Persondata Behandlingssikkerhed. v/rami Chr. Sørensen

Relaterede dokumenter
Behandling af personoplysninger

Persondata og sikkerhedsbrud

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Sletteregler. v/rami Chr. Sørensen

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Databehandleraftale (v.1.1)

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Bilag 1 Databehandler aftale (v.1.2)

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R

Databehandleraftale (Skabelon fra Datatilsynet)

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Databehandleraftale. Compliancelog IVS. 25. maj 2018 Version

1 Indhold. Side 2 af 15

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Databehandleraftale. Mellem. Den dataansvarlige: SimplyJob Aps CVR Måløv Byvej Måløv. Danmark. Databehandleren.

Retningslinjer for håndtering af sikkerhedsbrud vedrørende personoplysninger

Databehandleraftale. Mellem. DOF`s klubber. Konkret dataansvarlig klub. Databehandleren: Dansk Orienterings-Forbund (DOF) CVR:

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

Databrudspolitik i Luthersk Mission

BILAG 5 DATABEHANDLERAFTALE

Databehandleraftale. SMPLR ApS. 24. maj 2018 Version 1.0. Brandts Passage 15, Odense C

Retningslinjer om brud på persondata

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren TINX/DK A/S CVR

Bilag 6 Databehandleraftale v.1.1

Databehandleraftale. Mellem. Kunder. Foredragsholdere, musikere og underholdere. Databehandler: ARTE BOOKING CVR DALVEJ HASLEV

Databehandleraftale. Mellem. Den dataansvarlige: Arrangøren. Databehandleren. Eventbilletten ApS CVR Syvstjernen Munkebo.

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren

Brud på persondatasikkerheden

Databehandleraftale. Mellem. Den dataansvarlige kunde. Databehandleren. Øernes Revision Registreret revisionsaktieselskab.

Retningslinjer om brud på persondatasikkerheden

Cirkulæreskrivelse om Styrelsen for It og Lærings opgaver som databehandler i visse administrative systemer på undervisningsområdet

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

DATABEHANDLERAFTALE MELLEM

Persondatapolitik Vordingborg Gymnasium & HF

Databehandler aftale

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

DATABEHANDLERAFTALE. Saldi.dk ApS

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondata politik for GHP Gildhøj Privathospital

Brud på datasikkerheden

Standardvilkår. Databehandleraftale

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Informationsproces når persondata er blevet kompromitteret

Retningslinjer om brud på persondatasikkerheden

Persondataforordningen. Konsekvenser for virksomheder

Persondatapolitik for Aabenraa Statsskole

Databehandleraftale. Mellem. Den dataansvarlige (kunden): Navn : Cvr : Adresse : Postnummer & by : Databehandleren (leverandøren):

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

Databehandleraftale. Imellem: Dataansvarlig Terapi & Supervision Allehelgensgade Roskilde CVR: Kontaktperson:

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Persondatapolitik for Tørring Gymnasium 2018

Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Bilag X Databehandleraftale

Persondatapolitik for Odense Katedralskole

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. DoCAS Systems A/S CVR Jernbanegade 5, Ebeltoft

Databehandleraftale. Mellem. Den dataansvarlige: Firma Navn CVR Adresse Postnummer og by Land . Databehandleren

Databehandler. Til denne aftale hører to bilag. Bilagene er en del af aftalegrundlaget i nærværende databehandleraftale.

TDC ERHVERV MAILFILTER

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

VIDENPILOTERNE. Databehandleraftale. Databehandler: Dataansvarlig: Mellem. Videnpiloterne ApS Dalgas Plads 6, Herning.

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Retningslinje: Sådan håndterer du brud på persondatasikkerheden

Databehandleraftale. Mellem. Den dataansvarlige: Brugeren af Axolex systemet. Databehandleren. Axolex ApS CVR Strandesplanaden 110

N. Zahles Skole Persondatapolitik

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Databehandleraftale. Mellem. Den dataansvarlige: Navn: CVR: Adresse: Databehandleren. ExamCookie CVR Peder Skrams Gade 1, 1.tv.

Bilag A Databehandleraftale pr

Databehandleraftale. Mellem. Den dataansvarlige: Firmanavn. CVR xxxxxxxx. Adresse. Adresse. Danmark. Databehandleren

Persondatapolitik på Gentofte Studenterkursus

Bilag B Databehandleraftale pr

Version: 1.2 Side 1 af 5

Persondataforordningen. Hvad kan vi bruge KITOS til?

Persondata fra en it-vinkel. Dansk Fjernvarme

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren. Jydekrog ApS CVR

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

Overordnet organisering af personoplysninger

Introduktion til persondataforordning

Transkript:

Persondata Behandlingssikkerhed v/rami Chr. Sørensen

Behandlingssikkerhed Artikel 32 2

Behandlingssikkerhed art. 32 Henset til det aktuelle tekniske niveau og omkostningerne og i betragtning af behandlingens karakter, omfang, kontekst og formål og risikoen af varierende sandsynlighed og alvor for fysiske personers rettigheder træffer den DA og DB passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, herunder bl.a. i det nødvendige omfang: 1. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed i forbindelse med de systemer og tjenester, der behandler personoplysninger Logning, f.eks. SIEM systemer (aktiv teknisk sikkerhed) Pseudonymisering og kryptering (passiv teknisk sikkerhed) 3

Behandlingssikkerhed art. 32 fortsat 2. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til oplysninger i tilfælde af en fysisk eller teknisk hændelse (f.eks. beredskabsplan ved datasikkerhedsbrud) 3. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til at sikre behandlingssikkerhed 4. Krav om instruktion og autorisation 3

Behandlingssikkerhed art. 32 fortsat Forskellige tiltag: Dataminimering: Et grundlæggende princip for lovlighed i art. 5. men også et sikkerhedstiltag Anonymisering: At fjerne muligheden for at identificere enkeltpersoner i et datasæt ved brug af alle de hjælpemidler, som med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller andre. Pseudonymisering: Ikke anonymisering, men en proces, som fører til, at persondata ikke længere kan henføres til en registeret uden brug af supplerende information (supplerende information skal holdes adskilt) Kryptering: Ikke anonymisering, men sikkerhedstiltag, der gør data ulæselig for andre Alle sådanne processer bør løbende revurderes og testes 5

Anmeldelse af sikkerhedsbrist Artikel 33-34 6

Angreb opdages langsomt og tilfældigt 146 dage tager det i gennemsnit at opdage en kompromittering 53% af alle hændelser blev opdaget af eksterne 47% af alle hændelser blev opdaget internt 320 dage for en eksternt opdaget kompromittering 56 dage for en internt opdaget kompromittering så det normale er, at der efter nogle måneder kommer nogle eksterne og fortæller, at vi er blevet hacket 7

Hvad er en sikkerhedsbrist? Defineret i persondataforordningen art. 4(12) "et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet" Ens for private og offentlige dataansvarlige 8

Anmeldelse til Datatilsynet Hvornår udløses pligten? art. 33 Pligt for den dataansvarlige til at anmelde datasikkerhedsbrist til Datatilsynet Undtagelse: "medmindre bristen sandsynligvis ikke vil føre til en risiko for fysiske personers rettigheder og frihedsrettigheder" Hvornår: "Uden unødig forsinkelse og om muligt senest 72 timer efter at være blevet bekendt med datasikkerhedsbristen." "uden unødig forsinkelse" vurderes særligt ud fra karakteren og alvoren af bristen og ud fra konsekvenser og skadevirkninger for den registrerede. (Bet. 87) Pligt til at begrunde, hvis man går ud over 72 timer Men oplysninger kan gives i faser 9

Anmeldelse til Datatilsynet Hvad skal anmeldelsen indeholde? art. 33 (3) Beskrivelse af karakteren af bristen, herunder om muligt kategorierne og det omtrentlige antal af berørte registrerede kategorierne og det omtrentlige antal af berørte registreringer Navn på DPO eller kontaktperson for yderligere oplysninger Beskrivelse af de sandsynlige konsekvenser af bristen Beskrivelse af de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for behandle bristen, herunder hvor det er passende, foranstaltninger til at begrænse mulige skadevirkninger 11

Underretning til den registrerede Art. 34 Pligt for den dataansvarlige til at underrette den registrerede om datasikkerhedsbristen Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder" Men den dataansvarlige har bevisbyrden for, at betingelsen ikke er opfyldt, i overensstemmelse med princippet om ansvarlighed 12

Underretning til den registrerede Art. 34 fortsat Hvornår: "Uden unødig forsinkelse" efter at være blevet bekendt med datasikkerhedsbristen men ikke en frist på 72 timer "uden unødig forsinkelse" fastlægges bl.a. ud fra behovet for registrerede for at kende til sikkerhedsbristen, sådan at personen kan reagere. Umiddelbar risiko for skade kræver øjeblikkelig underretning (Bet. 86) "uden unødig forsinkelse" vurderes særligt ud fra karakteren og alvoren af bristen, og ud fra konsekvenser og skadevirkninger for den registrerede (Bet. 86) 13

Underretning til den registrerede Art. 34 fortsat Underretning kan undlades hvis: a) Den dataansvarlige har implementeret passende tekniske og organisatoriske sikkerhedsforanstaltninger i forhold til de berørte persondata, herunder særligt foranstaltninger der gør, at de personer der får persondata i hænde ikke kan tilgå oplysningerne, f.eks. Kryptering b) Den dataansvarlige har taget efterfølgende skridt, som sikrer, at den høje risiko for fysiske personers rettigheder og frihedsrettigheder sandsynligvis ikke vil materialisere sig c) Det vil være disproportionalt at orientere den registrerede direkte. I stedet kan der gives offentlig meddelelse mv. med samme virkning (pressemeddelelse) Datatilsynet kan pålægge den dataansvarlige at orientere de berørte registrerede 14

Underretning til den registrerede 10

Spørgsmål? 15

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback