Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft den 25. maj 2018.

Relaterede dokumenter
Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft d. 25. maj 2018.

Aftale vedrørende fælles dataansvar

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Persondatapolitik for Tørring Gymnasium 2018

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Behandling af personoplysninger

INFORMATIONS- OG INDIVIDSIKKERHED (IOI) VEJLEDNING: REGISTREREDES RETTIGHEDER. Version 1.1

Persondatapolitik på Gentofte Studenterkursus

Persondatapolitik Vordingborg Gymnasium & HF

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondata politik for GHP Gildhøj Privathospital

Aftale vedrørende fælles dataansvar

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

N. Zahles Skole Persondatapolitik

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Databehandleraftale (v.1.1)

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Persondatapolitik for Odense Katedralskole

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Bilag 1 Databehandler aftale (v.1.2)

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Retningslinjer om brud på persondatasikkerheden

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Standardvilkår. Databehandleraftale

Brud på datasikkerheden

GML-HR A/S CVR-nr.:

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede

Retningslinjer om brud på persondata

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Retningslinjer om brud på persondatasikkerheden

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

Databehandleraftale (Skabelon fra Datatilsynet)

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

HÅNDTERING AF HENVENDELSER VEDRØRENDE REGISTREREDES RETTIGHEDER

Databehandleraftale. Mellem. Dataansvarlig: Kunden

1 Indhold. Side 2 af 15

Krav og vejledning til kommunernes fremtidige it-udbud

Vi passer på dine persondata

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Databehandleraftale. Mellem. Den dataansvarlige: (Virksomhedsnavn) (CPR) (Adresse) Databehandleren. Work Balance Institute ApS CVR:

BILAG 5 DATABEHANDLERAFTALE

Bilag 4: Udkast til kommunal drejebog for Serviceplatformen (Hører til dagsordenspunkt 9: Krav og vejledninger til kommunernes kravspecifikationer)

Tjekliste til databehandleraftaler

PERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger... 2

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

September Indledning

RETNIGSLINJER OM SIKRING AF REGISTREREDES RETTIGHEDER

Databehandleraftale. Mellem. Kunder. Foredragsholdere, musikere og underholdere. Databehandler: ARTE BOOKING CVR DALVEJ HASLEV

Støttesystemerne. Det er tid til

PERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger ) Generelt om databeskyttelse Gennemsigtighed og samtykke...

ORDINÆR GENERALFORSAMLING I H. LUNDBECK A/S - HÅNDTERING AF PERSONOPLYSNINGER

De registreredes (kursisters) rettigheder i databeskyttelsesforordningen

Persondatapolitik. Dataansvarlig Paarup Hansen ApS Enghaven Roskilde Danmark CVR-nr.:

GML-HR A/S CVR-nr.:

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Privatlivspolitik. TEKNIK OG MILJØ AffaldVarme Aarhus Aarhus Kommune

10. sept 2013 NOTAT. Integrationsmodel støttesystemer

BILAG TILSYN OG EGENKONTROL UDFØRT DEN [INDSÆT: DATO]

Databehandler aftale

! Databehandleraftale

Databehandleraftale. Mellem. Den dataansvarlige (kunden): Navn : Cvr : Adresse : Postnummer & by : Databehandleren (leverandøren):

Dine rettigheder, når regionen behandler oplysninger om dig

OS2kravmotor Håndtering af GDPR

Persondatapolitik for

Persondatapolitik for

Introduktion til persondataforordning

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Per Løkken, Partner. CAMPUS November 2018

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren TINX/DK A/S CVR

Databehandleraftale. Mellem. DOF`s klubber. Konkret dataansvarlig klub. Databehandleren: Dansk Orienterings-Forbund (DOF) CVR:

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

KOMBIT OG SIKKERHED NU, OM LIDT OG FREMTIDEN

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

Bilag 6 Databehandleraftale v.1.1

PERSONDATAPOLITIK (EKSTERN)

Lector ApS CVR-nr.:

Retningslinje om de registreredes rettigheder

Komiteen for Sundhedsoplysning CVR-nr.:

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

Transkript:

Brev til kommunale kontakter for Kommunernes Data Infrastruktur (KDI), der omfatter de to it-infrastrukturløsninger, Serviceplatformen og Støttesystemerne Kære KDI kontaktperson Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft den 25. maj 2018. I den forbindelse gør KOMBITs projekter/løsninger status på deres GDPR-arbejde. Du modtager derfor denne status for KDI. Generelt om KOMBITs arbejde med GDPR Siden starten af 2017 har et internt projekt i KOMBIT arbejdet på at sikre, at alle løsninger indkøbt på vegne af kommuner, indfrier GDPR, når den træder i kraft den 25. maj 2018. I den forbindelse har samtlige projekter/løsninger fra KOMBIT, der har nogen som helst berøring med personoplysninger, fået udstukket fire opgaver. Projekterne har først kortlagt de datatyper og datastrømme, som den enkelte løsning behandler og understøtter. Det sker bl.a. for at opfylde GDPR s fortegnelseskrav. Med denne forudsætning på plads, har hver enkelt projekt/løsning skulle forholde sig til, hvordan registreredes rettigheder understøttes og håndteres i løsningen. Vi gør nærmere rede for dette længere nede i dette brev. Den tredje opgave har været at gennemføre en risikovurdering for løsningen, hvor der er taget afsæt i de såkaldte ISO-standarder som også er fundamentet for KL s drejebog for det kommunale arbejde med informationssikkerhed. Risikovurderingen for de enkelte løsninger udgør jeres kommunes fundament for den it-tekniske risikovurdering af jeres arbejde med løsningen. Som den fjerde opgave har alle projekter med væsentlige risici skulle forholde sig til disse i en såkaldt Risikohåndtering. Dette har for nogle løsningers vedkommende givet anledning til ekstra udvikling og kan også betyde enkelte opgaver til jer i kommunen. Nedenfor gør vi status på arbejdet for KDI, og de tiltag vi har taget, for at blive klar til GDPR den 25. maj. Du kan læse mere om KOMBITs arbejde med GDPR her. Status på KDI s arbejde med GDPR Vi har i KDI projektet naturligvis været igennem ovenstående opgaver for at kortlægge, hvor KDI står i forhold til den nye forordning. Dette arbejde har vist, at KDI er rigtig godt med, hvorfor der ikke kræves de store tiltag for at indfri kravene fra GDPR. Risikovurderingen har vist, at KDI systemmæssigt er konfigureret på en måde, der sikrer et passende sikkerhedsniveau. De implementerede sikkerhedsforanstaltninger i KDI er nærmere beskrevet i databehandleraftalens bilag 1, der er fremsendt til jer den 7. maj 2018 sammen med de nye databehandleraftaler. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 1/6

Som I sikkert allerede har opdaget, varierer de nye databehandleraftaler ikke væsentligt fra de nuværende behandleraftaler. Men de er særligt skærpet i forhold til en mere ensartet beskrivelse af blandt andet datastrømme og sikkerhedstiltag på tværs af KOMBITs løsninger. Databehandleraftalen er udarbejdet på baggrund af den skabelon, som KL og KOMBIT har skrevet med hjælp fra en række kommuner. KDI s leverandører er ansvarlige for at levere dokumentation for sikkerhedsprocedurer, og her håndterer projektet eventuelle afklaringer direkte med leverandørerne af de to løsninger i KDI s infrastruktur, KMD og Systematic. Vi har ikke identificeret årsager til at foretaget tilretninger for at KDI s løsninger kan understøtter de registreredes rettigheder tilstrækkeligt. Kommunens opgaver De fleste opgaver i forbindelse med tilpasning af KDI s løsninger i forhold til GDPR ligger enten hos KOMBIT eller hos leverandørerne af løsningerne. Der er dog en enkelt opgave, som din kommune skal løse for at sikre indfrielse af GDPR. Da KDI s løsninger har en brugergrænseflade, skal det fremgå af løsningen, hvem der er DPO (Data Protection Officer / Databeskyttelsesrådgiver) i den aktuelle kommune, som en bruger af løsningen måtte søge under. På den måde vil brugere af KDI s løsninger til enhver tid være informeret om, hvem de kan kontakte, hvis de har spørgsmål til behandlingen af personoplysninger. Dette navn skal indsættes i forbindelse med underskrift af de fremsendte databehandleraftaler. Derudover bør kommunen forholde sig til, hvordan man vil løfte håndtering af registreredes rettigheder i forlængelse af nedenstående redegørelse. Registreredes rettigheder I dette afsnit finder du et overblik over de artikler fra Databeskyttelsesforordningen, der omhandler den registreredes rettigheder. KDI er ansvarlig for en række it-infrastrukturelementer, herunder Serviceplatformen og Støttesystemerne. I langt de fleste tilfælde fungerer infrastrukturen blot som en transportkanal mellem et kildesystem og en datamodtager, hvor data opbevares i kortere eller længere tid på rejsen gennem infrastrukturen. I disse scenarier vil en opdatering i et kildesystem automatisk slå igennem, dvs. opdateringerne overføres gennem infrastrukturen til modtagersystemerne (datakunder). I disse scenarier er det vurderet, at håndtering af registreredes rettigheder i forhold til sletning og berigtigelse bør ske ved kilden, idet infrastrukturen blot vil være en afspejling af kilden: En berigtigelse af CPR data skal således ske i CPR registret, hvorefter Serviceplatformens replika automatisk vil blive opdateret ved næste synkronisering. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 2/6

Det samme gælder Støttesystemerne Sags- og Dokumentindeks samt Ydelsesindeks, som ikke er autoritive kilder, men blot opbevarer et indeks med metadata om sager/dokumenter/ydelser registreret i fagsystemer. På tilsvarende vis skal berigtigelse og sletning ske i disse fagsystemer, hvorefter indekserne automatisk bliver opdateret. Eksempel: For samtlige af Serviceplatformens gennemstillingsservices bliver der kun hentet og udleveret de data, som et fagsystem/anvendersystem hos en datakunde har rettigheder til i henhold til de indgåede serviceaftaler. Data bliver gennemstillet direkte fra datakilde til datakunde via KDI. Der sker således ikke en selvstændig behandling data i KDI. På baggrund af disse overvejelser er det vurderingen, at håndtering af registreredes rettigheder som hovedregel bør håndteres af de autoritative kilde- og fagsystemer samt af de modtagersystemer, som abonnerer på data, og dermed ikke i infrastrukturen. Dette understøttes af, at det er fagsystemerne, som kender formålet og behandlingsgrundlaget med den konkrete behandling (oplysninger, som skal gives i henhold til GDPR artikel 13-15), samt andre konkrete oplysninger om behandlingen, fx hvor lang tid data opbevares. I det efterfølgende har vi ud for de relevante GDPR artikler angivet, i hvilket omfang KOMBIT og KDI kan bistå kommunerne med at håndtere de registreredes rettigheder. Artikel 12 Håndteringen af udøvelsen af den registreredes rettigheder Artikel 13 Såfremt en borger ønsker at udøve sine rettigheder, er det ikke muligt for borgeren at kommunikere med kommunen herom gennem den fælleskommunale infrastruktur. De krav, der stilles til håndteringen af registreredes rettigheder i artikel 12, skal derfor løftes af kommunen, eller direkte ved de autoritative kilde- og fagsystemer. KDI indsamler ikke data direkte fra den registrerede. Oplysningspligt ved indsamling af personoplysninger hos den registrerede KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 3/6

Artikel 14 Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede Artikel 15 Den registreredes indsigtsret Da det er fagsystemerne, der kender formålet med indsamlingerne, løses denne opgave i de enkelte fagsystemer, der anvender den fælleskommunale infrastruktur og hos kommunerne. Behandlingen af personoplysninger foregår primært i kommunernes fagsystemer, der anvender den fælleskommunale infrastruktur og hos de autoritative datakilder (så som SKAT, STAR, ATP osv.), som bidrager med data til den kommunale sagsbehandling. Derfor vil det naturligt være i de løsninger, at oplysninger hentes. Den fælleskommunale infrastruktur sender alle oplysninger fra de autoritative kilder videre til fagsystemerne i kommunen. KDI understøtter derfor ikke på nuværende tidspunkt nogen særskilt funktionalitet til håndtering af indsigtsret. Artikel 16 Ret til berigtigelse Artikel 17 Ret til sletning Hvis data skal berigtiges i den fælleskommunale infrastruktur, skal det gøres direkte ved de autoritative kilde- og fagsystemer. Derved vil data i den fælleskommunale infrastruktur automatisk blive rettet. Data kan sagtens slettes i den fælleskommunale infrastruktur, men det anbefales, at det gøres direkte ved de autoritative kilde- og fagsystemer. Derved vil data i den fælleskommunale infrastruktur automatisk blive opdateret. Artikel 18 Ud over at transportere data, sker der ikke nogen selvstændig behandling i Den fælleskommunale infrastruktur. Ret til begrænsning af behandling Artikel 19 Da der ikke sker en berigtigelse, sletning eller begrænsning af behandling, er KDI ikke omfattet af underretningspligten. Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 4/6

Artikel 20 Det vurderes ikke, at KDI er omfattet af artikel 20. Ret til dataportabilitet Artikel 21 Da der ikke sker en berigtigelse, sletning eller begrænsning af behandling, er KDI ikke omfattet af retten til indsigelse. Ret til indsigelse Artikel 22 Denne bestemmelse vurderes ikke relevant for KDI, da der ikke træffes automatiske afgørelser i Den fælleskommunale infrastruktur. Automatiske individuelle afgørelser, herunder profilering Håndtering af evt. brud på persondatasikkerheden (Databeskyttelsesforordningen art. 33-34) En afgørende faktor i forbindelse med brud på persondatasikkerhed er reglen om, at en hændelse skal håndteres uden unødig forsinkelse og senest indenfor 72 timer. KOMBIT har i længere tid arbejdet med et fast sikkerhedsberedskab, der såvel historisk set som fremadrettet altid vil reagere og rette eventuelle sikkerhedsbrister indenfor mindre end 72 timer. For at sikre hurtig reaktion og rettelse, er det imidlertid vigtigt, at kommunerne hurtigt bringer eventuelle henvendelser om sikkerhedsbrud videre til leverandørerne af den berørte løsning. Leverandøren vil herefter orientere KOMBIT, der straks vil sætte sit sikkerhedsberedskab i værk. KOMBITs Videncenter arbejder derfor også på at nedfælde og dele faste processer for sikkerhed i relationen mellem kommunerne og KOMBIT. Efter et opdaget sikkerhedsbrud køres alle processer imellem KOMBIT og berørte kommuner via sikker mail. Leverandørerne er forpligtet til at levere en redegørelse, så berørte kommuner kan få et fuldt overblik over hændelsens årsag, omfang og berørte indenfor 24 timer. I KOMBITs proces for håndtering af brud på persondatasikkerhed er det kommunen, der vurderer, om hændelsen skal anmeldes til Datatilsynet, og kommunen selv der har ansvaret for at sende anmeldelsen til Datatilsynet. Kommunerne er også selv ansvarlige for at vurdere, om registrerede skal underrettes (i henhold til artikel 34), ligesom det er kommunen, der varetager selve underretningen. KOMBITs opgave ligger således i at indsamle informationer om sikkerhedsbruddet til kommunen, mens kommunen er ansvarlig for at foretage det videre fornødne for at opfylde kravene i artikel 33 (anmeldelse til Datatilsynet) og artikel 34 (underretning af registrerede). KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 5/6

Det er vigtigt, at kommunen er opmærksom på at have et beredskab klar til at modtage redegørelser fra KOMBIT i forbindelse med sikkerhedsbrud. Vilkårene for at benytte de udstillede data på Serviceplatformen GDPR compliance eller ej, så er det vigtigt, at kommunen altid er opmærksom på vilkårene for at benytte de data, der er udstillet på Serviceplatformen. Spørgsmål Kan altid rettes til KDI s projektpostkasse KDI@kombit.dk. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 6/6

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback