Vejledning for tilsyn med databehandlere

Relaterede dokumenter
Tilsyn med Databehandlere

Vejledende tekst om tilsyn med databehandlere og underdatabehandlere

Databehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )

Vejledning i informationssikkerhedspolitik. Februar 2015

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Kontraktbilag 8. It-sikkerhed og compliance

Faxe Kommune. informationssikkerhedspolitik

Persondatapolitik for. Klippinge Vandværk

Målrettet arbejde med persondataforordningen for

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

Målrettet arbejde med persondataforordningen for. Jyderup Østre Vandværk a.m.b.a.

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Målrettet arbejde med persondataforordningen for

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Tjekliste til databehandleraftaler

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitik Vordingborg Gymnasium & HF

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

HÅNDBOG FOR BEBOERDEMOKRATER BESKYTTELSE AF PERSONDATA

Vedrørende tilsyn med behandling af personoplysninger

BILAG 5 DATABEHANDLERAFTALE

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Til Økonomi- og Indenrigsministeriet 18. september 2017

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

DATABEHANDLERAFTALE Version 1.1a

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Overordnet organisering af personoplysninger

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Databeskyttelsespolitik for DSI Midgård

Ma lrettet arbejde med persondataforordningen for

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Databeskyttelsesdagen

BILAG 14: DATABEHANDLERAFTALE

Forslag til nye felter i OS2-kitos til understøttelse af GDPR-arbejdet

Tønder Kommune BILAG 10

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

N. Zahles Skole Persondatapolitik

Fællesregional Informationssikkerhedspolitik

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Procedure for tilsyn af databehandleraftale

Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

Informationssikkerhedspolitik for <organisation>

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Aftale vedrørende fælles dataansvar

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

MedComs informationssikkerhedspolitik. Version 2.2

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Retningslinje om dataansvarlig/databehandler

I, Privatlivspolitik for Kunder, kan du læse om vores politikker, principper og procedure for håndtering af personoplysninger.

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

Behandling af personoplysninger

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

Målrettet arbejde med persondataforordningen for

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

Workshop 2. Hvilke processer skal sikre os en god databeskyttelse? Hvordan uddanner vi medarbejdere i det offentlige til at håndtere data forsvarligt?

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Persondatapolitik på Gentofte Studenterkursus

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik for Aabenraa Statsskole

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

SOPHIAGÅRD ELMEHØJEN

Persondatapolitik for Tørring Gymnasium 2018

Persondatapolitik for Odense Katedralskole

Må lrettet årbejde med persondåtåforordningen for

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

Bilag B Databehandleraftale pr

Kontraktbilag 7: Databehandleraftale

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 2.0 af 30. maj 2018

PRIVATLIVSPOLITIK - MEDLEMSVIRKSOMHEDER OG SAMARBEJDS- PARTNERE

DATABEHANDLERAFTALE. Mellem. [Dataansvarliges navn] [Adresse] [Postnummer og by] CVR-nr. [cvr nummer] (herefter den Dataansvarlige )

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

PERSONDATAPOLITIK FOR ÅRHUS LÆRERFORENING Revideret 17. januar 2019

Driftskontrakt. Databehandleraftale. Bilag 14

Databeskyttelsesrådgivernes årsrapport 2018 til kommunalbestyrelsen i Frederikssund Kommune

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Hvad er Informationssikkerhed

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Informationssikkerhedspolitik Frederiksberg Kommune

3 Omfattede typer af personoplysninger og kategorier af registrerede


Transkript:

Vejledning for tilsyn med databehandlere Dokumentoplysninger Udarbejdet af Emneområde Formål Marianne Bo Krowicki Databehandlere Dokumentet beskriver hvordan der skal foretages tilsyn med databehandlere Version Version 2.0, februar 2018 Dokumenttype Vejledning Relaterede dokumenter Vejledning for udarbejdelse af databehandleraftaler. Informationssikkerhedsretningslinjer kapitel 15. Informationssikkerhedspolitik for Brøndby Kommune. 1

Indhold Indledning... 3 Omfang... 3 Tilsynsmetoder... 3 Revisorerklæringer... 4 Kommunen foretager selv tilsyn... 4 Fysisk tilsyn... 4 Interviewbaseret/spørgeskema... 5 Frekvens for tilsyn og hvem gør det?... 5 Dokumentation... 6 2

Indledning Når vi indgår en databehandleraftale med en ekstern leverandør om behandling af persondata, skal vi sikre at leverandøren efterlever aftalen. Vi skal gøre det for at sikre, at leverandøren beskytter data ligeså forsvarligt, som vi selv ville gøre. Hvis vi har et højt beskyttelsesniveau til de data som leverandøren behandler, så skal leverandøren have implementeret det samme niveau. Vi skal også gøre det for at kunne bevise, at vi efterlever gældende lovgivning på området, eksempelvis at der er indført passende behandlingssikkerhed som fastsat i Databeskyttelsesforordningen. Hvis du er ved at indgå en databehandleraftale og benytter Brøndby Kommunes skabelon, så vil du skulle tage stilling til hvilken form for tilsyn der skal gennemføres, da tilsyn er med i skabelonen (afsnit 10). Derfor anbefales det, at du kigger denne vejledning igennem, inden du beslutter hvilken tilsynsmetode der er relevant. Omfang Brøndby Kommune foretager tilsyn med udgangspunkt i væsentlighed og risiko. Med det menes at der skal tages hensyn til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risici for fysiske personers rettigheder og frihedsrettigheder. Jo større risici, jo større er kravene til sikkerhed. Dette skal afspejles i den måde hvorpå vi skal lave tilsyn. I denne vejledning er der beskrevet to tilsynsmetoder, som tager udgangspunkt i: 1. Væsentlige mængder af data, med høje konsekvenser for fysiske personers rettigheder og frihedsrettigheder og høje konsekvenser hvis der sker et brud på fortrolighed, integritet og tilgængelighed 2. Begrænsede mængder af data med få konsekvenser for fysiske personers rettigheder og frihedsrettigheder Eksempel 1: En leverandør drifter et system, hvori der behandles store mængder af personoplysninger om kommunens borgere. Der behandles oplysninger om navn, cpr-nummer, bopæl, pårørende, adresse og helbredsoplysninger. Eksempel 2: En leverandør skal yde support til kommunens hjemmeside. Leverandøren kan få adgang til almindelige personoplysninger, som ligger på kommunens hjemmeside. Tilsynsmetoder Kommunens niveau for tilsyn tager udgangspunkt i tre typer af tilsyn, som fastsættes og afspejles i ovennævnte vurdering af væsentlighed og risiko. 3

Tilsyn kan gennemføres som: Revisorerklæring (eksempelvis ISAE 3402) som er udarbejdet af en uvildig tredjepart Kommunen foretager selv tilsyn, enten som o Fysisk tilsyn o Interview/spørgeskema Nedenfor er de enkelte typer beskrevet mere uddybende. Revisorerklæringer Databehandlere, som beskrevet i eksempel 1, vil som oftest acceptere at levere en årlig og vederlagsfri revisorerklæring. Revisorerklæringen udarbejdes som regel én gang årligt af en uvildig part, et revisorfirma, som har kompetencer inden for informationssikkerhed. Revisoren vurderer leverandørens sikkerhed og it-drift og påpeger forhold som er kritiske. Det er derfor vigtigt, at du forholder dig til revisorerklæringen, og vurderer om revisor har påpeget forhold der bør løftes overfor databehandleren (leverandøren). Kontakt eventuelt databeskyttelsesrådgiveren for at få rådgivning, hvis der er forhold der er påpeget som kritiske. Du skal forvente at du selv indhente revisorerklæringen hos leverandøren. Så skriv i kalenderen senest på årsdagen for indgåelse af aftalen, at du skal huske at indhente revisorerklæringer. Husk også i samme ombæring at bede om revisorerklæringer på eventuelle underdatabehandlere, eller få dokumentation fra leverandøren om, at der er foretaget tilsyn på anden vis. Hvis det ikke er muligt at få en revisorerklæring hos en databehandler, så er vi selv forpligtet til at føre tilsyn. Et tilsyn hos en it-udbyder vil som oftest være en mere kompleks opgave og kræver flere kompetencer. Det er derfor en god ide, at kontakte din informationssikkerhedskoordinator eller databeskyttelsesrådgiveren for at få gode råd. Kommunen foretager selv tilsyn Hvis du ikke kan få en aftale om en revisorerklæring, så skal vi selv føre tilsyn. Det kan gennemføres enten som et fysisk tilsyn eller som et interviewbaseret tilsyn. Fysisk tilsyn Fysiske tilsyn kræver lidt forberedelse. Du skal varsle tilsynet overfor leverandøren i passende tid. Der er vedhæftet en skabelon, som du kan bruge som inspiration til en mail til leverandøren. Det er god skik at orientere databehandleren om de emner du har fokus på. Brug evt. Annex A i ISO27001, som inspiration og udvælg 3-5 fokusområder. Et fysisk tilsyn vil aldrig kunne nå hele vejen rundt, det vil tage dage måske uger, så vær realistisk. Måske er der forhold der er oppe i tiden, som du skal have fokus på. Et eksempel kunne være: Styring: organisering, sikkerhedspolitik og retningslinjer 4

Adgangsstyring: Almindelige rettigheder, udvidede rettigheder, styring af brugere Medarbejdersikkerhed: adfærdskodeks, tavshedspligt, ansættelse, sanktioner ved brud på sikkerheden Fysisk sikkerhed: adgangskontrol, opbevaring af fysiske dokumenter og kassation af udstyr Et fysisk tilsyn er resursekrævende og det er vigtigt at du hele tiden har tanke på væsentlighed og risiko. Man kan nemt komme på sidespor og overse det væsentlige. Det er derfor en god ide, at du holder dig til din skabelon. Omvendt kan du gøre gode observationer hvis du er observant: Kan man komme ind fra gaden uden videre, ligger der stakke med personoplysninger på bordene, er skærmene låst når medarbejderne er borte osv.? Regn med 1-2 timer til et tilsyn, men det afhænger af virksomhedens størrelse og kompleksitet. Notér dine observationer, især eventuelle afvigelser og lav et resumé, som sendes til databehandler senest 2 uger efter tilsynet. Gør opmærksom på, at der er mulighed for at få rettet faktuelle fejl og giv en tidsfrist for dette. Hvis der er forhold der skal følges op på, aftales dette også. Husk at følge op på uhensigtsmæssige forhold. Efter fristen sendes det endelige tilsynsnotat ud og det arkiveres i ESDH, som dokumentation for gennemført tilsyn. Interviewbaseret/spørgeskema Denne metode er den mindst resursekrævende, men omfatter til gengæld ikke den samme kontrol af databehandleren, som et tilsyn eller en revisorerklæring. Et interviewbaseret tilsyn vil være forsvarligt, hvis man husker at følge op på eventuelle svagheder. Der ligger en skabelon på Bølgen/vores organisation/informationssikkerhed/eksterne databehandlere/tilsyn til formålet. Der er frit valg om du vil sende spørgeskemaet til databehandleren eller om du vil gennemføre et telefoninterview, udfylde skemaet, evt. få det godkendt og journaliseret. Husk altid at fastsætte en tidsfrist for returnering. Frekvens for tilsyn og hvem gør det? Hver forvaltning skal gennemføre tilsyn med egne databehandlere én gang årligt. Hvis der i forvejen føres tilsyn med en leverandør, så kan det måske være passende, at gøre det i samme ombæring. Tilsynsmetoden sker efter væsentlighed og risiko. Jo større mængder af følsomme data leverandøren behandler, jo mere omfattende skal tilsynet være. Tilsyn skal være gennemført senest udgangen af december, for at få det med i den årlige status for informationssikkerhed. Hvis en forvaltning ikke gennemfører tilsyn, udarbejdes et notat til i- sikkerhedskoordinatoren, med en begrundelse. Hvis en databehandler drifter flere systemer/fællessystemer, så aftales det i koordinatorgruppen hvem der er ansvarlig for at sikre tilsynet, eksempelvis at revisorerklæring modtages og evalueres. Så undgår vi at flere forvaltninger henvender sig til samme databehandler for at få den samme revisorerklæring. I nedenstående matrix er beskrevet typer af tilsyn og frekvens 5

Hostingfirma, større itleverandører, databehandlingsbureauer o.l Leverandør der behandler få mængder af personoplysninger Frekven s Itrevisorerklæring Fysisk tilsyn årlig Ja Hvis det ikke er muligt at få revisorerklæring årligt Nej * Hvis en risikovurdering siger det. Interview/spørgeskema Hvis det ikke er muligt at få revisorerklæring Ja. *) Hvis leverandøren selv tilbyder den, så vælg den! Dokumentation Resultatet af tilsynet dokumenteres, og notat arkiveres i ESDH systemet. Det årlige tilsyn skal være afsluttet og dokumenteret inden udgangen af december, så et sammendrag kan komme med i den årlige ledelsesrapportering om informationssikkerhed. Bilag, som findes på Bølgen/vores organisation/informationssikkerhed/eksterne databehandlere/tilsyn med databehandlere 1. Spørgeskema for interviewbaseret tilsyn (ligger på Bølgen) 2. Skabelon for fysisk tilsyn/stikprøve 3. Skabelon til brev til databehandler, som udsendes forud for tilsynet 6

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback