Retningslinjer for indgåelse af databehandleraftaler

Relaterede dokumenter
Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Retningslinje om dataansvarlig/databehandler

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Landsforeningen Lænkens Databeskyttelsespolitik

Retningslinje om fortegnelser over behandlingsaktiviteter

BILAG 14: DATABEHANDLERAFTALE

Retningslinje om fortegnelser over behandlingsaktiviteter

Retningslinje om fortegnelser over behandlingsaktiviteter

Brud på datasikkerheden

Retningslinje om databeskyttelsesrådgivere

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Retningslinje om databeskyttelsesrådgivere

Notat. Databeskyttelsesrådgiver. Anvendelsesområde. Formål. Definitioner. Retningslinje om databeskyttelsesrådgivere. Danske Gymnasiers medlemsskoler

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Retningslinjer om brud på persondatasikkerheden

Retningslinje om fortegnelser over behandlingsaktiviteter

Aftale omkring behandling af persondata.

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Datapolitik/databehandlingsrapport

Databeskyttelsespolitik for advokatanpartsselskabet Vibeke Westergaard

Kontraktbilag 3. Databehandleraftale

Retningslinjer om brud på persondatasikkerheden

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Forsvarsministeriets Materiel- og Indkøbsstyrelse

BILAG 5 DATABEHANDLERAFTALE

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Persondatapolitik. - Gæst - Skallerup Seaside Resort A/S

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Bilag B Databehandleraftale pr

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

DATABEHANDLERAFTALE Version 1.1a

PERSONDATAPOLITIK (EKSTERN)

Retningslinje om de registreredes rettigheder

Retningslinjer om brud på persondata

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

Maj 2018 Retningslinje om de registreredes rettigheder på Frederiksberg Gymnasium

Retningslinje om risikovurdering

Bilag A Databehandleraftale pr

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

J U H L - S Ø R E N S E N

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Databehandlere. Marts 2019

Persondataforordning. GRUNDEJERFORENINGEN Skt. Klemens. Intern beskrivelse for behandling af personoplysninger

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

"forordningen" i det følgende) og gælder for alle ansatte på Midtfyns Gymnasium, der behandler personoplysninger.

3 Omfattede typer af personoplysninger og kategorier af registrerede

I denne privatlivspolitik beskriver vi vores behandling af oplysninger om kunder.

Tønder Kommune BILAG 10

Kontraktbilag 7: Databehandleraftale

Formålet med denne retningslinje er at sikre, at Nykøbing Katedralskole foretager den fornødne risikovurdering ved behandling af personoplysninger.

Persondatapolitik for Jesperhus Legindvej 30, 7900 Nykøbing Mors

Persondataforordning. Grundejerforeningen Kongshøjparken. Intern beskrivelse for behandling af personoplysninger

Tøystrup Gods udfører al håndtering af personlige data i overensstemmelse med gældende lovgivning.

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever,

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

! Databehandleraftale

PERSONDATAPOLITIK ekstern persondatapolitik til hjemmesiden

Databehandleraftale ISS

Formålet med denne retningslinje er at sikre, at Nykøbing Katedralskole udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

PRIVATLIVSPOLITIK FOR A/B EMDRUPHOLM

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

Privatlivspolitik for Fødevareforbundet NNF

PERSONOPLYSNINGER INDSAMLER

Privatlivspolitik Nuværende og tidligere kunder hos VandCenter Syd as

Persondatapolitik for TAGARNO A/S

Wila A/S persondatapolitik

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

2.1 Vi behandler persondata og har derfor vedtaget denne persondatapolitik, der beskriver, hvordan vi behandler persondata.

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Bilag 1 Databehandler aftale (v.1.2)

Privatlivspolitik for forbrugere hos Hedensted Fjernvarme a.m.b.a.

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Databehandleraftale (v.1.1)

FAQ. Nye databehandleraftaler til eksisterende KMD-løsningsaftaler. Version 1 januar 2018

Persondata på Københavns Universitet

Formålet med denne retningslinje er at sikre, at Ringkjøbing Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Persondata politik for GHP Gildhøj Privathospital

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Persondatapolitik for Aabenraa Statsskole

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Formålet med denne retningslinje er at sikre, at Midtfyns Gymnasium foretager den fornødne risikovurdering ved behandling af personoplysninger.

Orientering om og vejledning til indmeldelsesblanket, indhentelse af nye samtykker på Sankt Nikolaj Skole.

Persondatapolitik for Tørring Gymnasium 2018

Retningslinje om behandlingsgrundlag (hjemmel)

Persondataforordningen og lokalforeningen

Persondatapolitik Vordingborg Gymnasium & HF

PERSONDATAPOLITIK. Håndtering af personoplysninger om kunder, samarbejdspartnere mv. hos Seafood Sales ApS

Forslag til nye felter i OS2-kitos til understøttelse af GDPR-arbejdet

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Transkript:

DIGITALISERINGSSEKRETARIATET Dato: 6. august 2018 Tlf. dir.: 2069 1292 E-mail: anh6@balk.dk Kontakt: Anne Ruth Hansen Sagsnr.: 85.10.01-A26-1-10 Retningslinjer for indgåelse af databehandleraftaler 1. Alle databehandleraftaler skal sendes til S-DIG Der er mange leverandører, der sender udkast til databehandleraftaler selv om der ikke er behov for at indgå en databehandleraftale. De gør det i en god mening, men det er vigtigt, at der ikke indgås aftaler, hvis det ikke er nødvendigt. For hvis der indgås en databehandleraftale, er Ballerup Kommune forpligtet til at føre tilsyn med datasikkerheden i den pågældende virksomhed. Dette giver god mening, hvis det fx er en IT-virksomhed der behandler personoplysninger for kommunen, men det giver ikke mening, hvis det er en virksomhed, der sælger arbejdstøj. Derfor skal alle databehandleraftaler sendes til S-DIG på sim6@balk.dk 2. S-DIG skal vurdere, om der er behov for en databehandleraftale Der skal kun indgås databehandleraftaler i de tilfælde, hvor Ballerup Kommune er dataansvarlig og virksomheden behandler data for Ballerup Kommune. Det lyder umiddelbart meget simpelt, men i praksis kan det være svært at vurdere. Datatilsynet har lavet en vejledning, som S-DIG har taget udgangspunkt i ved vurderingen af, om der skal indgås en databehandleraftale, men som Datatilsynet selv skriver i vejledningen, så indeholder den ingen facitliste og der er derfor en gråzone, hvor det kan være svært at vurdere, om der skal indgås en databehandleraftale eller ej. Ved screeningen af databehandleraftalerne i Ballerup Kommune, har S-DIG derfor valgt at inddele leverandørerne/de digitale løsninger i tre kategorier: - Kræver databehandleraftale - Kræver ikke databehandleraftale - Her er vi i tvivl I skemaet i Bilag 1 er der en oversigt over de screeningskriterier, der brugt ved vurderingen af de forskellige leverandører/digitale løsninger 3. Databehandleraftalen skal som udgangspunkt altid laves i KL og KOMBIT databehandleraftale-skabelonen

Ved at benytte den fælles skabelon til alle databehandleraftaler spares der en masse ressourcer på at skulle gennemlæse og kvalitetssikre en masse forskellige kontrakter fra forskellige leverandører. Samtidig sikres det at aftalegrundlaget er i overensstemmelse med den til enhver tid gældende lovgivning. Den fælles databehandleraftaleskabelon ligger i SB-SYS under sags nummer 85.10.01-A26-1-10: KL og KOMBIT har lavet en fælles skabelon for databehandleraftaler, som Ballerup Kommune har valgt at benytte til de forskellige databehandleraftaler. url:sbsyslauncher:sag_id=111466&conservername=sbsysdb&condatabase- Name=SbsysNetDrift&ConDisplayName=Ballerup%20Drift&sso=True Side 2

BILAG 1: Screening af databehandleraftaler En grundlæggende forudsætning for indgåelse af en databehandleraftale er, at der sker en behandling (indsamling, registrering, videregivelse, sletning m.m.) af personoplysninger. Hvis der ikke behandles personoplysninger, skal der ikke indgås en databehandleraftale. Der kan dog godt være behov for en fortrolighedsaftale eller lignende afhængigt af karakteren af de pågældende data. For at afgøre, hvornår der er tale om en dataansvarlig <->databehandler relation har vi, med udgangspunkt i Datatilsynets vejledning, udarbejdet følgende trinvise screeningsmodel: Side 3

Screeningsmodel til vurdering af, om der skal indgås databehandleraftale Bestemmer vi helt eller delvist med hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger? Ja Er hele eller dele af opgaven med at behandle data lagt ud til en ekstern leverandør? Ja Behandler leverandøren data på vores vegne og efter instruks fra os? Med instruks menes at det er os, der bestemmer, hvordan leverandøren skal behandle vores data, fx hvilke data der må indsamles, hvem de må deles med, hvor længe de må opbevares, hvilke sikkerhedsforanstaltninger der skal tages osv. Ja Der er tale om en dataansvarlig<->databehandler-relation og der skal derfor indgås en databehandleraftale. Nej Nej Nej Delvist Vi er ikke dataansvarlige og der skal derfor ikke laves en databehandleraftale, da leverandøren er selvstændig dataansvarlig. Se eksempler på næste side under Leverandøren er selvstændig dataansvarlig Hvis hele databehandlingen (indsamling, registrering, opbevaring, videregivelse, sletning m.m.) foretages af os selv og data ligger internt hos os, så skal der ikke laves en databehandleraftale. Hvis en ekstern leverandør har adgang til vores data, men data ligger hos os selv, så skal der laves en fortrolighedsaftale. Se eksempler på næste siden under Fortrolighedsaftaler. Hvis leverandøren ikke handler efter instruks fra os, skal der ikke laves en databehandleraftale, da der ikke er tale om en databehandler <->dataansvarlig relation. Hvis vi som dataansvarlig har vurderet, at der ikke er tale om en databehandlerrelation, skal vi sikre os, at vi har lov til at videregive oplysningerne og at modtageren har lov til at modtage dem (at vi har videregivelseshjemmel og de har en behandlingshjemmel). I databehandleraftalen skal vi i Bilag 3 udfylde vores instruks til databehandleren. Her skal formålet med databehandlingen beskrives, samt hvilke typer af data der behandles, kategorier af registrerede m.v. I nogle tilfælde kan der være tale om fælles dataansvar. Her skal der laves en samarbejdsaftale, som tydeligt beskriver, hvem der er ansvarlig for hvilke data. Se eksempler på næste side under Fælles dataansvar. Side 4

Kommentarer til modellen Leverandøren er selvstændig dataansvarlig Hvis vi ikke bestemmer med hvilket formål og med hvilke hjælpemidler der foretages behandling af personoplysninger, så er vi ikke dataansvarlig og skal derfor ikke indgå en databehandleraftale med Leverandøren. Eksempler på dette er: Massøren, der har kontaktoplysninger på borgerne Blomsterhandleren der sender blomster til kommunens medarbejdere i forbindelse med ny ansættelser, fødsler eller sygdom Håndværkeren der installerer alarmer hos kommunens ældre Virksomheden der leverer arbejdstøj til kommunens medarbejdere Høreapparatsleverandøren, der leverer høreapparater til kommunens borgere Leverandører som fx skoleskak.dk, hvor elever kan oprette profiler og spille mod hinanden Billedbureauer, hvor kommunens medarbejdere har en profil for at kunne købe billeder Psykologen eller coachen der hjælper jobsøgende tilbage i arbejde Virksomheder der tilbyder virksomhedspraktik m.fl. Virksomheder der ikke behandler personoplysninger på vegne af kommunen. Virksomheden bruger i stedet oplysningerne på egne vegne for at kunne udføre den praktiske opgave for kommunen eksempel: Vision fotografi. Det er således til kommunens formål, at der foreligger en service, men til virksomhedens formål at der sker behandling af personoplysninger for at kunne levere ydelsen. Fortrolighedsaftaler En ekstern leverandør kan sagtens have adgang til kommunens data, uden der er tale om et dataansvarlig <->databehandler forhold. Det kan fx være en ekstern IT-konsulent, der hjælper med udvikling eller tilpasning af kommunale IT-systemer, der hostes hos kommunen selv. I de tilfælde er det nok med en fortrolighedsaftale. Eksempler på dette er: Timelønnede konsulenter fra rådgivende virksomheder Psykologen der rådgiver i forbindelse med et coachningforløb Fælles dataansvar I særlige tilfælde kan der være samarbejdsprojekter af forskellig art, hvor der er tale om fælles dataansvar. Et godt eksempel på dette er samarbejdsprojektet mellem Familiehuset og Psykiatrifonden. Her insisterede Psykiatrifonden på at indgå en databehandleraftale med Ballerup Kommune som dataansvarlig, mens vi mener, at der er tale om et samarbejdsprojekt med delt dataansvar. Her har parterne et fælles formål: at hjælpe familier, hvor den ene forældre Side 5

er ramt af psykisk sygdom Begge parter behandler personoplysninger, men med samme formål. Ansvarsfordelingen fremgår af kontrakten. Databehandler kræver betaling for at indgå databehandleraftale I nogle tilfælde kræver databehandleren særskilt betaling for at efterleve visse forhold i databehandleraftalen især i forbindelse med leverandørens forpligtelser samt tilsynspligten. I Ballerup Kommune er proceduren, at databehandleraftalen skal holdes ren og fri for økonomiaftaler. S-DIG varetager forhandlingen med databehandleren. I tilfælde hvor databehandleren fastholder krav om betaling er det i sidste ende op til center/sekretariatschefen at vurdere, hvorvidt samarbejdet med leverandøren bør bevares eller kan ophøre. Accepteres betalingskravet bevares samarbejdet og økonomien skal således som udgangspunkt udskilles i en tillægsaftale til hovedaftalen. Ophører samarbejdet derimod kan det være nødvendigt at finde en ny leverandør se retningslinjer for indkøb af nye it-systemer her: Side 6

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback