IT-SIKKERHED HOS MOBILIZE ME APS

Relaterede dokumenter
DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Retningslinjer for frivilliggrupper. Persondata

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav

Information til nye kunder

Har I styr på reglerne? Forsyningsselskabers behandling af persondata

Skema til kortlægning af dataflow i STIL s produkter

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Indholdsfortegnelse Fortroligheds- og beskyttelsespolitik... 3

DATABEHANDLERAFTALE Version 1.1a

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Anmeldelse af behandling af data

Databehandleraftale. om [Indsæt navn på aftale]

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

Driftskontrakt. Databehandleraftale. Bilag 14

Forslag til nye felter i OS2-kitos til understøttelse af GDPR-arbejdet

Persondatapolitik i Dansk Oplysnings Forbund

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

Bilag 1 Databehandlerinstruks

Behandling af personoplysninger

Kontraktbilag 7: Databehandleraftale

Persondatapolitik i musikskolen SPIL OP

Politik for behandling af oplysninger

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Tønder Kommune BILAG 10

Dette dokument indeholder grundoplysninger vedr. GDPR-området i AIMS International Danmark / Totem Search & Selection

origo Databehandleraftale

Persondataforordningen. Dialogmøder, April 2018

Ny persondataforordning

Databehandlerinstruks

Retningsgivende databehandlervejledning:

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Politikken beskrivelser hvordan vi behandler persondata om vores medlemmer og netværk.

Skau Reipurth & Partnere Advokatpartnerselskab FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Udarbejdet: Næste revision:

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Politik for informationssikkerhed i Plandent IT

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]


Persondatapolitik Skolen for Kunst & Design

Persondataworkshop. Vandhuset 14. november 2016 D

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

IT-Ansvar God skik og ansvarlighed. Persondataforordningen. Jørgen Granborg

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

MELLEM København S. (herefter SKI )

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Persondatapolitik for Skandinavisk Yoga og Meditationsskole

Procedure for tilsyn af databehandleraftale

Den virksomhed, som er ansvarlig for behandling af dine personoplysninger, er:

Persondatapolitik for Musikhøjskolen, Frederiksberg Musik og Kulturskole, og Musikhøjskolens Aftenskole

Politik til beskyttelse af personlige oplysninger

BILAG 5 DATABEHANDLERAFTALE

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

PROCEDURE FOR TRANSPORT AF FYSI- SKE MEDIER INDEHOLDENDE PERSON- DATA

Ordliste begreber om håndtering af personoplysninger til patientbehandling og forskningsbrug

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata

Tilladelsen gives på følgende vilkår:

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

PRIVATLIVSPOLITIK. for. Startup Central ApS ( Selskabet )

Persondatapolitik i Suka

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

Tøystrup Gods udfører al håndtering af personlige data i overensstemmelse med gældende lovgivning.

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration

Guide til sikker it. Daglig brug Programmer Internet Databehandling

PERSONDATABESKYTTELSESPOLITIK FOR ADVOKATFIRMAET KRARUP

opfylde vores kontraktuelle forpligtelser over for dig, samt at

FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Område: Udarbejdet: Næste revision:

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Behandling af personoplysninger i rekrutteringsprocessen

HJULMANDKAPTAIN PERSONDATA REGLER OG IMPLEMENTERING. OPLÆG TIL DANSKE BUSVOGMÆND DEN 29. NOVEMBER 2017 Advokat Karina Søndergaard

Cloud Computing De juridiske aspekter

Privatlivspolitik for Rudolf Steiner børnehaven Nordstjernen

VEJLEDNING. om specialklubbernes håndtering af medlemmernes personoplysninger

PERSONDATAPOLITIK 1. INTRODUKTION

Privatlivspolitik for tilmeldte til SocialBar

IT-instruks og instruks om brugen af persondata for Vejle Golf Club Gældende fra den 24. maj 2018

persondataforordningen

PRIVATLIVSPOLITIK. Hjemmeside Ved besøg på vores hjemmeside indsamler vi følgende oplysninger om dig:

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik

Dine personoplysninger vil blive indsamlet og håndteret af os med henblik på følgende formål:

PERSONDATAPOLITIK FOR Café Paraplyen - Frederiksberg

1 Informationssikkerhedspolitik

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Offentlig politik for jobansøgere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Håndtering af EU s Persondataforordning hos The Old Irish Pub A/S

Fællesmøde for flis- og brændselspillegruppen samt halmgruppen

Her er resultatet af din test

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

District or. Vejledning til Zonta klubber Sådan behandler vi persondata

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Iagttagelse af Datatilsynets vilkår, databehandleraftaler, og den dataansvarliges kontrol med databehandlere.

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Persondatapolitik for Dahmlos Security [OFF] Gyldig fra d INDLEDNING DATAANSVAR BEHANDLING AF PERSONDATA...

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Sådan behandler vi dine personlige oplysninger

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Transkript:

IT-SIKKERHED HOS MOBILIZE ME APS En gennemgang til kommuner Mobilize Me ApS, Åbogade 15, 8200 Aarhus N Side 1 af 7

Indholdsfortegnelse INDLEDNING 3 IT-SIKKERHED HOS MOBILIZE ME APS - FAQ 3 BRUGERSTYRING 4 SYSTEMEJER 5 DATABEHANDLERAFTALE 5 BRUGEN AF PASSWORD 5 PINKODEBESKYTTELSE AF DEVICES 5 PERSONFØLSOMME OPLYSNINGER 6 PERSONHENFØRBARE DATA 6 BRUG AF BILLEDER 6 SAMTYKKEERKLÆRINGER 7 TEKSTBESKEDER 7 PROCES FOR AKTINDSIGT 7 PROCES FOR BORTKOMMET UDSTYR 7 Side 2 af 7

INDLEDNING I dette dokument tager vi jer igennem en række sikkerhedsmæssige overvejelser, som er forbundet med at implementere Mobilize Me ApS værktøjer i en kommune. Vejledningen er bygget således op, at vi indleder med at besvare de spørgsmål, som vi oftest bliver mødt af hos kommunerne. Spørgsmålene er overvejende af teknisk art og vedrører selve systemets opbygning. Herefter beskriver vi, hvilke ansvarsområder, der bør uddelegeres, inden værktøjet tages i anvendelse. Dette handler primært om, at I som kommunen bør sikre jer, at nogen tager ansvar for den daglige håndtering af administrationsopgaver, som er forbundet med værktøjet. Til sidst beskriver vi en række procedurer, som skal hjælpe jeres personale med at håndtere værktøjet i dagligdagen på den bedste og sikreste måde. Heri indgår bl.a. også retningslinjer for daglig brug af værktøjet ift. personfølsomme oplysninger og personhenførbart data. Skulle I have yderligere spørgsmål, så kontakt os gerne på: kontakt@mobilize-me.com IT-SIKKERHED HOS MOBILIZE ME APS - FAQ 1. Ligger det borgerrelaterede indhold lokalt på ipad /smartphone? Ja, der ligger lokalt indhold på borgernes device, fordi det har vist sig som et konkret behov, at borgerne kan tilgå deres data i offline tilstand. De oplysninger, som ligger cached, er dog ikke nødvendigvis personhenførbare data, og de bliver udelukkende lagt ind af borgernes relaterede ressourcepersoner og fagpersonale. Oplysningerne kan f.eks. være Indkøb i brugsen eller Legeaftale med Mikkel, med understøttende billeder heraf. Når borgerne logger sig ud af værktøjet, bliver alle cachede oplysninger slettet. 2. Eller er indholdet udelukkende lagret centralt på en server / cloudløsning? Mobilize Me ApS lagrer oplysningerne centralt i en cloudløsning i Danmark på nationale servere. Dermed bliver relevante data synkroniseret med borgerens device, når borgeren har brug for dem. 3. Vil registrerede personoplysninger være beskyttede i Mobilize Me ApS sikkerhedsforanstaltninger, i henhold til Persondataloven og Sikkerhedsbekendtgørelsen og dennes vejledning? Ja, vores centrale leverandør er underlagt revision af ISO27000 og fællesstatslige standard for informationssikkerhed (DS484) Side 3 af 7

4. Hvordan er de supplerende tekniske sikkerhedsforanstaltninger for personfølsomme oplysninger? Vi logger alle aktiviteter på vores system - fx transaktionslogning og logning af afviste adgangsforsøg. Derudover er der mulighed for differentiering på roller og rettigheder, hvis der er et fagligt behov for det. 5. Anvendes der stærk kryptering over åbne netværk? Ja, der er SSL-kryptering af al trafik. 6. Hvor høj kryptering bruger I? Vi bruger en 2048 bit krypteringsnøgle. 7. Hvem hoster de data, der benyttes af Mobilize Me ApS? Vores leverandør er Cloud.dk - deres sikkerhed bliver beskrevet på følgende side: http://www.cloud.dk/da/teknik/sikkerhed 8. Hvis dataanmeldelse er et krav fra vores kommune, er det så noget I gør? Ja, vi udarbejder gerne en dataanmeldelse med den pågældende kommune 9. De oplysninger, der registreres ifm. den enkelte persons licens, er de beskyttet af anerkendte sikkerhedsforanstaltninger? Ja, Mobilize Me ApS benytter sig af e-conomic, som er et anerkendt regnskabsprogram, der også vægter datasikkerhed højt og som årligt overholder revisionsstandarden RS 3000. Deres sikkerhed bliver beskrevet på følgende side: http://www.e-conomic.dk/regnskabsprogram/sikkerhedteknik/sikkerhed Side 4 af 7

BRUGERSTYRING Lokal administrator: Vi anbefaler, at man udvælger en eller flere lokale administratorer, som har adgang til at oprette, nedlægge og redigere i brugernes profiler. Ved at have lokale administratorer sikrer I jer, at der kan foretages en hurtig og effektiv reaktion, hvis der sker noget uventet, som fx tab af udstyr. Central brugerstyring: Hvis kommunen i forvejen anvender et centralt styresystem, kan man selvfølgelig også lægge administratorrettighederne der. Det er dog vigtigt, at tage stilling til, hvem der står for administrationen, så det er tydeligt for personalet, hvem de skal henvende sig til, når de har brug for ændringer. Hvis I skulle have brug for et tilbud på integrering af værktøjer fra Mobilize Me ApS til jeres eksisterende systemer, så kontakt os gerne. SYSTEMEJER Det er vigtigt at udpege en systemejer, som er ansvarlig for it-sikkerhed, drift, vedligeholdelse og kontraktlige forhold ift. Mobilize Me ApS. Systemejeren tager ansvar for at holde sig opdateret ift. retningslinjer for brug af værktøjet og holde personalet ajour med opdateringer, ændringer mm. Se mere herom på digitaliseringsstyrelsens hjemmeside. DATABEHANDLERAFTALE Det er Mobilize Me ApS klare anbefaling, at vi indgår en databehandleraftale ifm. samarbejdet. I en databehandleraftale overtager vi ansvaret for den data, som opbevares på vores servere, og I undgår dermed ansvaret for noget, I ikke har kontrol over. Det synes vi, giver bedst mening for alle. BRUGEN AF PASSWORD Som i alle andre systemer, er det selvfølgelig vigtigt, at brugerne ændrer passwordet, så det bliver personligt. Det kan man gøre inde i app en. Et stærkt password indeholder disse elementer: Er minimum 8 tegn langt Indeholder både små og store bogstaver Indeholder tal Indeholder specialtegn (&%#) Side 5 af 7

PINKODEBESKYTTELSE AF DEVICES Vi opfordrer derudover kraftigt til, at brugeren benytter sig af pinkode eller touch ID på sin device. Skulle det ske, at brugeren mister sin device, imens vedkommende er logget ind, vil en tredjepart kunne åbne app en og få adgang til brugerens data - indtil brugerkontoen er lukket. PERSONFØLSOMME OPLYSNINGER Mobilize Me ApS værktøjer er lavet til at kunne håndtere personfølsomme oplysninger, men det er ikke formålet med dem. Vi anbefaler derfor, at man ikke bevidst lægger oplysninger ind i værktøjet, som vedrører borgerens personfølsomme oplysninger såsom: Oplysninger om helbredsforhold Straffeattest og andre tilsvarende rent private forhold Personlighedstest m.v. Racemæssig eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Seksuelle forhold Væsentlige sociale problemer PERSONHENFØRBARE DATA I sin korte form, dækker personhenførbare data over informationer, som med rimelighed kan forventes at føre tilbage til en fysisk person. Det kan fx være identifikationsoplysninger (navn, adresse osv.) eller familieforhold. Disse oplysninger er ikke følsomme, men de skal alligevel behandles med omhu. Vi anbefaler, at man for så vidt muligt undgår at lægge personhenførbare data ind i værktøjet, men nøjes med oplysninger som relaterer sig til borgerens brug af værktøjet. BRUG AF BILLEDER Billeder er en stor del af Mobilize Me ApS værktøjer og et særdeles effektivt virkemiddel ift. vores brugere. Det er dog vigtigt, at personalet har for øje, at der ikke må indgå personfølsomme oplysninger, når der tages billeder. Personalet må fx ikke tage billeder af: Et pilleglas, hvor der er påtrykt et CPR-nummer Et religiøst tidsskrift En kuvert/et dokument med navn og adresse Side 6 af 7

SAMTYKKEERKLÆRINGER Hvis der er brug for at tage et billede af en anden person, er det vigtigt at man har et samtykke fra ham/hende. Personen skal være bevidst om, at han/hun bliver fotograferet, og man kan med fordel indhente en samtykkeerklæring. Man må gerne tage et billede af en forsamling (til en fest, et kursus eller lignende), uden at indhente samtykke, så længe der ikke er enkelte personer i fokus. TEKSTBESKEDER Generelt gælder der de samme retningslinjer for tekstbeskeder, som for brug af billeder: Skriv ikke om personfølsomme oplysninger og undgå for så vidt muligt personhenførbar data. PROCES FOR AKTINDSIGT Hvis en borger beder om aktindsigt hos sin støtteperson, henvender denne sig til den lokale administrator. Han eller hun tager skriftlig kontakt til Mobilize Me ApS og beder om de relevante data. Vi leverer data tilbage, som sendes i en sikker mail direkte til borgeren. PROCES FOR BORTKOMMET UDSTYR Skulle det ske, at en bruger mister sin device, skal der tages kontakt til den lokale administrator, som sørger for at deaktivere brugeren profil. Alle brugerens data forbliver gemte på vores server, men man vil ikke kunne logge ind på brugerens profil, før den aktiveres igen. Skulle det ske, at devicen er offline, kan vi ikke nå den, og man vil derfor kunne tilgå kontoens dagsstruktur, indtil der igen er netforbindelse. Side 7 af 7

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback