Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.

Størrelse: px
Starte visningen fra side:

Download "Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning."

Transkript

1 Uddrag af Persondataloven, lov nr. 429 af 31. maj Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.... Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger. Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning I medfør af 41, stk. 5, i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger fastsættes: Kapitel 1 Almindelige bestemmelser 1. Denne bekendtgørelse gælder for behandling af personoplysninger, som foretages for den offentlige forvaltning helt eller delvis ved hjælp af elektronisk databehandling. 2. Behandling af personoplysninger skal ske i overensstemmelse med bestemmelserne i kapitel 1 og 2. Stk. 2. Behandling af personoplysninger, hvor der skal ske anmeldelse til Datatilsynet efter reglerne i kapitel 12 i lov om behandling af personoplysninger, skal tillige ske i overensstemmelse med bestemmelserne i denne bekendtgørelses kapitel 3. Dette gælder dog ikke for behandling af personoplysninger, der udelukkende sker med henblik på at føre et retsinformationssystem, i det omfang der er tale om oplysninger i den offentligt tilgængelige del af retsinformationssystemet. 3. Den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Stk. 2. For personoplysninger, som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. 4. Datatilsynet fører tilsyn med overholdelsen af denne bekendtgørelse og kan i den forbindelse komme med henstillinger over for den dataansvarlige myndighed vedrørende de trufne sikkerhedsforanstaltninger, jf. 3. Kapitel 2 Generelle sikkerhedsbestemmelser 5. Den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. Stk. 2. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden.

2 6. Den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. Stk. 2. Hvis behandling af personoplysninger finder sted på en pc-arbejdsplads uden for den dataansvarlige myndigheds lokaliteter, skal myndigheden fastsætte særlige retningslinier herfor, således at det sikres, at bestemmelserne om sikkerhedsforanstaltninger iagttages. 8. På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne. 9. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, samt ved salg og kassation af anvendte datamedier skal der træffes de fornødne foranstaltninger for at sikre, at bestemmelsen i 3 iagttages. Inddatamateriale som indeholder personoplysninger 10. Inddatamateriale, som ikke indgår i en manuel sag eller i et manuelt register, må kun anvendes af personer, som er beskæftiget med inddatering. Inddatamateriale, som er omfattet af bestemmelsen i 2, stk. 2, skal opbevares aflåst, når det ikke anvendes. Stk. 2. Inddatamateriale som nævnt i stk. 1 skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager, eller til kontrol med de inddaterede personoplysninger, dog senest efter en af den dataansvarlige myndighed nærmere fastsat frist. Stk. 3. Ved tilintetgørelse af inddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger mod, at materialet misbruges eller kommer til uvedkommendes kendskab. Autorisation og adgangskontrol 11. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles. Stk. 2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Stk. 3. Der må endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. 12. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til. Uddatamateriale som indeholder personoplysninger 13. Uddatamateriale må kun anvendes af personer, der er beskæftiget med de formål, til hvilke behandlingen af personoplysningerne foretages. Stk. 2. Herudover må uddatamateriale anvendes af personer, som er beskæftiget med revision eller drifts- og systemtekniske opgaver i det pågældende system. Stk. 3. Uddatamateriale skal opbevares på en sådan måde, at uvedkommende ikke kan få adgang til at gøre sig bekendt med de personoplysninger, som er indeholdt heri. Stk. 4. Uddatamateriale skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager, og senest efter en af den dataansvarlige myndighed nærmere fastsat frist. Stk. 5. Ved tilintetgørelse af uddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger mod, at materialet misbruges eller kommer til uvedkommendes kendskab. Stk. 6. Bestemmelserne i stk. 1-5 gælder ikke for uddatamateriale, som indgår i en manuel sag eller i et manuelt register. Eksterne kommunikationsforbindelser

3 14. Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Kapitel 3 Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger 15. Bestemmelserne i kapitel 3 finder ikke anvendelse i det omfang de behandlede oplysninger ikke i sig selv ville være omfattet af anmeldelsespligt til Datatilsynet. Autorisation og adgangskontrol 16. Autorisationer, jf. 11, skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. 17. Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne i 11, stk. 2 og 3, og 16. Stk. 2. Kontrol heraf skal foretages mindst en gang hvert halve år. Kontrol med afviste adgangsforsøg 18. Der skal foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Der skal løbende ske opfølgning i myndigheden. Logning 19. Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse for personoplysninger, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for en af den dataansvarlige myndighed nærmere fastsat kortere frist. Stk. 3. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis behandlingen af personoplysninger udelukkende sker ved afvikling af programmer, som foretager en forud defineret massebehandling af personoplysninger (»batch»-kørsler). Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen. Stk. 4. Bestemmelsen i stk. 1 finder endvidere ikke anvendelse, hvis behandlingen af personoplysningerne udelukkende sker med henblik på statistiske eller videnskabelige undersøgelser, og identifikationsoplysningerne forinden enten er krypteret eller erstattet med et kodenummer eller lignende. Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen. Stk. 5. Bestemmelsen i stk. 1 finder endelig ikke anvendelse for personoplysninger, som i form af måle- eller analyseresultater automatisk lagres i medicoteknisk udstyr. Undtagelsen omfatter tillige personoplysninger, som manuelt registreres i medicoteknisk udstyr til supplering af automatisk lagrede oplysninger. Kapitel 4 Ikrafttræden 20. Bekendtgørelsen træder i kraft den 1. juli Justitsministeriet, den 15. juni 2000 Frank Jensen /Jørgen Steen Sørensen

4 Vejledning til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning Indledning Denne vejledning beskriver og uddyber de tekniske og organisatoriske sikkerhedsforanstaltninger, som skal træffes i den offentlige forvaltning af hensyn til behandlingssikkerheden (datasikkerheden). De overordnede regler for datasikkerheden er fastsat i lov om behandling af personoplysninger (persondataloven) Disse bestemmelser har følgende ordlyd: 41. Personer, virksomheder mv., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, må kun behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov. Stk. 2. Den i stk. 1 nævnte instruks må ikke begrænse den journalistiske frihed eller være til hinder for tilvejebringelsen af et kunstnerisk eller litterært produkt. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger. 42. Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Stk. 2. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. Justitsministeren har i medfør af lovens 41, stk. 5, udstedt bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Bekendtgørelsens 2, stk. 2, er ændret ved bekendtgørelse nr. 201 af 22. marts Bekendtgørelsen indeholder nærmere regler om de sikkerhedsforanstaltninger, som kræves efter lovens 41, stk. 3. Bestemmelserne i bekendtgørelse nr. 528 (sikkerhedsbekendtgørelsen) er gengivet nedenfor. I tilknytning til den enkelte bestemmelse gives en beskrivelse og uddybning af de krav, som følger af bestemmelsen. Bekendtgørelsens enkelte bestemmelser Kapitel 1 Almindelige bestemmelser 1. Denne bekendtgørelse gælder for behandling af personoplysninger, som foretages for den offentlige forvaltning helt eller delvis ved hjælp af elektronisk databehandling. Bekendtgørelsen gælder alene for behandling af personoplysninger, som foretages for den offentlige forvaltning helt eller delvis ved hjælp af elektronisk databehandling. Ved en behandling, hvor kun en del foretages ved hjælp af elektronisk databehandling, gælder bekendtgørelsen kun for denne del. For den offentlige forvaltnings behandling af personoplysninger i manuelle registre samt for behandling af personoplysninger i den private sektor gælder lovens bestemmelser umiddelbart samt bestemmelser, som måtte være fastsat i selvstændige bekendtgørelser, jf. lovens 41, stk Behandling af personoplysninger skal ske i overensstemmelse med bestemmelserne i kapitel 1 og 2. For enhver behandling af personoplysninger, uanset om der indgår fortrolige oplysninger eller ej, gælder bestemmelserne i bekendtgørelsens kapitel 1 - almindelige bestemmelser - og i kapitel 2 - generelle sikkerhedsbestemmelser.

5 Stk. 2. Behandling af personoplysninger, hvor der skal ske anmeldelse til Datatilsynet efter reglerne i kapitel 12 i lov om behandling af personoplysninger, skal tillige ske i overensstemmelse med bestemmelserne i denne bekendtgørelses kapitel 3. Dette gælder dog ikke for behandling af personoplysninger, der udelukkende sker med henblik på at føre et retsinformationssystem, i det omfang der er tale om oplysninger i den offentligt tilgængelige del af retsinformationssystemet. Det gælder endvidere ikke for behandling af oplysninger om ansattes fagforeningsmæssige tilhørsforhold i forbindelse med aftaler om kontingentindeholdelse. For behandlinger, som efter reglerne i lovens kapitel 12 skal anmeldes til Datatilsynet, gælder ud over bestemmelserne i bekendtgørelsens kapitel 1 og 2 også bestemmelserne i kapitel 3 - supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger. Reglerne for anmeldelse af behandlinger, der foretages for den offentlige forvaltning, fremgår af lovens kapitel 12 og er beskrevet i Datatilsynets vejledning nr. 125 af 10. juli Den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Bestemmelsen er en gentagelse af lovens 41, stk. 3, idet dog sidste punktum ikke er medtaget. Foranstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, kan f.eks. bestå i, at der efter nærmere fastlagte rutiner foretages sikkerhedskopiering. De sikkerhedsforanstaltninger, der er fastsat i sikkerhedsbekendtgørelsen, retter sig navnlig mod, at oplysningerne kommer til uvedkommendes kendskab, bliver misbrugt eller i øvrigt behandles i strid med loven. En mere generelt dækkende vejledning om etablering af såvel tekniske som organisatoriske sikkerhedsforanstaltninger i forbindelse med elektronisk databehandling kan findes i Dansk Standard DS 484, Norm for edb-sikkerhed. Stk. 2. For personoplysninger, som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Bestemmelsen svarer til indholdet af lovens 41, stk. 4. Det vil påhvile den dataansvarlige myndighed først at identificere de af myndighedens behandlinger, som vedrører oplysninger af særlig interesse for fremmede magter, og derefter træffe de efter myndighedens vurdering fornødne sikkerhedsforanstaltninger. 4. Datatilsynet fører tilsyn med overholdelsen af denne bekendtgørelse og kan i den forbindelse komme med henstillinger over for den dataansvarlige myndighed vedrørende de trufne sikkerhedsforanstaltninger, jf. 3. Datatilsynets tilsyn med overholdelse af bekendtgørelsen er en del af det tilsyn, som Datatilsynet efter lovens 55 skal føre, nemlig tilsyn med enhver behandling, der omfattes af loven (med undtagelse af behandlinger, der foretages for domstolene, jf. lovens kapitel 17). Kapitel 2 Generelle sikkerhedsbestemmelser 5. Den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. Idet bestemmelserne i bekendtgørelsen er af mere generel og overordnet karakter, vil der være behov for, at den enkelte dataansvarlige myndighed nærmere fastlægger og beskriver, hvorledes bekendtgørelsens bestemmelser er tænkt opfyldt, og i det hele taget hvorledes sikkerhedsarbejdet i forbindelse med behandling af personoplysninger tilrettelægges. Der er i denne bestemmelse nævnt et antal emner for interne bestemmelser, instrukser og retningslinier. Opremsningen skal ses som eksempler og er ikke udtømmende. Udover at tjene som dokumentation vil de bestemmelser mv., som den dataansvarlige myndighed udarbejder i henhold til denne bestemmelse, også kunne tjene som arbejdsgangsbeskrivelser, funktionsbeskrivelser for forskellige funktioner i sikkerhedsarbejdet, ansvarsbeskrivelse og -afgrænsning mm.

6 Visse af de nævnte beskrivelser kan være af en sådan karakter, at sikkerhedsmæssige hensyn taler for at klassificere dem som ikke offentligt tilgængelige. Dette kan være aktuelt for f.eks. beskrivelse af tekniske indretninger såsom alarmsystemer. Stk. 2. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden. Da dokumentation er uden værdi, hvis den ikke er aktuel, bør de interne bestemmelser nævnt ovenfor løbende ajourføres, således at de til enhver tid afspejler de faktiske forhold på stedet. Efter denne bestemmelse påhviler det den dataansvarlige at kontrollere mindst en gang årligt, at den nævnte ajourføring af de interne bestemmelser er foretaget. 6. Den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af 5. For at behandlingen af personoplysninger kan ske korrekt og som forudsat af den dataansvarlige, skal medarbejdere, som udfører behandlingen, ved uddannelse, instruktion mv. bibringes den nødvendige viden. For at behandlingen kan ske sikkerhedsmæssigt korrekt, skal medarbejderne have kendskab til de gældende sikkerhedsregler, hvilket bl.a. kan opnås ved at orientere medarbejderne om relevante dele af bestemmelserne, som fastsættes efter bekendtgørelsens Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. Efter denne bestemmelse skal gennemførelse af en behandling ved en databehandler ske i henhold til en skriftlig aftale, som den dataansvarlige har indgået med databehandleren. Det skal af denne aftale fremgå, at den behandling, som den dataansvarlige overlader til databehandleren, skal ske efter reglerne i denne bekendtgørelse, helt som hvis den dataansvarlige selv havde forestået behandlingen. Den dataansvarlige skal sikre, at behandlingen sker efter reglerne i bekendtgørelsen, selv om behandlingen sker hos en databehandler, som er etableret i en anden medlemsstat. Såfremt der i det pågældende land findes særlige sikkerhedsregler for databehandlerens virksomhed, skal det af aftalen mellem den dataansvarlige og databehandleren fremgå, at databehandleren tillige skal iagttage disse. Bestemmelsen sigter først og fremmest mod de situationer, hvor databehandlingen er overladt til et edb-servicebureau. I øvrigt fremgår det af persondatalovens 42, stk. 1, at når en dataansvarlig overlader behandling af oplysninger til en databehandler, skal den dataanvarlige sikre sig, at databehandleren kan træffe de i lovens 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Den dataansvarlige skal således aktivt sikre, at de krævede sikkerhedsforanstaltninger overholdes hos databehandleren, og det kan i den sammenhæng være relevant at indhente en årlig revisionserklæring fra en uafhængig tredjepart. Den skriftlige aftale parterne imellem som nævnt ovenfor kunne bl.a. indeholde denne revisionserklæring som en betingelse for at lade behandlingen foretage hos databehandleren. Endelig bør det af den skriftlige aftale fremgå, om behandlingen af personoplysninger hos databehandleren sker helt eller delvist ved anvendelse af hjemmearbejdspladser. Stk. 2. Hvis behandling af personoplysninger finder sted på en pc-arbejdsplads uden for den dataansvarlige myndigheds lokaliteter, skal myndigheden fastsætte særlige retningslinier herfor, således at det sikres, at bestemmelserne om sikkerhedsforanstaltninger iagttages. Ved pc-arbejdspladser uden for den dataansvarliges lokaliteter tænkes der her først og fremmest på hjemmearbejdspladser (arbejdsplads som etableres ved opstilling i en medarbejders hjem af en pc med forbindelse til arbejdsgiverens edb-system, således at medarbejderen kan udføre visse arbejdsopgaver hjemmefra), men bestemmelsen vil også gælde i en række andre tilfælde, hvor behandling foretages andre steder end ved de sædvanlige arbejdspladser på arbejdsgiverens lokaliteter (brug af bærbare pc'er under rejse, hos kunder eller klienter etc., anvendelse af en pc i en anden virksomhed eller myndighed, anvendelse af privat pc i hjemmet). Dette gælder ikke alene for pc'er, men også for andet elektronisk udstyr, f.eks PDA'er (Personal Digital Assistant) og lignende. Nedenstående betragtninger er gjort vedrørende hjemmearbejdspladser, men tilsvarende kan gøres for alle tilfælde af eksempler på arbejdspladser uden for den dataansvarliges lokaliteter. Den dataansvarlige skal foretage en vurdering ud fra de sikkerhedsmæssige forhold og fastsætte særlige retningslinier på grundlag heraf. Ved arbejde fra en hjemmearbejdsplads finder anvendelsen af data sted i et andet miljø. Mens der i forbindelse med arbejde på den almindelige arbejdsplads gennem lang tids praksis er indarbejdet rutiner og adfærd, som sikrer en forsvarlig behandling af data, eksisterer der ikke på forhånd en tilsvarende praksis, som sikrer, at behandlingen af data fra en hjemmearbejdsplads sker med tilsvarende sikkerhed. Der er derfor en række forhold, som der skal tages stilling til. Af de sikkerhedsmæssige problemområder, som skal vurderes, kan bl.a. nævnes: Lokal lagring af oplysninger.

7 Hvis det er nødvendigt, at hjemme-pc'en ikke bare anvendes som terminal mod det centrale system, men også til lagring af oplysninger fra det centrale system, bør oplysningerne krypteres. Lokal udskrivning af oplysninger. Hvis det ikke kan undgås, at der skal udskrives oplysninger på hjemme-pc'en, skal der fastsættes regler og gives instruktion vedrørende opbevaring og tilintetgørelse af udskrifter, så oplysningerne ikke kommer uvedkommende til kendskab. Anden anvendelse af hjemme-pc'en. Hvis den dataansvarlige tillader anden anvendelse, f.eks. til privat brug, skal der fastsættes retningslinier for denne anvendelse og etableres de nødvendige sikkerhedsforanstaltninger i forbindelse dermed. Fysisk sikkerhed. I hjemmemiljøet må det forventes, at den fysiske sikring mod tyveri, hærværk og uvedkommendes adgang i det hele taget ikke vil være på højde med forholdene på den almindelige arbejdsplads. Særligt ved lokal lagring af oplysninger og lokal udskrivning må opmærksomheden rettes mod dette punkt. Endvidere kan muligheden for aflytning af datatransmissionen ved fysisk indgriben i telefonlinier være større i dette miljø. Anvendelse af opkaldslinier. Hvis etablering af forbindelse fra hjemmearbejdspladsen til det centrale system sker ved anvendelse af opkaldsforbindelse (analog telefonforbindelse, ISDN, mobiltelefon etc.), skal der i denne forbindelse træffes foranstaltninger mod, at uvedkommende kan foretage opkald til det centrale system og i det hele taget gribe ind i kommunikationen. Som eksempler på sådanne foranstaltninger kan nævnes tilbagekald, passwordbeskyttelse og lukkede brugergrupper. Det kan i denne forbindelse bl.a. overvejes, om der skal være særlige tidsrum, hvor hjemmearbejdspladsen ikke kan anvendes, og om der skal etableres en særlig logning af dens anvendelse. Der bør løbende ske en ajourføring af de særlige retningslinier vedrørende hjemmearbejdspladser for at sikre, at bestemmelserne om sikkerhedsforanstaltninger iagttages. 8. På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne. Bestemmelsen retter sig meget bredt mod lokaliteter, hvor behandling af personoplysninger finder sted, og hovedsageligt mod den fysiske sikkerhed. Forholdsreglerne, som træffes efter denne bestemmelse, kan ses som et supplement til bekendtgørelsens øvrige bestemmelser om adgang til oplysninger og vil i vid udstrækning være sammenfaldende med den dataansvarliges gængse regler om fysisk sikkerhed, såsom aflåsning af lokaler og bygningsafsnit, alarmsystem, begrænset adgang til serverrum samt placering af skærme og printere (specielt i ekspeditions- og publikumsområder). 9. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, samt ved salg og kassation af anvendte datamedier skal der træffes de fornødne foranstaltninger for at sikre, at bestemmelsen i 3 iagttages. Foranstaltninger mod, at uvedkommende får adgang til lagrede oplysninger, vil afhænge af den konkrete situation. Ved reparation og service af udstyr, skal den dataansvarlige, hvis ikke oplysningerne kan fjernes fra udstyret, sikre sig, at reparations- og servicepersonalet vil behandle oplysninger, som de måtte blive bekendt med under deres arbejde, som fortroligt materiale, der under ingen omstændigheder må videregives eller anvendes. Ved kassation af lagringsmedier og udstyr, som indeholder personoplysninger, bør lagringsmedierne destrueres eller afmagnetiseres, så der ikke er mulighed for at læse indholdet. Hvis den dataansvarlige frem for at destruere lagringsmedier afhænder disse med henblik på genbrug, skal de lagrede oplysninger slettes effektivt ved overskrivning. Datatilsynet anbefaler, at der til overskrivning af datamedier anvendes et specialprogram, som overskriver data flere gange i overensstemmelse med en anerkendt specifikation (f.eks. DOD M) Ved reparation af udstyr skal lagrede oplysninger, så vidt det er muligt, ligeledes slettes forinden. Inddateringsmateriale som indeholder personoplysninger 10. Inddatamateriale, som ikke indgår i en manuel sag eller i et manuelt register, må kun anvendes af personer, som er beskæftiget med inddatering. Inddatamateriale, som er omfattet af bestemmelsen i 2, stk. 2, skal opbevares aflåst, når det ikke anvendes. Ved inddatamateriale forstås det grundmateriale (papirbaseret eller elektronisk), hvorfra der hentes oplysninger til videre elektronisk databehandling. Bestemmelsen gælder for inddatamateriale, som hverken indgår i en traditionel, papirbaseret sag, herunder en patientjournal, eller i et manuelt register. Således vil modtagne ansøgningsblanketter, som opbevares samlet uden at være journaliseret på f.eks. en sag vedrørende den enkelte ansøger eller på en fælles sag vedrørende den pågældende type af ansøgning, være omfattet af bestemmelsen, hvis blanketterne skal inddateres elektronisk. Derimod vil ansøgningsblanketterne ikke være omfattet af bestemmelsen, så snart den omtalte journalisering er foretaget, ligesom de heller ikke vil

8 være omfattet, hvis de opbevares på en sådan måde, at de må siges at udgøre et manuelt register (f.eks. ordnet efter særlige kriterier i et ringbind), idet bekendtgørelsen ikke gælder for manuelle registre. Inddatamateriale i elektronisk form, f.eks. transaktioner opsamlet i en fil, vil normalt være omfattet af bestemmelsen. Det skal bemærkes, at inddatering ved indtastning, f.eks. i et on-line system, i sig selv udgør en behandling, der er omfattet af bekendtgørelsen. Inddatamateriale, som er omfattet af bestemmelsen i 2, stk. 2, dvs. materiale, der som hovedregel indeholder oplysninger af fortrolig karakter, skal med henblik på at hindre uvedkommendes adgang til oplysningerne opbevares aflåst, når det ikke benyttes. Der stilles ikke mere specifikke krav om, hvorledes aflåsning skal etableres, men det forudsættes, at det sker ved aflåsning af skuffe, skab, lokale eller på anden måde, som efter den dataansvarliges vurdering er forsvarlig. Stk. 2. Inddatamateriale som nævnt i stk. 1 skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager, eller til kontrol med de inddaterede personoplysninger, dog senest efter en af den dataansvarlige myndighed nærmere fastsat frist. Inddateringsmateriale, som nævnt i stk. 1 - bestemmelsen gælder altså ikke for materiale, som indgår i en manuel sag eller i et manuelt register - skal slettes (materiale i elektronisk form) eller tilintetgøres (papirbaseret materiale), når der ikke længere er brug for materialet. Den dataansvarlige må således i forbindelse med hver enkelt behandling tage stilling til, hvor længe der er behov for eller krav om, at inddateringsmaterialet opbevares, og formelt fastsætte en seneste frist for sletning eller tilintetgørelse. Stk. 3. Ved tilintetgørelse af inddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger mod, at materialet misbruges eller kommer til uvedkommendes kendskab. En procedure for tilintetgørelse af inddatamaterialet skal efter bestemmelsen tilrettelægges på en sådan måde, at materialet ikke i denne sammenhæng kan misbruges eller komme uvedkommende til kendskab. Der kan i denne forbindelse f.eks. være tale om at opsamle materiale i aflåste containere med efterfølgende anvendelse af en pålidelig makuleringsservice for fortroligt materiale. Autorisation og adgangskontrol 11. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles. I persondataloven er det i kapitel 11 om behandlingssikkerhed anført, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod bl.a., at oplysningerne kommer til uvedkommendes kendskab ( 41, stk. 3). Det er derfor i denne bestemmelse i bekendtgørelsen fastsat, at der kun må gives adgang til personoplysningerne for personer, som direkte er autoriserede hertil. Det forudsættes, at der fastlægges en formel autorisationsordning og -arbejdsgang. Stk. 2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. I denne bestemmelse fastslås det, at der kun må autoriseres personer, der er beskæftiget med de formål, hvortil oplysningerne behandles. Alle andre personer, også øvrige medarbejdere hos den dataansvarlige myndighed, er i forbindelse med den omhandlede behandling uvedkommende og må ikke have adgang til oplysningerne. Tilsvarende betragtninger ligger bag begrænsningen i autorisationen til kun at omfatte anvendelser, som de enkelte brugere har behov for. Det forudsættes, at der i den formelle autorisationsprocedure vil indgå en forudgående vurdering af, hvad den enkelte bruger har behov for at være autoriseret til. I den formelle autorisationsprocedure kan endvidere f.eks. indgå, at der til den pågældende bruger fremsendes et brev, hvori det nærmere beskrives, hvilke oplysninger brugeren herved autoriseres (godkendes) til at anvende. For brugere, som ikke længere har behov for de autorisationer, de har fået udstedt, skal autorisationerne inddrages. Det gælder f.eks. medarbejdere, som flytter til andet arbejdsområde, eller hvis ansættelsesforhold ophører. Stk. 3. Der må endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. Udover til de ovenfor omhandlede medarbejdere i den pågældende myndighed kan det være aktuelt at give adgang til oplysninger til personer, som ikke er direkte vedkommende i forhold til den enkelte behandling, men som i anden sammenhæng har behov herfor. Der er i denne bestemmelse tænkt på sådanne personer, som udfører revision, og personer som udfører teknisk vedligeholdelse, driftsovervågning, fejlretning mv. Den dataansvarlige skal fastlægge særlige retningslinier for udstedelse af sådanne autorisationer og for inddragelse heraf for så vidt angår autorisationer, der kun behøver at være midlertidige (f.eks. autorisationer til brug ved en årlig revision). 12. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til. Udover den ovenfor omtalte formelle autorisation af brugere skal der etableres en teknisk adgangskontrol i systemerne, således at autoriserede personer skal identificere sig over for systemet for at få adgang til at foretage behandlinger i overensstemmelse med autorisationen. Den mest

9 almindelige form for adgangskontrol er brugeridentifikation med tilhørende password, men andre former for adgangskontrol er ikke udelukket. Såfremt password benyttes, skal den dataansvarlige fastsætte nærmere retningslinier for behandling og opbygning af password. Datatilsynet anbefaler, at password har en længde på mindst 8 tegn. Passwords bør opbygges af en blanding af tal og store og små bogstaver. Password bør skiftes mindst en gang om året. Uddatamateriale som indeholder personoplysninger 13. Uddatamateriale må kun anvendes af personer, der er beskæftiget med de formål, til hvilke behandlingen af personoplysningerne foretages. Ved uddatamateriale forstås det resultat af en elektronisk databehandling, som foreligger på papirbaseret eller elektronisk form. Bestemmelserne i 13, stk. 1-5, gælder kun for uddatamateriale - på papir eller i elektronisk form - der indeholder personoplysninger, og således ikke for f.eks. anonyme oversigter og lignende. Bestemmelserne gælder endvidere kun for uddatamateriale - på papir eller i elektronisk form - som ikke indgår i en manuel sag eller i et manuelt register, jf. stk. 6. Idet personoplysninger ikke må komme uvedkommende til kendskab, må uvedkommende heller ikke få adgang til uddatamateriale, som indeholder personoplysninger. Adgangen til sådant uddatamateriale skal derfor begrænses til personer, som er beskæftiget med de formål, til hvilke behandlingen af personoplysningerne foretages. Stk. 2. Herudover må uddatamateriale anvendes af personer, som er beskæftiget med revision eller drifts- og systemtekniske opgaver i det pågældende system. Det kan også være aktuelt at give adgang til uddatamateriale for personer, som ikke er direkte beskæftiget med den pågældende behandling, men som i anden sammenhæng har behov herfor. Der er i denne bestemmelse tænkt på sådanne personer, som udfører revision, og personer som udfører teknisk vedligeholdelse, driftsovervågning, fejlretning mv. Stk. 3. Uddatamateriale skal opbevares på en sådan måde, at uvedkommende ikke kan få adgang til at gøre sig bekendt med de personoplysninger, som er indeholdt heri. Hvorledes uddatamateriale kan opbevares, så uvedkommende ikke kan gøre sig bekendt med personoplysningerne deri, vil afhænge af den konkrete situation. Ansvaret for forsvarlig opbevaring påhviler den dataansvarlige, og denne bør fastsætte formelle retningslinier herfor. Stk. 4. Uddatamateriale skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager, og senest efter en af den dataansvarlige myndighed nærmere fastsat frist. Uddatamateriale som nævnt i bemærkningerne til bestemmelsen i stk. 1 skal slettes (materiale i elektronisk form) eller tilintetgøres (papirbaseret materiale), når der ikke længere er brug for materialet. Den dataansvarlige skal derfor i forbindelse med hver enkelt behandling tage stilling til, hvor længe der er behov for eller krav om, at uddatamaterialet opbevares, og formelt fastsætte en seneste frist for sletning eller tilintetgørelse. Stk. 5. Ved tilintetgørelse af uddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger mod, at materialet misbruges eller kommer til uvedkommendes kendskab. En procedure for tilintetgørelse af uddatamaterialet skal efter bestemmelsen tilrettelægges på en sådan måde, at materialet ikke i denne sammenhæng kan misbruges eller komme uvedkommende til kendskab. Der kan f.eks. være tale om at opsamle materiale i aflåste containere med efterfølgende anvendelse af en pålidelig makuleringsservice for fortroligt materiale. Stk. 6. Bestemmelserne i stk. 1-5 gælder ikke for uddatamateriale, som indgår i en manuel sag eller i et manuelt register. Sikkerhedsbekendtgørelsen gælder ikke for de nævnte situationer. For materiale, som indgår i en manuel sag, gælder forvaltningslovens regler, mens manuelle registre er omfattet af bestemmelserne i persondataloven herunder reglerne om behandlingssikkerhed i 41-42, samt af særlige regler, der måtte være fastsat for manuelle registre. Eksterne kommunikationsforbindelser 14. Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Bestemmelsen gælder enhver form for telekommunikation i forbindelse med behandling af personoplysninger, f.eks. forsendelse af oplysninger med telefax eller ekstern e-post, etablering af terminaladgang ved opkaldsmodem, adgang til oplysninger via myndighedens hjemmeside og etablering af internetadgang fra arbejdspladser på myndighedens interne net. De særlige sikkerhedsforanstaltninger skal træffes efter myndighedens vurdering af sikkerhedsrisici i det konkrete tilfælde, herunder med hensyntagen til karakteren af de omhandlede oplysninger.

10 For at kunne fastlægge sikkerhedsniveauet er det nødvendigt, at den dataansvarlige foretager en samlet risikovurdering, som omfatter alle elementer i kommunikationsforbindelsen. Ved tilslutning til Internet eller andre åbne net skal der træffes foranstaltninger, som sikrer imod uvedkommende trafik og forhindrer adgang fra det åbne net til den dataansvarliges interne net. Ved brug af telefax skal opmærksomheden særligt været rettet mod dels risikoen for at faxen sendes til forkert modtager, dels at den modtagne fax kan være tilgængelig for uvedkommende hos modtageren. Ved afsendelse af faxer skal det angivne telefaxnummer kontrolleres nøje. Anvendelse af fastindkodede telefaxnumre (kortvalg) kan ligeledes overvejes. For så vidt angår behandlingen af modtagne faxer bør telefaxmaskinen placeres således, at uvedkommende ikke umiddelbart har adgang til modtagne faxer. Ved anvendelse af telefax i forbindelse med mere følsomme oplysninger kan en løsning være at anvende udstyr, som lagrer modtagne faxer i maskinen, og kun lade specielt autoriserede medarbejdere udskrive dem. Ved transmission af personoplysninger over opkaldsforbindelser (via analog telefonforbindelse, ISDN, mobiltelefon etc.), f.eks. ved etablering af terminaladgang til et centralt system fra en bærbar pc, skal der specielt træffes foranstaltninger mod, at uvedkommende kan foretage opkald. Det kan bl.a. være relevant at anvende faciliteter som tilbagekald eller lukkede brugergrupper. For transmission af personoplysninger over åbne net (f.eks. Internet) gælder konkret nedenstående minimumskrav om sikkerhedsforanstaltninger: Ved transmission af oplysninger over det åbne Internet er der generelt en risiko for, at oplysningerne undervejs læses og endog ændres af uvedkommende. Derudover er der en risiko for, at parterne i kommunikationen ikke er dem, de udgiver sig for. Disse risici må vurderes af den dataansvarlige i den konkrete situation, således at der kan træffes de fornødne sikkerhedsforanstaltninger. Hvad angår fortrolighed kan denne sikres ved forsvarlig kryptering af de transmitterede oplysninger. Hvis der er tale om transmission af fortrolige oplysninger, herunder personnummer, skal der som minimum foretages en kryptering. Hvis de transmitterede oplysninger er af følsom karakter (omfattet af persondatalovens 7, stk. 1 og 8, stk. 1), skal der anvendes en stærk kryptering, baseret på en anerkendt algoritme. Sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) må sikres i fornødent omfang ved anvendelse af passende sikkerhedsforanstaltninger, f.eks. elektronisk signatur eller individuelle, fortrolige adgangskoder. Kapitel 3 Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger 15. Bestemmelserne i kapitel 3 finder ikke anvendelse i det omfang de behandlede oplysninger ikke i sig selv ville være omfattet af anmeldelsespligt til Datatilsynet. Behandlinger, som omfatter oplysninger af fortrolig karakter, er som hovedregel anmeldelsespligtige og skal ske under iagttagelse af de supplerende sikkerhedsbestemmelser i dette kapitel. Se nærmere om anmeldelsespligten i Datatilsynets vejledning nr. 125 af 10. juli Udover disse oplysninger af fortrolig karakter, som indgår i en anmeldelsespligtig behandling, vil der typisk i behandlingen også indgå oplysninger, som ikke er af fortrolig karakter. Bestemmelserne i dette kapitel gælder ikke for anvendelse af disse ikke-fortrolige oplysninger og heller ikke for anvendelse af de fortrolige oplysninger, som efter lovens undtagelsesbestemmelser kan indgå i en behandling, uden at behandlingen er anmeldelsespligtig. Det vil f.eks. gælde for en anmeldelsespligtig behandling, hvori der indgår oplysninger om personers helbredsforhold, at alle anvendelse af oplysningerne om helbredsforhold skal logges efter denne bekendtgørelses 19, stk. 1. Derimod vil anvendelse af ikke-fortrolige oplysninger såsom personers adresse ikke skulle logges. Det er dog en forudsætning, at en sådan anvendelse af ikke-fortrolige oplysninger ikke indirekte kan afsløre fortrolige forhold vedrørende de berørte personer. De detaljerede undtagelsesbestemmelser og dermed beskrivelse af de oplysninger af fortrolig karakter, som kan indgå i en behandling, uden at den bliver anmeldelsespligtig, findes i lovens 44, stk. 1, samt i Justitsministeriets bekendtgørelse nr. 529 af 15. juni 2000 om undtagelse fra pligten til anmeldelse af visse behandlinger, som foretages for den offentlige forvaltning, fastsat i henhold til lovens 44, stk. 2, og 44, stk. 4. Autorisation og adgangskontrol 16. Autorisationer, jf. 11, skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger.

11 Udover de generelle krav i 11 vedrørende autorisation af brugere kræves det i forbindelse med anmeldelsespligtige behandlinger, at myndigheden konkret tager stilling til, hvorvidt en bruger kun skal kunne foretage forespørgsler, eller om brugeren også skal kunne inddatere oplysninger, samt om brugeren skal kunne slette oplysninger. Såfremt der er brugere, som kun skal autoriseres til enkelte af de nævnte funktioner, skal systemerne være teknisk indrettet således, at brugerne kun gives mulighed for adgang til oplysningerne i overensstemmelse med de givne autorisationer. Når den tekniske adgangskontrol til systemets oplysninger og anvendelser heraf er baseret på brugeridentifikation med tilhørende password, skal den enkelte bruger tildeles et personligt og fortroligt password. Det personlige og fortrolige password er knyttet til den tilhørende brugeridentifikation og må kun være kendt af den pågældende bruger. Der kan således ikke anvendes en fælleskode, dvs. én brugeridentifikation med tilhørende password, som anvendes af flere brugere. 17. Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne i 11, stk. 2 og 3, og 16. Autoriserede brugere må til enhver tid kun være autoriserede til anvendelser, de har brug for. Der må derfor være tilrettelagt arbejdsgange, som sikrer, at der tilgår funktionen, som administrerer autorisationerne, oplysning om ændring af brugeres behov for autorisation, herunder oplysning om medarbejderes fratræden eller flytning inden for organisationen, således at de udstedte autorisationer kan blive ændret eller inddraget. Stk. 2. Kontrol heraf skal foretages mindst en gang hvert halve år. Efter denne bestemmelse skal der mindst en gang hvert halve år foretages kontrol af, at autorisationer ajourføres som foreskrevet ovenfor. Det er den dataansvarliges ansvar, at der fastlægges en passende kontrolprocedure. Denne procedure kan f.eks. indebære, at der i systemerne dannes en statistik over den enkelte brugers anvendelse af systemet, således at det kan konstateres, om der er udstedte autorisationer, som ikke er anvendt, og som derfor eventuelt bør inddrages. Det er efter sikkerhedsbekendtgørelsen nu ikke længere et krav, at der udarbejdes en benyttelsesstatistik. Kontrol med afviste adgangsforsøg 18. Der skal foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Der skal løbende ske opfølgning i myndigheden. Bestemmelsen indebærer, at der skal foretages en registrering af ethvert afvist forsøg på adgang til systemet, uanset om afvisningen er forårsaget af brug af forkert password, forkert brugeridentifikation, manglende autorisation til en vis funktion eller andet. Herved etableres et redskab for systemadministrationen til eventuelt at afdække forsøg på uberettiget adgang til oplysningerne. Bestemmelsen indebærer endvidere, at systemet skal udvise en reaktion, således at yderligere forsøg på adgang, f.eks. efter et vist antal forsøg på at gætte password, forhindres. Denne reaktion kan være i form af lukning af den anvendte brugeridentifikation, lukning af pc'en eller adgang til lokalnettet. Reaktionen skal endvidere være af en sådan art, at hændelsen kommer til rette vedkommendes, f.eks. systemadministrationens, kendskab. Logning 19. Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Efter bestemmelsen skal der som udgangspunkt foretages logning af alle anvendelser af personoplysningerne, som sker i behandlingen, jf. dog 15. Herudover indeholder stk. 2-6 visse undtagelser fra det generelle logningskrav. Ved»alle anvendelser af personoplysninger«skal her forstås de anvendelser, som foretages af brugere af systemet i forbindelse med deres arbejde. Der er en række aktiviteter i forbindelse med driftsafvikling, som indebærer overvågning af og indgriben i systemerne af drifts- og systemmedarbejdere. Anvendelser af personoplysninger i forbindelse med sådanne aktiviteter er ikke omfattet af logningskravet. Logningen skal bl.a. omfatte en angivelse af den person, som de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Foretages der en søgning på en person ved angivelse af personnummer, skal således det anvendte personnummer eller anden entydig identifikation af den pågældende person registreres i loggen. Hvis der søges på fødselsdato, skal den angivne dato (søgekriteriet) registreres i loggen, men der er ikke krav om registrering af identifikation af de enkelte personer, som indgår i søgeresultatet, dvs. alle fundne personer med den angivne fødselsdato. Angivelsen i loggen af det anvendte søgekriterium giver mulighed for efterfølgende at rekonstruere behandlingen, herunder hvilke personer som indgik i behandlingen, hvilket bl.a. er formålet med logningen. Der er ikke krav om udskrivning af loggen, ligesom der ikke er krav om, at loggen i den foreskrevne opbevaringstid befinder sig i det pågældende system; der er intet til hinder for, at loggen f.eks. overføres til bånd og opbevares i arkiv. Det angives i bestemmelsen, at loggen skal opbevares i seks måneder, hvorefter den skal slettes. Sletning af loggen kan tilrettelægges således, at den foretages ved f.eks. månedlige kørsler.

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland Lovafdelingen Dato: Kontor: Databeskyttelseskontoret Sagsbeh: André Dybdal Pape/ Marcus Nymand Sagsnr.: 2016-766-0019 Dok.: 2104838 Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse

Læs mere

Oversigt (indholdsfortegnelse)

Oversigt (indholdsfortegnelse) Oversigt (indholdsfortegnelse) Kapitel 1 - Almindelige bestemmelser Kapitel 2 - Generelle sikkerhedsbestemmelser Kapitel 3 - Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

Retningsgivende databehandlervejledning:

Retningsgivende databehandlervejledning: Retningsgivende databehandlervejledning: 1. Databehandleren handler alene efter vejledning af den dataansvarlige og vedrører de opgaver, datahandleren har i henhold til bilag 1 til databehandleraftalen

Læs mere

Sikkerhedsregler for Kalundborg Kommune

Sikkerhedsregler for Kalundborg Kommune Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til

Læs mere

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ] DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE Flakhaven 2, 5000 Odense C OG [INDSÆT NAVN CVR xxxxxxxx Adresse ] 1. INDLEDNING... 3 2. ALMINDELIGE BESTEMMELSER... 3 3. SUPPLERENDE KRAV... 4 4. UNDERSKRIFTER...

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

Fonden Center for Autisme CVR-nr.:

Fonden Center for Autisme CVR-nr.: Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataloven og tilhørende bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger med senere ændringer

Læs mere

Anmeldelse af offentlige videnskabelige forskningsprojekter

Anmeldelse af offentlige videnskabelige forskningsprojekter Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 7841 0000 kontakt@rm.dk www.rm.dk Anmeldelse af offentlige videnskabelige forskningsprojekter VEJLEDNING om anmeldelse

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

Bilag 1 Databehandlerinstruks

Bilag 1 Databehandlerinstruks Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum

Læs mere

1. Indledende bestemmelser Formål. Område

1. Indledende bestemmelser Formål. Område 1. Indledende bestemmelser Formål 1.1 Formålet med bestemmelserne er, at den enkelte persons retsbeskyttelse og integritet ikke krænkes ved behandling af personoplysninger i Region Hovedstaden og på Steno

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn. Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke Herefter benævnt Dataansvarlig Og Leverandør navn Adresse Herefter benævnt Databehandler side 1 af 5 Generelt Databehandleren

Læs mere

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem vedr. Indkøbsordning til visiterede borgere i eget hjem Mellem Hvidovre Kommune Hvidovrevej 278 2650 Hvidovre Glostrup Kommune Rådhusparken 2 2600 Glostrup (CVR nr. 65120119) Rødovre Kommune Rødovre Parkvej

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR. IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens

Læs mere

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS 1. Vedrørende Databehandlerens ansvar 1.1. Databehandleren må alene behandle personoplysninger omfattet af Databehandleraftalen efter instruks fra den Dataansvarlige

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

Registerforskrifter. Den Centrale Venteliste

Registerforskrifter. Den Centrale Venteliste Dato: 25.04.2005. J.nr.: 42.20.05 Registerforskrifter Den Centrale Venteliste De foreliggende registerforskrifter er gældende for Registret Den Centrale Venteliste, som føres af Familiedirektoratet. Registerforskrifterne

Læs mere

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration Side 1 af 2 Forside / Erhverv / Personaleadministration / Krav om datasikkerhed i forbindelse med personaleadministration Opdateret: 06.05.15 Krav om datasikkerhed i forbindelse med personaleadministration

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er

Læs mere

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] DATABEHANDLERAFTALE Der er dags dato indgået følgende Databehandleraftale mellem

Læs mere

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående

Læs mere

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. om [Indsæt navn på aftale] Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune

Læs mere

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) Databehandleraftale mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) og Hedensted Kommune Horsens Kommune Odder Kommune Niels Espes Vej 8 Rådhustorvet 4 Rådhusgade

Læs mere

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Dragør Kommune Borgmestersekretariat, IT og Personale Marts Bilag 5 Databehandleraftale 1. Overholdelse af gældende regler og forskrifter Databehandleren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten,

Læs mere

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr. 29189668 (herefter Kommunen ) og Firmanavn Adresse Postnr. og by CVR.nr. (herefter Leverandøren ) er der indgået nedenstående

Læs mere

Driftskontrakt. Databehandleraftale. Bilag 14

Driftskontrakt. Databehandleraftale. Bilag 14 Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]

Læs mere

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] Tekst markeret med GRØN, udfyldes inden udsendelse til leverandøren Tekst markeret med TURKIS, udfyldes af leverandøren Side 1/16 Side 2/16 DATABEHANDLERAFTALE

Læs mere

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser. www.pwc.dk Netic A/S Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser Juni 2018 Indhold 1. Ledelsens udtalelse 2 2. Uafhængig revisors

Læs mere

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] !"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma 647-192717 JNA/jna 26.09.2016 DATABEHANDLERAFTALE mellem herningcentret (Dataansvarlig) og Emplate ApS (Databehandler) Advokatfirma Indholdsfortegnelse 1. Parterne... 3 2. De juridiske rammer... 3 3. Pligt

Læs mere

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) DATABEHANDLERAFTALE Mellem [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren )

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018 www.pwc.dk Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018 Indhold 1. Ledelsens udtalelse... 3 2. Uafhængig revisors

Læs mere

P O L I T I K F O R D A T A S I K K E R H E D V E D B O L I G A D M I N I S T R A T I O N. I N D H O L D 1. Indledning Definitioner...

P O L I T I K F O R D A T A S I K K E R H E D V E D B O L I G A D M I N I S T R A T I O N. I N D H O L D 1. Indledning Definitioner... P O L I T I K F O R D A T A S I K K E R H E D V E D B O L I G A D M I N I S T R A T I O N I N D H O L D 1. Indledning... 2 2. Definitioner... 2 3. Ansvar... 3 4. Generelle principper... 3 5. Fysisk sikring...

Læs mere

Kontraktbilag 7: Databehandleraftale

Kontraktbilag 7: Databehandleraftale Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens

Læs mere

Bilag A Databehandleraftale pr

Bilag A Databehandleraftale pr 1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (Beierholms kunde) indgåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandleren (Beierholm)

Læs mere

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Side 1 af 8 Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Kapitel 1 Lovens område 1. Stk. 7. Loven gælder for enhver form for behandling af personoplysninger i forbindelse

Læs mere

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål. Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning

Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning N O T A T Retningslinjer 26-10-2010 Sag nr. 09/2825 Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning i regionerne. Datatilsynet skelner ved anmeldelse af forskningsprojekter

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

Tønder Kommune BILAG 10

Tønder Kommune BILAG 10 Tønder Kommune BILAG 10 Databehandleraftale mellem Tønder kommuner og Leverandør Side 1/14 DATABEHANDLERAFTALE Mellem Tønder Kommune Wegners Plads 2 6270 Tønder CVR. nr.: 29189781 (herefter Kommunen )

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Bilag B Databehandleraftale pr

Bilag B Databehandleraftale pr 1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (s kunde) indgåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren () behandling af personoplysninger,

Læs mere

Politik for datasikkerhed ved boligadministration

Politik for datasikkerhed ved boligadministration Politik for datasikkerhed ved boligadministration P O L I T I K F O R D A T A S I K K E R H E D V E D B O L I G A D M I N I S T R A T I O N I N D H O L D 1. Indledning... 3 2. Definitioner... 3 3. Ansvar...

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er

Læs mere

Bilag 9 Databehandleraftale

Bilag 9 Databehandleraftale Bilag 9 Databehandleraftale Aftale om databehandling mellem Trafik-, Bygge- og Boligstyrelsen Edvard Thomsens Vej 14 2300 København S (i det følgende betegnet som den Dataansvarlige) og XXX XX XX (i det

Læs mere

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) og Steuermann ApS Flæsketorvet 68 1711 København V CVR. nr. 35809422 (i det følgende betegnet Databehandler ) (herefter samlet

Læs mere

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde sig til indholdet evt.

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer Borgerrådgiveren Socialforvaltningen Brev er d.d. fremsendt pr. e-mail. 16-11-2012 Sagsnr. 2012-98616 Dokumentnr. 2012-900691 Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1 DATABEHANDLERAFTALE Aftale omkring behandling af persondata Januar 2018 Version 1.1 Udarbejdet af: Jansson Gruppen A/S på vegne af: Jansson EL A/S, CVR nr.: 73 28 93 19 Jansson Alarm A/S, CVR nr.: 74 78

Læs mere

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren

Læs mere

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt Parterne og hver for sig Part) DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Åstvej 10, B 7190 Billund CVR. nr. 30 56 13 17 (i det følgende betegnet Dataansvarlig ) og Curanet A/S Højvangen 4 8660 Skanderborg CVR. nr. 29

Læs mere

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt Parterne og hver for sig Part) DATABEHANDLERAFTALE Aftalen foreligger mellem Adresse Post nr. og By CVR. nr. xx xx xx xx (i det følgende betegnet Dataansvarlig ) og CC GROUP DENMARK Møllebugtvej 5 7000 Fredericia Att: CVR. nr. 27415032

Læs mere

Bilag X Databehandleraftale

Bilag X Databehandleraftale Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN

Læs mere

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)

Læs mere

Projektets titel. Projektets formål

Projektets titel. Projektets formål Projektets titel Projektets formål Projektansvarlig inkl. kontaktoplysninger i RN Den projektansvarlige er den forsker eller forskergruppe, der skal bruge de indsamlede personoplysninger til forskning,

Læs mere

Vejledning om ergoterapeuters ordnede optegnelser (journalføring)

Vejledning om ergoterapeuters ordnede optegnelser (journalføring) 16. marts 2006 Vejledning om ergoterapeuters ordnede optegnelser (journalføring) 1 Indledning I medfør af lovbekendtgørelse nr. 631 af 30. august 1991 om Terapiassistenter (fysioterapeuter og ergoterapeuter)

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 Side 1/19 Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med gul er aftaletekst,

Læs mere

Kontraktbilag 3. Databehandleraftale

Kontraktbilag 3. Databehandleraftale Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Furesø Kommune Stiager 2 3500 Værløse CVR. nr.: 29188327 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er der

Læs mere

Sletteregler. v/rami Chr. Sørensen

Sletteregler. v/rami Chr. Sørensen Sletteregler v/rami Chr. Sørensen 1 Generelt om retten til berigtigelse og sletning efter artikel 16-17 Efter begæring (artikel 5, stk. 1, litra d) Skal angå den registrerede selv Ingen formkrav Den dataansvarlige

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS DATABEHANDLERAFTALE General aftale omkring behandling af persondata Udarbejdet af: ZISPA ApS Aftalen Denne databehandleraftale (Aftalen) er ZISPA s generelle databehandler aftale til den indgåede samhandelsaftale

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Dokumentation af sikkerhed i forbindelse med databehandling

Dokumentation af sikkerhed i forbindelse med databehandling - Dokumentation af sikkerhed i forbindelse med databehandling Al databehandling, der er underlagt persondataloven, skal overholde de tekniske krav, der er opstillet i Datatilsynets bekendtgørelse 528 (sikkerhedsbekendtgørelsen).

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav IT-sikkerhedspolitik Bilag 2 November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3 2.3 Ledere, fagchefer mv...3 2.4 It gruppen, It

Læs mere

Sammenfattende kan Datatilsynet konkludere

Sammenfattende kan Datatilsynet konkludere Odense Kommune Flakhaven 2 5000 Odense C Att.: John Bonnerup Sendt med Digital Post 11. november 2016 Vedrørende tilsyn med behandling af personoplysninger Datatilsynet Borgergade 28, 5. 1300 København

Læs mere

Databehandlervilkår. 1: Baggrund, formål og definitioner

Databehandlervilkår. 1: Baggrund, formål og definitioner Databehandlervilkår 1: Baggrund, formål og definitioner 1.1 Denne databehandleraftale (herefter kaldet Databehandleraftalen ) vedrører de af den Dataansvarlige indkøbte løsninger og ydelser, hvor behandling

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden. Aftalens omfang 1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden. 1.2 Personoplysninger, der behandles af Leverandøren,

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni 2019 Ministerium: Undervisningsministeriet Journalnummer: Undervisningsmin., Styrelsen for It og Læring, j.nr. 18/13045 Senere ændringer til

Læs mere

IST DANMARK APS ISAE 3000 ERKLÆRING

IST DANMARK APS ISAE 3000 ERKLÆRING MAJ 2017 IST DANMARK APS ISAE 3000 ERKLÆRING Uafhængig revisors erklæring om IST Danmark ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerheds- foranstaltninger til beskyttelse af personoplysninger.

Læs mere

Deltagelse i indkøbsdatasamarbejdet:

Deltagelse i indkøbsdatasamarbejdet: Bilag 1 til Tilmeldingsskemaet til Deltagelse i indkøbsdatasamarbejdet: Databehandleraftale Dags dato er indgået nedenstående aftale mellem (Kommunenavn) (CVR nr.) (Adresse) (Postnummer og by) (Herefter

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn

Læs mere

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN) DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: By: (i det følgende benævnt KUNDEN) MICO ApS CVR 29220646 Bådehavnsgade 42 2450 København SV (i det følgende benævnt MICO) INDLEDNING Nærværende

Læs mere

o o o En dataansvarlig kan vælge at overlade det til en anden at udføre selve den praktiske behandling af personoplysninger på den dataansvarliges vegne. Den, der herefter udfører databehandlingen,

Læs mere

DATABEHANDLERAFTALE Version 1.1a

DATABEHANDLERAFTALE Version 1.1a DATABEHANDLERAFTALE Version 1.1a Mellem Institutionens navn Institutions nr. Adresse Kommune Institutions CVR. nr. og WEBTJENESTEN LÆRIT.DK ApS Ellehammersvej 93 7500 Holstebro CVR: 35862056 (herefter

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Privat virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger om rent private forhold der foreta- ges for en privat dataansvarlig. Felter markeret

Læs mere

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse I medfør af 15 e, stk. 4, i bekendtgørelse af lov om kommunal indsats

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Advarselsregister Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at advare andre

Læs mere

Aftale omkring behandling af persondata.

Aftale omkring behandling af persondata. Databehandleraftale Aftale omkring behandling af persondata. Aftalen Denne databehandleraftale er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig) og ApS (Databehandler), og er gældende

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen ) 25. november 2016 Versionshistorik Versionsnr. Dato Beskrivelse 0.8 25.11.2016 Høringsudkast til kombit.dk DATABEHANDLERAFTALE Mellem [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere