatabehandleraftale e-studio.dk Side 1 af 6
DATABEHANDLERAFTALE Mellem (herefter benævnt Den dataansvarlige ) Og e-studio ApS Albanivej 74 5792 Årslev CVR. nr.: 37074640 (herefter benævnt Databehandleren ) er der indgået nedenstående databehandleraftale
Læs mereBeredskabsplan for Aarhus HF og VUC ved brud på datasikkerheden
Beredskabsplan for Aarhus HF og VUC ved brud på datasikkerheden 1. Indledning 1.1 Denne beredskabsplan ( Beredskabsplan ) for Aarhus HF og VUC fastsætter de nærmere retningslinjer og interne procedurer
Læs mereDatabehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:
Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter
Læs merePersondata og sikkerhedsbrud
1 Persondata og sikkerhedsbrud Tirsdag den 10. maj 2016 2 Hvad er et sikkerhedsbrud? Brud på persondatasikkerheden": Brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring,
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereSamarbejds- og fortrolighedsaftale
Samarbejds- og fortrolighedsaftale Dato: (Udfyldes med håndskrift) Obs: Aftalen udleveres sammen med password. Herefter stemples den af værkstedet. Dato, og CVR-nr håndskrives og aftalen underskrives,
Læs mere1.1. Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.
Der indgås hermed følgende databehandleraftale ("Aftalen") mellem "Kunden"og MemberLink Aps (som driver Rokort.dk), Stenager 2, 6400 Sønderborg CVR 33381638 ("Leverandøren"), der samlet benævnes "Parterne"
Læs mereD A T A B E H A N D L E R A F T A L E
D A T A B E H A N D L E R A F T A L E er den indgået mellem Navn: CVR-nr.: Adresse: (den Dataansvarlige ) og DCS CVR-nr.: 26686091 Høgemosevænget 1 8380 Trige ( Databehandleren ) (Den Dataansvarlige og
Læs mereDATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem
vedr. Indkøbsordning til visiterede borgere i eget hjem Mellem Hvidovre Kommune Hvidovrevej 278 2650 Hvidovre Glostrup Kommune Rådhusparken 2 2600 Glostrup (CVR nr. 65120119) Rødovre Kommune Rødovre Parkvej
Læs mereDriftskontrakt. Databehandleraftale. Bilag 14
Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]
Læs mereDATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og
DATABEHANDLERAFTALE indgået mellem Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og Microcom ApS CVR-nr.: 21 04 71 98 Wichmandsgade 5 5000 Odense C Databehandleren, tilsammen Parterne og
Læs mereDATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )
DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren
Læs mereDatabehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")
Databehandleraftale Mellem Webdomain CVR 21548995 (herefter "Databehandleren") og CVR 39708914 flex-job.dk IVS Kundenummer 171742 (herefter den "Dataansvarlige") er der indgået nedenstående databehandleraftale
Læs mereIkke aktindsigt i s i mailboks, som Tilsynet ikke havde umiddelbar adgang til, selv om Tilsynet kendte koden. 21.
2016-15 Ikke aktindsigt i e-mails i mailboks, som Tilsynet ikke havde umiddelbar adgang til, selv om Tilsynet kendte koden 21. marts 2016 En tidligere regionsrådsformand havde givet Statsforvaltningen,
Læs mere