EU s databeskyttelsesforordning. offentlige sektor PwC s tilgang og erfaringer
|
|
- Søren Kristoffersen
- 6 år siden
- Visninger:
Transkript
1 EU s databeskyttelsesforordning i den offentlige sektor s tilgang og erfaringer Januar 2018 Revision. Skat. Rådgivning.
2 Dagsorden Velkomst og introduktion Hvordan etablerer man en risikobaseret tilgang til forordningen i praksis med gruppedebat Hvordan stiller vi krav til vores leverandører hvad med databehandleraftalen? med gruppedebat Dokumentationsniveau; hvornår er der nok? med gruppedebat Andre emner og spørgsmål fra deltagerne samt opsummering og afrunding 2
3 Formålet med dagen At skabe klarhed over de praktiske opgaver og udfordringer, som forordningen medfører for deltagerne At og deltagerne finder praktiske løsninger på opgaver og udfordringer, som deltagerne står over for Erfaringsudveksling blandt deltagerne og med Deltag aktivt Stil spørgsmål Del din viden med andre Opfordring til deltagerne Respektér Chatham House Rule informationer, som er modtaget på mødet, kan bruges frit, men bevar anonymiteten af personer og organisationer, der leverer informationen. 3
4 EU's Databeskyttelsesforordning i den offentlige sektor Introduktion til de nye databeskyttelsesregler Januar 2018 Revision. Skat. Rådgivning.
5 Agenda EU s databeskyttelsesforordning / GDPR Ny dansk databeskyttelseslov på vej
6 EU s databeskyttelsesforordning / GDPR Grundprincipperne Rettighederne Datasikkerhed
7 Grundprincipperne i forordningen Artikel 5, stk. 1 a) Lovlighed, rimelighed og gennemsigtighed b) Formålsbegrænsning c) Dataminimering d) Rigtighed e) Opbevaringsbegrænsning f) Integritet og fortrolighed Artikel 5, stk. 2 Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes ( ansvarlighed ) 7
8 Den registreredes rettigheder GDPR indfører nye rettigheder og styrker eksisterende rettigheder Ret til at blive informeret Ret til indsigt Ret til berigtigelse Ret til sletning Ret til begrænsning af behandling Ret til dataportabilitet Ret til indsigelse Rettigheder i forhold til automatiske individuelle afgørelser, herunder profilering. 8
9 Sikkerhed efter GDPR Princippet om integritet og fortrolighed (5, 1, f) Påvise (5,2) + Ansvarlighed / Accountability (24) DB gennem design (25,1) DB gennem standardindstillinger (25, 2) Brug af databehandler (28) Behandlingssikkerhed (32) Notifikation af sikkerhedsbrud (33 & 34) Evt. konsekvensanalyse / DPIA (35) 9
10 Ny dansk databeskyttelseslov på vej L 68 Forslag til databeskyttelseslov Tidsplan for lovforslagets behandling Nedslag i lovforslaget
11 L 68 Forslag til databeskyttelseslov Justitsministeriet udgav den 24. maj 2017 betænkning nr. 1565/2017 om databeskyttelsesforordningen Lovforslaget til databeskyttelsesloven blev fremsat den 25. oktober
12 Nedslag i lovforslaget Mulighed for at genbruge data tydeliggøres Særregler i ansættelsesforhold Strafbare forhold i privat sektor Personnumre stort set som i dag + en lille udvidelse Snæver undtagelse fra rettighederne Forskning og statistik Straf til offentlige myndigheder. 12
13 Risikobaseret tilgang til forordningen 13
14 Risici, der truer jeres virksomhed Cyber risk Compliance risk Assets Regulatory threat Personal Data GDPR Finance Telecom Medico Organisations Governance, risk, security and compliance processes and technology 14
15 I dag er konsekvensen lille, men i fremtiden 15
16 Hvor nævnes risiko som et værktøj i forordningen?..og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.. er medtaget i: Den dataansvarliges ansvar artikel 24 Databeskyttelse gennem design/standardindstilling artikel 25 Behandlingssikkerhed artikel
17 Hvor nævnes risiko som et værktøj i forordningen? (2) Fortegnelse over behandlingsaktiver artikel 30 De i stk. 1 og 2 nævnte forpligtelser finder ikke anvendelse på et foretagende eller en organisation, der beskæftiger under 250 personer, medmindre den behandling, som den foretager, sandsynligvis vil medføre en risiko for registreredes rettigheder og frihedsrettigheder. Konsekvensanalyse artikel 35 Det følger af artikel 35, stk. 1, at der alene skal foretages en konsekvensanalyse, når der sandsynligvis vil være høj risiko for fysiske personers rettigheder og frihedsrettigheder. Det fremgår af forordningens artikel 35, stk. 1, 2. pkt., at en enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici. 17
18 Hvor nævnes risiko som et værktøj i forordningen? (3) Forudgående høring artikel 36 Den dataansvarlige hører tilsynsmyndigheden inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse, foretaget i henhold til artikel 35, viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen. Databeskyttelsesrådgiverens opgaver artikel 39 Databeskyttelsesrådgiveren tager under udførelsen af sine opgaver behørigt hensyn til dén risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål. 18
19 Preamble 75 Risiciene for fysiske personers rettigheder og frihedsrettigheder, af varierende sandsynlighed og alvor, kan opstå som følge af behandling af personoplysninger, der kan føre til fysisk, materiel eller immateriel skade, navnlig hvis behandlingen kan give anledning til: - forskelsbehandling - identitetstyveri eller -svig - finansielle tab og skade på omdømme - tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt - uautoriseret ophævelse af pseudonymisering, eller - andre betydelige økonomiske eller sociale konsekvenser. 19
20 Preamble 75 (2) hvis de registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller forhindret i at udøve kontrol med deres personoplysninger. hvis der behandles personoplysninger, der viser race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, og behandling af genetiske data, helbredsoplysninger eller oplysninger om seksuelle forhold eller straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger. hvis personlige forhold evalueres, navnlig analyse eller forudsigelse af forhold vedrørende indsats på arbejdspladsen, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografisk position eller bevægelser, med henblik på at oprette eller anvende personlige profiler. hvis der behandles personoplysninger om sårbare fysiske personer, navnlig børn, eller hvis behandlingen omfatter en stor mængde personoplysninger og berører et stort antal registrerede. 20
21 Fokus for risikovurderingen Virksomhedens trusler og sårbarheder Risikostyring Risiciene for den fysiske person 21
22 Overordnet model Risikovurderingsmodellen er baseret på ISO 27005: Risikolog Risikovurdering Kontekst Risikoidentifikation Risikoanalyse Risikoevaluering Risikohåndtering Risikoaccept Kommunikation og konsultation 22
23 Risikoanalyse 1/2 Konsekvenstyper og konsekvensskala 23
24 Konsekvensen, hvis hændelsen indtræffer Konsekvens 1 Ubetydeligt Uvæsentligt 2 Mindre alvorligt Generende 3 Meget alvorligt Kritisk 4 Ødelæggende Uacceptabelt Økonomisk Medfører meromkostninger eller tab Ingen særlig påvirkning Meromkostninger og tab i begrænset omfang, som kan kræve mindre budgetændringer Store økonomiske tab med risiko for at blive sat under administration Væsentlige økonomiske tab. Bliver sat under administration Administrativ/ procesmæssig Medfører administrative belastninger Håndteres uden særligt ressourcetræk i de administrative funktioner Håndteres inden for rimeligt ekstra administrativt ressourcetræk Der må trækkes væsentligt på eksisterende og nye administrative ressourcer Administrative ressourcer må udvides urealistisk Omdømme Påvirker omdømme i uønsket retning Ingen særlig påvirkning Forbigående opmærksomhed fra enkelte grupper Offentligheden fatter generel negativ interesse, som kan medføre begrænset tab af kunder Væsentlig skade på omdømme Politisk Medfører indskrænkninger i evnen til at handle i en periode Ingen særlig påvirkning Planlagte aktiviteter kan gennem-føres med mindre justeringer Medfører revurdering af vigtige aktiviteter på kort sigt Ledelsen må gå af. Bliver ude af stand til at gennemføre vigtige aktiviteter, som er planlagt i en periode fremover Forhold til interessenter Påvirker forholdet til interessenter Ingen særlig påvirkning Forringet samarbejde med interessenter i enkeltsager Generelt forringet samarbejde med interessenter Væsentligt nedbrud i det generelle samarbejde med interessenter Brud på lovgivningen Medfører brud på lovgivning, fx GPDR, forvaltningslov og straffelov Ingen særlig påvirkning Manglende overholdelse af administrative procedurer og regler, som ikke er af kritisk karakter Manglende overholdelse af administrative procedurer og regler, som ikke er af kritisk karakter Kritisk lovgivning, fx straffeloven brydes. Ministeren må gå af Strategisk Medfører indskrænkninger i evnen til at handle i en periode Ingen særlig påvirkning Planlagte aktiviteter kan gennem-føres med mindre justeringer Medfører revurdering af vigtige aktiviteter på kort sigt Bliver ude af stand til at gennemføre vigtige aktiviteter, som er planlagt i en periode fremover 24
25 Konsekvenstyper for registrerede, hvis hændelsen indtræffer Privatlivsrettigheder Frihedsrettigheder Fysisk påvirkning Børn Sociale tab (F) Registrerede ekskluderes fra sociale netværk og/eller aktiviteter Forringelse af relationer Udsættes for forskelsbehandling. Materielle tab (F, T) Finansielle meromkostninger eller tab Påvirkning af karriere, fx afskedigelse. Mangel på fysisk sikkerhed (F) Registrerede er fysisk i fare. Privacy Beskyttelsen af børns rettigheder og privacy forringes (brug af børns personoplysninger med henblik på markedsføring eller til at oprette personligheds- eller brugerprofiler og indsamling af personoplysninger vedrørende børn, når de anvender tjenester, der tilbydes direkte til et barn). Skade på omdømme (F, I) Registrerede udstilles på en uønsket måde Registrerede udsættes for fordomme og/eller ydmygelse Upræcis eksponering Afsløring af personlige hemmeligheder. Indskrænket egenkontrol (F) Registreredes valgfrihed og kontrol over personoplysningerne forringes eller fratages. Fysisk påvirkning (I, T) Registreredes fysiske helbred påvirkes negativt Fx manglede korrekt sygebehandling og i værste tilfælde død Forringet livskvalitet. Fortrolighed forringes (F) Registreredes fortrolighed forringes Muligheden for anonymitet er ikke til stede. GDPR-rettigheder (F, I, T) Den registrerede kan ikke gøre brug af en eller flere af sine rettigheder (indsigt, berigtigelse, sletning, dataportabilitet og indsigelse). Psykologisk påvirkning (F, I, T) Utryghed Uvished Bekymringer Magtesløshed/Afmagt Sårbarhed Manglende selvudvikling. 25
26 26
27 Risikoanalyse 2/2 Sandsynligheder 27
28 Sandsynlighed for, at en given hændelse indtræffer Sandsynlighed Eksempel på beskrivelse 1. Usandsynligt Det anses for næsten udelukket, at hændelsen nogensinde vil indtræffe Ingen erfaring med hændelsen Kendes kun fra få andre offentlige og private virksomheder, men ikke i Danmark 2. Mindre sandsynligt Hændelsen forventes ikke at indtræffe Ingen erfaring med hændelsen Kendes kun fra få andre offentlige og private virksomheder, men ikke i Danmark 3. Sandsynligt Det er sandsynligt, at hændelsen vil indtræffe Man har erfaring med hændelsen, men ikke inden for de sidste 12 måneder Kendes fra andre offentlige og private virksomheder i Danmark (omtales årligt i pressen) 4. Forventet Det ventes, at hændelsen vil indtræffe Man har erfaring med hændelsen inden for de sidste 12 måneder Indtræffer jævnligt i andre offentlige og private virksomheder (omtales ofte i pressen) 28
29 GDPR Leverandørstyring og revisionserklæringer
30 Styr på leverandørene? 30
31 Leverandørstyring
32 Accountability vedrørende leverandørstyring Ansvar vs. opgaveløsning Opgaven kan uddelegeres ikke ansvaret.. Ledelsesansvar GDPR og informationssikkerhed på linje med økonomi og kvalitet GDPR (art. 5a og 24) ISO27001 Brancheregulering Dataansvarlig, databehandler og underdatabehandler 32
33 Leverandørstyring Idé om outsourcing, køb af ydelse, ny aftale eller genudbud Risikovurdering, dataklassifikation, Kravstillelse udbud, vurdering og valg af leverandør, kontrakt, SLA mv. Udbud og kravstillelse Løbende opfølgning og styring Test, revisionserklæring, opfølgning og vurdering af leverance Kontraktsopfølgning FEST 33
34 Kompleksiteten mellem samarbejdspartnere Behandlingsgrundlag modelkontakt eller sikre 3-lande Databehandler aftale 34
35 Leverandører hvem tør du handle med? Tillid er ikke nok du skal kontrollere Der skal stilles krav fra start til slut og der skal følges op Interne afdelinger, virksomheder i koncernen Regulering via databehandleraftaler mv. Eksterne drift/hosting, udvikling eller serviceleverandører Regulering via flere forskellige styringsmidler med styrker og svagheder (se næste slide) 35
36 Styringsmidler Værktøjskassen Styringsmidler Kommentarer Diverse dokumentation, rapporter og mundtlige møder Besøg og egen besigtigelse Juridiske kontrakter, model clauses, databehandleraftaler BCR binding corporate rules 3. Parts test sikkerhedstest af diverse udformninger Bedre end ingenting ingen sikkerhed for omfang/validitet. Ikke uvildig i tilfælde af tvist. Afhængig af kvalifikationer og erfaring. Ikke uvildig i tilfælde af tvist. Er alene dokumenter der bruges til at stille krav. Opfølgning er ikke implicit. Omfattende internt styringssystem (politikker, regler, kontroller, opfølgning mv.) bruges alene internt - dataflow mellem forskellige CVR-nr. (uddybes) Alene relateret til det omfang der er i scope for test. Ingen relation til den konkrete databehandling eller GDPR-krav ISO27001 certificeringer Databehandler har ISMS implementeret ledelsesforankret og risikobaseret informationssikkerhed. Ingen direkte relation til den konkrete databehandling eller GDPR-krav. (uddybes) Revisionserklæringer ISAE3402, 4400 og 3000 Flere typer, forskellige formål og omfang mere herom følger 36
37 ISO27001 ledelsessystem for informationssikkerhed Certificering af ledelsessystem Krav til ledelsessystemet i kap Krav om efterlevelse til offentlige myndigheder FIT og ikke privacy Link bl.a. til art. 32 Beredskabs styring ISO Ledelsesforankring Certificering Leverandørstyring Sikkerhedspolitik (ker) Risikohåndtering Risikovurdering ISMS Governance 37
38 Erklæringer
39 Erklæringsforholdet ansvarlig Databehandler Revisor Data- 39
40 Parterne i et erklæringsforhold Kunde Kundes revisor Intern revision Kontrakt Leverandør Intern revision Leverance Leverandørs revisor 40
41 Evaluering af resultat Fastlæggelse af kontrolmål Fastlæggelse af kontrolaktiviteter Aftale om kontrolmål og -aktiviteter Test Resultat Afklaring og prioritering Evaluering af kontrolmål og -aktiviteter Evaluering af resultat Revision Forløb for opbygning af erklæringer Kunde og revisor Leverandørs revisor Leverandør 41
42 Processen i år 1 og frem Planlægningsmøde/evalueringsmøde Fælles: Vurdering af, om der er behov for ændring af kontrolmål og kontroller. Afgivelse af erklæring Serviceleverandørs revisor: Test af kontroller, beskrivelse af revisionens resultatet og udformning af en samlet konklusion. Udarbejdelse af liste over revisionsbemærkninger. Serviceleverandør: Evaluering af revisionens resultat og udformning af ledelseserklæring. Evaluering og fastlæggelse af plan of action for revisionsbemærkninger. Modtagelse af erklæring Kunde og kundes revisor: Gennemgang af erklæring og vurdering af en samlet konklusion. Vurdering af revisionsbemærkninger samt behov for kompenserende revisionshandlinger. Vurdering af et samlet revisionsbevis for området. Rapportering til ledelsen. Opfølgning på revisionsbemærkninger Serviceleverandør: Løbende opfølgning og rapportering til kunden og kundens revisor. 42
43 GDPR-specifikke erklæringer 43
44 GDPR Cybersikkerhedsudvalget har udarbejdet et eksempel på en erklæring om beskrivelsen af kontroller rettet mod databeskyttelse og behandling af personoplysninger. For virksomheder (private og offentlige), som har outsourcet driften af systemer, der indeholder persondata, eller selve behandlingen af personoplysninger til en leverandør, vil det ofte være relevant at indhente en revisorerklæring fra denne leverandør, for derved at kunne dokumentere og påvise overholdelsen af den kommende persondataforordning. 44
45 EU's Databeskyttelsesforordning i den offentlige sektor Dokumentationsniveau, hvornår er der nok? Januar 2018 Revision. Skat. Rådgivning.
46 Den dataansvarliges ansvar Artikel 24 Stk. 1 Under hensyntagen til den pågældende behandlings karakter omfang sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres. 46
47 Krav om databeskyttelsespolitikker? Artikel 24, stk. 2 Stk. 2 Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker. Stk. 3 Overholdelse af godkendte adfærdskodekser som omhandlet i artikel 40 eller godkendte certificeringsmekanismer som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af den dataansvarliges forpligtelser. 47
48 48
49 49
50 GDPR to-do liste Indledende kortlægning og afklaring Organisation Dokumentation Politikker mv. Instruktion af medarbejdere NB! Vurderingen af, om en given aktivitet skal udføres, eller om en databeskyttelsespolitik eller procedure skal foreligge, vil bl.a. bero på, hvilke behandlingsaktiviteter der er tale om i den pågældende virksomhed
51 Indledende kortlægning og afklaring Emne Afklar, hvem er den dataansvarlige virksomhed (fx i koncerner eller i samarbejder, franchiseforhold ol.) I virksomheder med aktiviteter i flere lande: Afklar om flere landes lovgivning finder anvendelse I koncerner med grænseoverskridende databehandling: Afklar hvem der er jeres ledende tilsynsmyndighed (hovedvirksomheden eller eneste etablering) Evt. modenhedsvurdering/gap-analyse Planlægning af arbejdet med at etablere efterlevelse (projektleder, deltagere, tidsplaner, prioriteringer mv.) Kortlægning af persondata i virksomheden 51
52 Organisation Emne Fastlæg, hvor i virksomheden ansvaret for databeskyttelsen skal ligge Beskriv, hvordan efterlevelse af databeskyttelsesreglerne er organiseret i en databeskyttelsespolitik (se også under procedurer) Evt. udpegelse af databeskyttelsesrådgiver (DPO) Udpeg evt. en eller flere ressourcepersoner, som skal understøtte databeskyttelsen i organisationen 52
53 Dokumentation (1) Emne Artikel 30-fortegnelser Dokumentation af behandlingsgrundlaget, herunder efterlevelse af grundprincipper Sletterutiner, fastlæggelse og implementering Samtykker, der begrunder behandling Standardkontrakter for overførsel af persondata til et tredjeland, hvor der ikke er andet grundlag for overførslen 53
54 Dokumentation (2) Emne Dokumentation af risikovurdering vedr. sikkerhed Dokumentation af beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der er vurderet som passende til imødegåelse af de identificerede risici Dokumentation for implementering af de valgte sikkerhedsforanstaltninger Dokumentation af evt. afprøvning og evaluering af tekniske og organisatoriske sikkerhedsforanstaltninger Dokumentation af overvejelser og beslutninger vedr. databeskyttelse gennem design og standardindstillinger Kontrol af, at virksomhedens sikkerhedsforanstaltninger mv. efterleves 54
55 Dokumentation (3) Emne Databehandleraftaler Garanti for databehandlers efterlevelse Kontrol med databehandler, fx erklæring (påvise) Godkendelser af underdatabehandlere. Hvis generel skriftlig godkendelse: Dokumentation af underretninger fra den primære databehandler om, hvilke underdatabehandlere der benyttes Håndtering af underretninger fra databehandler om strid med lov mv. (art. 28, stk. 3, litra h), sidste led) Afklaring af DPIA 55
56 Dokumentation (4) Emne Registrering af alle sikkerhedsbrud Dokumentation af foretagne anmeldelser til Datatilsynet Dokumentation af meddelelser til de berørte registrerede Dokumentation af beslutninger om ikke at sende anmeldelse til Datatilsynet eller ikke at sende meddelelse til registrerede Efterlevelse af oplysningspligt (meddelelser mv. dokumenteres) Efterlevelse af diverse rettigheder, i det omfang de har været udnyttet (fx at henvendelser og svar gemmes i en periode) Information om indsigelsesretten ved behandling af personoplysninger med henblik på direkte markedsføring 56
57 Politikker, procedurer og retningslinjer Emne Generel databeskyttelsespolitik Fortegnelser over behandlingsaktiviteter (ansvar og retningslinjer) Lovlig behandling De registreredes rettigheder (der kan være tale om en overordnet procedure samt en række detaljerede procedurer for de enkelte rettigheder, evt. suppleret med diverse standardsvar og standardmeddelelser) Behandling ved databehandlere Behandlingssikkerhed Håndtering af brud på persondatasikkerheden Konsekvensanalyser vedrørende databeskyttelse (DPIA) 57
58 Instruktion til medarbejdere, der behandler personoplysninger, og awareness aktiviteter Emne Instruks til medarbejdere, der behandler personoplysninger (der gælder ingen formkrav, kan evt. følge af en bestemt stilling eller autorisation fra den dataansvarlige) Awareness aktiviteter for medarbejdere 58
59 Afrunding af dagen 59
60 Vores tilgang til opnåelse af compliance er tværfaglig Forretningsbaseret Teknologisk Risikobaseret Juridisk Fastholdelse af compliance-niveau Tilgang Vores tværfaglige fremgangsmåde anerkender virksomhedens driftsmæssige realiteter og den måde, hvorpå lovgivningen kan håndhæves i praksis. Den tværfaglige fremgangsmåde anerkender, at i den virkelige verden vil virksomheder, advokater og kontrolorganer være nødt til at træffe svære valg angående deres prioriteter. Den tværfaglige fremgangsmåde kræver et mere holistisk billede af problemerne samt dokumentation af beslutninger/valg. 60
61 s GDPR-projektmodel s projektmetode er udarbejdet med henblik på at sikre en effektiv afvikling af aktiviteter, der er nødvendige for at bliver compliant med EU-persondataforordningen, og efterfølgende på en praktisk og operationel måde fortsat at fastholde compliance-niveauet. Da GDPR-projekter har en fast deadline den 25. maj 2018, har vi vurderet, at der er behov for en risikobaseret tilgang og hurtig aktivering af projektet (mobiliseringsfasen) for efterfølgende at afvikle aktiviteterne (styringstiltag, holdningsbearbejdning, processer, sikkerhed, teknologi) parallelt for til sidst at foretage review og kvalitetssikring af dokumentationen for overholdelse af GDPR-kravene, inden projektet overgår til daglig drift. Mobilisering og risikovurdering Analyse og design Implementering Review og kvalitetssikring Daglig drift Styringstiltag og indledende analyse Holdningsbearbejdning, uddannelse og træning af medarbejdere Design og implementering af processer Sikkerhedsvurdering og -implementering Review og overgang til daglig drift i maj 2018 DPO og compliance Teknologivurdering og -implementering Projektstyring 61
62 Gennemprøvede værktøjer og templates I har vi et gennemprøvet værktøj til kortlægning af: Processer Systemer Data, herunder dataklassifikation Øvrige leverandører/samarbejdspartnere. 62
63 Sammenfatning af mulige løsninger Opstartsworkshop Formål At skabe overblik og fælles forståelse i virksomheden af kravene i GDPR. Værdi I får en klar forståelse af behovet og grundlaget for etablering af det rigtige projekt med det rigtige fokus fra start. Ledelsen er enige om scope. Omfang Der er tale om en workshop af en varighed på ½ eller 1 dag I får en forståelse af og viden om GDPR I får fokus på jeres udfordringer. Formål Værdi Omfang Scopingworkshop Fastlægge projektaktiviteter, omfanget og organiseringen af GDPR-projektet specifikt hos jer. Vi vil facilitere udarbejdelse af udkast til projektplan med fokus på internt og eksternt ressourceforbrug samt særlige fokusområder. 1-2-dagesworkshop Udarbejdelse af udkast til projekt- og ressourceplan. Formål Værdi Omfang Pakkeløsning At gøre jer i stand til selv at gennemføre et mindre GDPR-projekt. I får adgang til vores værktøjer, templates og support fra vores GDPReksperter. Værktøjer, templates og skabeloner 50 timers træning og support.. Formål Værdi Omfang Fuld GDPRassistance Planlægning og gennemførelse af fuldt projekt, der gør jer compliant med GDPR-kravene. -eksperter og -ressourcer til support og gennemførelse af nødvendige aktiviteter samt adgang til vores templates og værktøjer. Ekspertassistance efter jeres behov Værktøjer, templates og skabeloner Compliance-tjek inden maj Formål Værdi Omfang E-learning op til 22 moduler At skabe viden om, forståelse af og træning i de nye GDPR-krav. Alle medarbejdere har samme forståelse af og nødvendige viden om GDPR. Dokumentation af, at alle medarbejdere har modtaget træning i GDPR. 22 e-learningsmoduler på flere sprog Dækker alle forordningens krav. 63
64 Tak for i dag Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.
Databeskyttelsesdagen
www.pwc.dk Databeskyttelsesdagen GDPR: Ping-pong mellem teori og praksis! Revision. Skat. Rådgivning. Præsentation Claus Bartholin Senior Manager, IT Risk Assurance E: cbt@pwc.dk T: +45 3945 3973 M: +45
Læs mereGDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017
www.pwc.dk GDPR Leverandørstyring og revisionserklæringer GDPR Leverandørstyring og revisionserklæringer v. Jess Kjær Mogensen og Charlotte Pedersen, Agenda Leverandørstyring Erklæringer Spørgsmål 3 Leverandørstyring
Læs merePersondataforordningen...den nye erklæringsstandard
www.pwc.dk Persondataforordningen...den nye erklæringsstandard September 2017 Revision. Skat. Rådgivning. Personsdataforordningen igen. Udkast til erklæring i høring hos revisorer, advokater, databehandlere,
Læs mereAftale vedrørende fælles dataansvar
Aftale vedrørende fælles dataansvar Mellem Dataansvarlig 1 og Dataansvarlig 2 Baptisternes Børne- og Ungdomsforbund CVR 28536364 Fælledvej 16 7200 Grindsted 1. Fælles dataansvar 1.1. Denne aftale fastsætter
Læs mereAftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi
Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi Indledning Denne aftale er udarbejdet af Dansk Boldspil-Union under henvisning til databeskyttelsesforordningen
Læs mereBehandling af personoplysninger
Behandling af personoplysninger Orientering til kunder om Zibo Athene A/S behandling af personoplysninger. Nærværende dokument er en information til dig som kunde hos Zibo Athene A/S (herefter Zibo Athene)
Læs mereN. Zahles Skole Persondatapolitik
N. Zahles Skole Persondatapolitik Indholdsfortegnelse Side 1. Baggrund for persondatapolitikken 3 2. Formål med persondatapolitikken 3 3. Definitioner 3 4. Ansvarsfordeling 4 5. Ansvarlighed 5 6. Lovlighed,
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataforordningen (GDPR) pr. 25-05-2018 ISAE 3000-I CVR-nr.: 33 07 66 49 Maj 2018 REVI-IT A/S statsautoriseret
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:
Databehandleraftale Mellem Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: og Databehandleren Virksomhed: OnlineFox CVR: 38687794 Adresse: Pilagervej 32 Postnummer & By: 4200 Slagelse
Læs mereDigitaliseringsstyrelsens konference 1. marts 2018
www.pwc.dk Leverandørstyring Digitaliseringsstyrelsens konference 1. marts 2018 Revision. Skat. Rådgivning. Overordnet agenda Introduktion af oplægsholder og workshopholder Oplæg Workshop Afrunding 2 3
Læs mereVandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker
Vandforsyningens håndtering af den kommende persondataforordning Danske Vandværker Praktiske spørgsmål vi modtog Hvem har ansvaret for beskyttelse af forbrugernes persondata? Er medlemslister i ringbindsmapper
Læs mereLector ApS CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesloven (GDPR) pr. 06-07-2018 ISAE 3000-I Lector ApS CVR-nr.: 10 02 16 18 Juli 2018 REVI-IT A/S statsautoriseret
Læs mereIntroduktion til persondataforordning
Introduktion til persondataforordning Lektor Dorte Høilund Anvendelse fra 25. maj 2018 Direktiv contra forordning Mange muligheder for nationale særregler Opbygning og struktur Forslag til Databeskyttelseslov
Læs mereCirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring
Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring 1. Indledning 1.1. Denne cirkulæreskrivelse er udarbejdet af Styrelsen
Læs mereCirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer
CIS nr 9223 af 23/03/2018 (Gældende) Udskriftsdato: 14. maj 2019 Ministerium: Finansministeriet Journalnummer: Finansmin., Moderniseringsstyrelsen Senere ændringer til forskriften Ingen Cirkulæreskrivelse
Læs mereKomiteen for Sundhedsoplysning CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) pr. 20-12-2018 ISAE 3000 Komiteen for Sundhedsoplysning CVR-nr.: 14 03 53 38 December
Læs mereStandardvilkår. Databehandleraftale
Standardvilkår Databehandleraftale 1 Indhold 2 Vilkårenes status... 2 3 Baggrund for databehandleraftalen... 2 4 Formål med databehandlingen... 2 5 Personoplysninger omfattet af databehandleraftalen...
Læs merePersondataforordningen den 20. februar 2018
Persondataforordningen den 20. februar 2018 Hvorfor går så mange nu op i persondata? Under den nye Databeskyttelsesforordning er man pligtig til at kunne påvise, at man overholder reglerne Under forordningen
Læs merePersondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].
Baggrund for persondatapolitikken Nykøbing Katedralskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereCIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.
CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj 2018 Ministerium: Kirkeministeriet Journalnummer: Kirkemin., j.nr. 7520 Senere ændringer til forskriften Ingen Cirkulære om fælles dataansvar
Læs merePersondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.
Persondatapolitik for Horsens HF & VUC Baggrund for persondatapolitikken Horsens HF & VUCs persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU)
Læs merePersondatapolitik Vordingborg Gymnasium & HF
Persondatapolitik Vordingborg Gymnasium & HF Indholdsfortegnelse Indhold Baggrund for persondatapolitikken... 3 Formål... 3 Definitioner... 3 Ansvarsfordeling... 4 Ansvarlighed... 4 Lovlighed, rimelighed
Læs merePersondatapolitik for Tørring Gymnasium 2018
Persondatapolitik for Tørring Gymnasium 2018 Baggrund for persondatapolitikken Tørring Gymnasiums persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs merePersondatapolitik for Aabenraa Statsskole
Persondatapolitik for Aabenraa Statsskole Baggrund for persondatapolitikken s persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
Læs merePlan og Handling CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov pr. 29-01-2019 ISAE 3000 CVR-nr.: 18 13 74 37
Læs mereOrganisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet
Organisatorisk og teknisk implementering af GDPR i Rigsarkivet Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet 1 1. Generelt om GDPR Indhold 2. Risikobaseret tilgang til informationssikkerhed
Læs merePersondata politik for GHP Gildhøj Privathospital
Persondata politik for GHP Gildhøj Privathospital Baggrund for persondatapolitikken Denne persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU)
Læs mereFormålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.
Baggrund for persondatapolitikken Ribe Katedralskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.
Databehandleraftale Mellem Den dataansvarlige og Databehandleren ErhvervsHjemmesider.dk ApS CVR 36944293 Haslegårdsvej 8 8210 Aarhus V DK 1 Indhold 2 Baggrund for databehandleraftalen... 3 3 Den dataansvarliges
Læs merePersondatapolitik. for Social- og Sundhedsskolen Esbjerg
Persondatapolitik for Social- og Sundhedsskolen Esbjerg Indhold Baggrund for persondatapolitikken... 2 Formål... 2 Definitioner... 2 Ansvarsfordeling... 3 Øverste ledelse (bestyrelsen)... 3 Daglig ledelse
Læs mereJeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )
DATABEHANDLERAFTALEN Databehandleraftale ( Aftalen ) mellem: Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK-36726350 ( Leverandøren ) A: OMFANG A.1 Databehandleraftale
Læs merePersondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.
Baggrund for persondatapolitikken Kolding Gymnasiums persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs merePersondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.
Persondatapolitik Baggrund for persondatapolitikken VUC Roskildes persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016
Læs merePersondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.
Persondatapolitik for Horsens Statsskole Baggrund for persondatapolitikken Horsens Statsskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereWinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:
Databehandleraftale Mellem Den Dataansvarlige: Kunden og Databehandleren: WinWinWeb CVR: 35 62 15 20 Odinsvej 9 2800 Kgs. Lyngby Danmark Side 1 af 12 1 Baggrund for databehandleraftalen 1. Denne aftale
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.
Databehandleraftale Mellem Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] og Databehandleren Dandodesign CVR 36899042 Vanløsevej 9 8000 Aarhus Danmark 1 Indhold 2 Baggrund
Læs merePersondatapolitik på Gentofte Studenterkursus
Persondatapolitik på Gentofte Studenterkursus Baggrund for persondatapolitikken Gentofte Studenterkursus persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets
Læs mereDatabehandleraftale (v.1.1)
Denne databehandleraftale er et tillæg til gældende Nordcad salgs og leveringsbetingelser mellem Kunden og Nordcad Systems A/S. Databehandleraftalens underbilag B opdateres løbende for at sikre korrekt
Læs mereOVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2
OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I DANSK FORENING FOR OSTEOGENEIS IMPERFECTA (DFOI) INDHOLDSFORTEGNELSE: 1. Generelt... 2 2. Om nærværende persondatapolitik...
Læs merePersondatapolitik for Odense Katedralskole
Bilag 5. Persondatapolitik for Odense Katedralskole Møde for Odense Katedralskoles bestyrelse d. 11. sept. 2018 Persondatapolitik for Odense Katedralskole Baggrund for persondatapolitikken Odense Katedralskoles
Læs mereBAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4
Persondatapolitik Skanderborg Gymnasium Indholdsfortegnelse BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4 LOVLIGHED, RIMELIGHED OG GENNEMSIGTIGHED...4
Læs mereBilag 1 Databehandler aftale (v.1.2)
Denne databehandleraftale er et tillæg til gældende rammeaftale mellem Kunden og Telefonmøder ApS. Databehandleraftalens underbilag B opdateres løbende for at sikre korrekt overblik over vores underdatabehandlere.
Læs mereBEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen
BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni 2019 Ministerium: Undervisningsministeriet Journalnummer: Undervisningsmin., Styrelsen for It og Læring, j.nr. 18/13045 Senere ændringer til
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov for leverancen af rekrutteringsydelser i perioden
Læs mereSeptember Indledning
September 2016 Eksempel fra KOMBIT: Vejledning til gennemførelse af indledende overordnet kortlægning af it-løsningers parathed i forhold til efterlevelse af kendte krav i Databeskyttelsesforordningen
Læs mere1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?
Her finder I 12 spørgsmål, som I, der er dataansvarlige, med fordel kan forholde jer til allerede nu for at forberede jer på den nye databeskyttelsesforordning, som finder anvendelse fra den 25. maj 2018.
Læs mereBILAG 3.2 FÆLLES DATAANSVARSAFTALE
BILAG 3.2 FÆLLES DATAANSVARSAFTALE Denne fælles dataansvarsaftale ("Dataansvarsaftale") er indgået mellem Parterne i Samarbejdsaftalen, og med de definitioner for Parterne, som anvendes i Samarbejdsaftalen.
Læs mereDatabehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD
INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel
Læs merePer Løkken, Partner. CAMPUS November 2018
1 Per Løkken, Partner CAMPUS 2018 21. November 2018 2 Tilgange til Persondataforordningen Usikkerhed og iver efter at få styr på det. Organisationer som også ser en værdi i at have styr på data og processer
Læs merePersondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den
Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den 25.05.2018 Indholdsfortegnelse 1 Baggrund... 3 2 Formål... 3 3 Omfang... 3 4 Roller og ansvar...
Læs merePersondataforordningen Erklæringer - omfang og værdi August 2016
www.pwc.dk Persondataforordningen Erklæringer - omfang og værdi August 2016 Revision. Skat. Rådgivning. Persondataforordningen 2 Agenda Erklæringsforholdet og erklæringsbehovet Erklæringens indhold Et
Læs mereOVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.
OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106. INDHOLDSFO RTEGNELSE: 1. Generelt 3 2. Om nærværende Persondatapolitik 3 3. Definitioner 4 4. Persondataprincipper
Læs mereDatabehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41
Databehandleraftale Mellem Brugere af software fra Datalogisk Den dataansvarlige: og Databehandleren: Datalogisk A/S CVR 78871911 Stubbekøbingvej 41 4840 Nr. Alslev Danmark 1. Baggrund for databehandleraftalen
Læs mereAftale vedrørende fælles dataansvar
Aftale vedrørende fælles dataansvar Mellem Dataansvarlig 1 Dansk Kennel Klub (DKK) CVR 11881815 Parkvej 1 2680 Solrød Strand og Dataansvarlig 2 Specialklubben Dansk Gravhundeklub CVR nr. 71889815 Høedvej
Læs mereDen Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".
DATABEHANDLERAFTALE mellem KUNDEN (som defineret i punkt 2 nedenfor) (den "Dataansvarlige") og TECHEM DANMARK A/S CVR-nr. 29 41 69 82 Trindsøvej 7 A-B 8000 Aarhus C ("Databehandleren") Den Dataansvarlige
Læs merePræsentation Tid +/- 25 minutter i praktik
Præsentation Tid +/- 25 minutter i praktik # # God grund Ikke luske/rode # Ansvarlig & troværdig # Samtykke Interesseafvej. Legitimt # Dokumentation # Træning # Databeskyttelsesrådgiver # Det komplekse
Læs mereProcedure for håndtering af personoplysninger - GDPR Denne udgave: /TW
Procedure for håndtering af personoplysninger - GDPR Denne udgave: 23.08.2018/TW DolphinEyes ApS (i det følgende virksomheden) beskriver med denne procedure, hvordan vi opfylder persondataloven. Proceduren
Læs mereAftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )
Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) og Steuermann ApS Flæsketorvet 68 1711 København V CVR. nr. 35809422 (i det følgende betegnet Databehandler ) (herefter samlet
Læs merePersondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018
Databeskyttelsesforordning Persondatapolitik Vesthimmerlands Gymnasium og HF s persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
Læs mereEU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse
EU s persondataforordning Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse Disposition Kort om forordningen Implementering - Processen i Justitsministeriet og UVM i forhold
Læs mereCuranet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Åstvej 10, B 7190 Billund CVR. nr. 30 56 13 17 (i det følgende betegnet Dataansvarlig ) og Curanet A/S Højvangen 4 8660 Skanderborg CVR. nr. 29
Læs mereEU Persondataforordning GDPR
EU Persondataforordning GDPR 14. juni 2018 Agenda Persondataforordningen - GDPR Hvad går forordningen grundlæggende ud på og hvorfor? Hvad stiller forordningen af krav til nødvendig indsats? Hvordan sikrer
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark
Databehandleraftale Mellem Navn: CVR: Adresse: Postnummer og by: Land: Den dataansvarlige: og Databehandleren Ribe Mediehus CVR 36901632 Industrivej 2 6760 Ribe Danmark Denne aftale træder i kræft i samme
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR
Databehandleraftale Mellem Den dataansvarlige: Navn, adresse og cvr: og Databehandleren Pronavic Business Systems ApS CVR 34 88 97 75 Godthåbsvej 25 8660 Skanderborg Danmark 1 Indhold 2 Baggrund for databehandleraftalen...
Læs mereRigsarkivets konference 2. november 2016
Pligten til at huske retten til at blive glemt Rigsarkivets konference 2. november 2016 Birgit Kleis, kommitteret i Datatilsynet Persondatabeskyttelse: afvejning af hensyn Privatlivets fred Informations-
Læs mereDatabehandleraftale (Skabelon fra Datatilsynet)
Databehandleraftale (Skabelon fra Datatilsynet) Mellem Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] og Databehandleren [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og
Læs mereCC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Aftalen foreligger mellem Adresse Post nr. og By CVR. nr. xx xx xx xx (i det følgende betegnet Dataansvarlig ) og CC GROUP DENMARK Møllebugtvej 5 7000 Fredericia Att: CVR. nr. 27415032
Læs mereBekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse
Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse I medfør af 15 e, stk. 4, i bekendtgørelse af lov om kommunal indsats
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.
Databehandleraftale Mellem Den dataansvarlige: Landbrugsstyrelsen CVR 20814616 Nyropsgade 30 1780 København V Danmark og Databehandleren [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] 1 Indhold
Læs mereDATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde
DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde sig til indholdet evt.
Læs mereForeninger i Tønder Kommune GDPR November 2018
www.pwc.dk Foreninger i Tønder Kommune GDPR Revision. Skat. Rådgivning. Klaus Ravn Klubformand Klubben Forbundet Arbejdet Medlem af udviklings- og breddeudvalg Cyberspecialist Ungdomstræner Trænerinstruktør
Læs merePOLITIK FOR DATABESKYTTELSE
POLITIK FOR DATABESKYTTELSE 1 Formål... 2 2 Anvendelsesområde... 2 3 Referencer... 2 4 Definitioner... 2 5 Vision og mål for beskyttelse af personoplysninger... 3 6 Roller og ansvar... 3 7 Databehandlingsprincipper...
Læs mereDatabehandleraftale
Databehandleraftale 25.04.2018 DATABEHANDLERAFTALE Aftalen foreligger mellem Navn (Dataansvarlig) Adresse By og Graungaard Solution Aps (Databehandler) Lykkesholm 2 2690 Karlslunde CVR. nr. 36738367 Ovennævnte
Læs mereDatabehandleraftale. Mellem. Dataansvarlig: Kunden
Databehandleraftale Mellem Dataansvarlig: Kunden (Omfatter virksomheder, der har oprettet en brugerkonto på www.pakkelabels.dk og benytter sig af Pakkelabels.dk s fragtløsning) og Databehandleren: Navn:
Læs merePersondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016
Persondataforordningen Overblik over initiativer og ansvar Dubex Summit - Rasmus Lund november 2016 Rasmus Lund Advokat, partner Leder af persondata team Agenda Henning Mortensen, DI har givet overblik
Læs merePERSONDATAPOLITIK FOR BEHANDLING OG BESKYTTELSE AF PERSONOPLYSNINGER I UDENRIGSMISTERIET
PERSONDATAPOLITIK FOR BEHANDLING OG BESKYTTELSE AF PERSONOPLYSNINGER I UDENRIGSMISTERIET INDHOLD 1. Baggrund 3 2. Formål 4 3. Omfang 5 4. Definitioner 6 5. Roller og ansvar 8 6. Ansvarlighed 10 7. Grundprincipperne
Læs merePersondataforordningen. Hvad kan vi bruge KITOS til?
Persondataforordningen Hvad kan vi bruge KITOS til? Kort om persondataforordningen Persondataforordningen blev vedtaget den 14. april 2016 og træder i anvendelse den 25. maj 2018 Et af de overordnede formål
Læs mereDATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf
DATABEHANDLERAFTALE Conscia A/S Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf. +45 7020 7780 www.conscia.com 1 INDHOLDSFORTEGNELSE 1. BAGGRUND OG FORMÅL... 3 2. OMFANG... 3 3. VARIGHED... 3 4. DEN
Læs mereDanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Vilhelm Thomsens plads 1 8900 Randers CVR. nr. 35 58 90 31 (i det følgende betegnet Dataansvarlig ) og DanDomain A/S Normansvej 1 8920 Randers
Læs mereDATABEHANDLERAFTALE. Omsorgsbemanding
DATABEHANDLERAFTALE Omsorgsbemanding Nærværende databehandleraftale er indgået mellem Omsorgsbemanding, via Manningsmart IVS (CVR-nr.: 40217231) og brugeren af Omsorgsbemanding. Partnerne omtales i nærværende
Læs mereKonsekvensanalyse vedrørende databeskyttelse
Konsekvensanalyse vedrørende databeskyttelse [Projektets navn] info@gefion-gym.dk, www.gefion-gym.dk 1 Indhold INDLEDNING OG FORMÅL... 3 RESUMÉ... 3 BESKRIVELSE AF BEHANDLINGERNE... 3 VURDERING AF RISICI
Læs mereRegler om persondata Koordinatormøde den 28. nov. 2017
Regler om persondata Koordinatormøde den 28. nov. 2017 Gældende regler i persondataloven I dag er det den danske persondatalov, der beskriver reglerne for, hvordan personoplysninger må indsamles, opbevares
Læs merePersondataforordningen. Henrik Aslund Pedersen Partner
www.pwc.dk Persondataforordningen Morgenmøde Henrik Aslund Pedersen Partner Revision. Skat. Rådgivning. Hvorfor en ny Persondataforordning? EU persondataforordning - Morgenmøde Hillerød 2 Hvorfor en ny
Læs mereNye regler på vej Status på arbejdet med databeskyttelsesforordningen. 8. november 2017
Nye regler på vej Status på arbejdet med databeskyttelsesforordningen 8. november 2017 Program Baggrunden for betænkningen Betænkningens hovedkonklusioner og konkrete nedslag Det kommende lovforslag Vejledninger
Læs mereOverblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen
www.pwc.dk Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen Juni 2017 Indhold Indledning 03 Overblik over regulering 04 Justitsministeriets betænkning
Læs mere1 Indhold. Side 2 af 15
1 Indhold 2 Baggrund for databehandleraftalen... 3 3 Den dataansvarliges forpligtelser og rettigheder... 4 4 Databehandleren handler efter instruks... 4 5 Fortrolighed... 5 6 Behandlingssikkerhed... 5
Læs mereDATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1
DATABEHANDLERAFTALE Aftale omkring behandling af persondata Januar 2018 Version 1.1 Udarbejdet af: Jansson Gruppen A/S på vegne af: Jansson EL A/S, CVR nr.: 73 28 93 19 Jansson Alarm A/S, CVR nr.: 74 78
Læs mereOverblik over persondataforordningen
Overblik over persondataforordningen November 2016 2 Sanktioner Overtrædelsestype: Indhentning af samtykke ift. børn Behandlinger, som ikke kræver identifikation Data protection by Design/Default Delt
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs mere! Databehandleraftale
! Databehandleraftale Indledning 1.1. Denne aftale vedrørende behandling af personoplysninger ( Databehandleraftalen ) regulerer Pensopay APS CVR-nr. 36410876 (databehandleren) og Kunden (den Dataansvarlige
Læs mereKontraktbilag 3. Databehandleraftale
Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i
Læs mereDigitaliseringsstyrelsen Risikovurdering Marts 2018
www.pwc.dk Risikovurdering Revision. Skat. Rådgivning. www.pwc.dk Klaus Ravn Cyber security specialist Baggrund Akkreditering af systemer og apps Risikovurdering af systemer Facilitator af it-beredskabsøvelser
Læs mereDatabehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S
Databehandleraftale vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj 2018 Storhaven 12 / 7100 Vejle / +45 7879 7575 / www.dmdd.dk INDHOLD 1. BAGGRUND FOR DATABEHANDLERAFTALEN... 3 2. FORPLIGTELSER
Læs mereOrientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018
Orientering om databeskyttelsesforordningen Sundhedsstrategisk Forum Onsdag den 21. marts 2018 Kort om mig Marie Brodde, Databeskyttelsesrådgiver i Esbjerg Kommune Digitalisering & It, Stab Kultursociolog
Læs mereCirkulæreskrivelse om Styrelsen for It og Lærings opgaver som databehandler i visse administrative systemer på undervisningsområdet
Cirkulæreskrivelse om Styrelsen for It og Lærings opgaver som databehandler i visse administrative systemer på undervisningsområdet 1. Indledning 1.1. Denne cirkulæreskrivelse er udarbejdet af Styrelsen
Læs mereTjekliste til databehandleraftaler
Tjekliste til databehandleraftaler Bruun & Hjejle har i november 2017 udarbejdet denne tjekliste til brug for gennemgang af databehandleraftaler modtaget fra samarbejdspartnere. Tjeklistens pkt. 1 indeholder
Læs mereDatabeskyttelse i den almene sektor en digital fremtid. 30. august 2018
Databeskyttelse i den almene sektor en digital fremtid 30. august 2018 2 Corporate Compliance & Investigations Vi er eksperter indenfor Vi hjælper din virksomhed med at få et overblik og identificere væsentlige
Læs mere3 Omfattede typer af personoplysninger og kategorier af registrerede
1 Behandlingsformål og behandlingsomfang Denne Databehandleraftale (Databehandleraftalen) er indgået som del af eller under henvisning til, at Parterne har aftalt en eller flere leveringer af it-ydelser
Læs mereVelkommen til seminar om Persondataforordningen. Den 16. maj 2018.
Velkommen til seminar om Persondataforordningen Den 16. maj 2018. CFSA udvikler frivilligheden Rådgivning Kurser Se mere på frivillighed.dk Netværk Analyse Evaluering Undersøgelse Nyheder Konferencer Konsulentbistand
Læs mere