Dokumentation af sikkerhed i forbindelse med databehandling

Relaterede dokumenter
Dokumentation af sikkerhed i forbindelse med databehandling

Dokumentation af sikkerhed i forbindelse med databehandling

Anmeldelse af behandling af data

Anmeldelse af behandling af data

Projektets titel. Projektets formål

Tilladelsen gives på følgende vilkår:

Projektets titel. Projektets formål

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration

hos statslige myndigheder

Vejledning til udfyldelse af anmeldelsesskema til Datatilsynet

Databehandlerinstruks

1. Indledende bestemmelser Formål. Område

Anmeldelse af behandling af data

Retningsgivende databehandlervejledning:

Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig

Anmeldelse af behandling af data

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

Iagttagelse af Datatilsynets vilkår, databehandleraftaler, og den dataansvarliges kontrol med databehandlere.

Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Sikkerhedsregler for Kalundborg Kommune

Bilag 1 Databehandlerinstruks

Projektanmeldelse. Projektets titel. Dataansvarlig / projektleder. Oplysninger opbevares her

BILAG 5 DATABEHANDLERAFTALE

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Rammeaftalebilag 5 - Databehandleraftale

7. Oktober Datatilsynet og forskningsregistrering

Kontraktbilag 7: Databehandleraftale

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

PERSONDATALOVEN OG SUNDHEDSLOVEN

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

FORSKERSERVICE Sikkerhed på Forskermaskinen

STOFA VEJLEDNING ONLINEDISK INSTALLATION

WORKSHOP BSS. Databeskyttelse AARHUS OLE BOULUND KNUDSEN UNIVERSITET 18. DECEMBER 2017 INFORMATIONSSIKKERHEDSCHEF

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Registrering af forskningsprojekter

Vejledning. Tværinstitutionelt samarbejde mellem regioner og universiteter vedrørende sundhedsdata. September 2018

Informationssikkerhedspolitik

Datatilsynets inspektionsrapport

Databehandleraftale. om [Indsæt navn på aftale]

Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU.

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik

Databeskyttelsespolitik for Code of Care

Vejledning til den fællesregionale skabelon Databehandleraftale

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

Landsforeningen Lænkens Databeskyttelsespolitik

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

PERSONDATAPOLITIK. Jeg optræder som dataansvarlig, når jeg behandler personoplysninger.

Fonden Center for Autisme CVR-nr.:

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

Sletteregler. v/rami Chr. Sørensen

Administration af UNI-Login i forbindelse med Biblo

Kære medarbejder og leder

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Wila A/S persondatapolitik

ADGANGSSTYRING TIL ODIN

VEJLEDNING TIL BEBOERREPRÆSENTANTER - BESKYTTELSE AF PERSONDATA

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

Tønder Kommune BILAG 10

Borgerforslag - støtterblanket

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Persondatapolitik i Dansk Oplysnings Forbund

Behandling af personoplysninger hos Centrum Dyreklinik Ringsted

Ergotel A/S (ET) information og vejledning der vedrører opbevaring og håndtering af personlige data.

Databehandleraftale e-studio.dk Side 1 af 6

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

Behandling af personoplysninger hos Ringsted Dyreklinik, Vestervej 36, 4100 Ringsted

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Overordnede forhold ifm. behandling af persondata Forskningsenheden for Almen Praksis, Aarhus (FE) passer godt på dine data.

Skema til kortlægning af dataflow i STIL s produkter

Procedure for tilsyn af databehandleraftale

origo Databehandleraftale

Borgerforslag - støtterblanket

Oplysninger om vores behandling af personoplysninger vi indsamler om dig

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Club Nord er en medlemsklub, der sikrer medlemmerne gode oplevelser, rejser, foredrag,

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Persondatapolitik for Musikhøjskolen, Frederiksberg Musik og Kulturskole, og Musikhøjskolens Aftenskole

WinDCCD Brugervejledning. Indhold. Adgangskontrol...2

Om kliniske kvalitetsdatabaser og Region Midtjyllands forpligtelser. Version 1.0 godkendt udgave, 5. marts 2018.

persondataforordningen

Driftskontrakt. Databehandleraftale. Bilag 14

Information til nye kunder

Sag mho Udkast Cookiepolitik. 1. Politik for brug af HC Containers onlinetjenester

NSP Servicevilkå r for Indirekte GW LEVERANDØR

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

PERSONDATAPOLITIK. Håndtering af personoplysninger om kunder og samarbejdspartnere hos BOXITs containerafdeling

Datasikkerhedspolitik

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Transkript:

- Dokumentation af sikkerhed i forbindelse med databehandling Al databehandling, der er underlagt persondataloven, skal overholde de tekniske krav, der er opstillet i Datatilsynets bekendtgørelse 528 (sikkerhedsbekendtgørelsen). Skabelonen anvendes til at dokumentere, sikkerhedsforanstaltningerne ved manuel eller elektronisk databehandling. 1. Skema udfyldt af: (Navn + Hospital) Dato: Projektansvarlig (Navn + Hospital) (samme navn som under pkt. 5 i anmeldelsesskemaet) Skal kun skrives på hvis det ikke er samme person Marie Oxenbøll-Collet Rigshospitalet Prof. Andes Perner, Intensiv afd. Rigshospitalet 2. Databehandlingens id og journalnummer 03891/30-1503 3. Databehandlingens titel (kort): Agents Intervening against Delirium in Intensive Care Unit (AID-ICU): An international inception cohort study Manuel databehandling 4. Anvendelse af biobank Nej Ja, biobank NB: såfremt materialet i en forsknings biobank skal anvendes til mere end ét projekt, skal biobanken anmeldes separat. der oprettes en ny biobank Forsknings biobank Klinisk biobank der anvendes eksisterende biobank Anfør journal nr på biobanks godkendelse Hvem har adgang til biobanken? Kun medarbejdere, som den dataansvarlige bemyndiger hertil, må få adgang til de registrerede informationer. Beskriv(f.eks. navne, afdeling): 1

Hvordan er biobanken sikret mod uvedkommende? Du er forpligtiget til at opbevare biobanken i henhold til kravene i Sikkerhedsbekendtgørelsen. Lokaler hvor biomaterialet opbevares, skal være aflåst forsvarligt og kun personer, der er bemyndigede, må have adgang. Data skal være pseudoanonymiseret. Aflåst fryser Aflåst lokale, lokale nr: afdeling: Pseudoanonymiseret data Andet: Hvordan destrueres biomaterialet? Beskriv kort destruktionsmetoden. Hvis Biomaterialet skal sendes/videregives til en ekstern databehandler, hvordan sikres der en sikker forsendelse/videregivelse? Beskriv kort hvordan biomaterialet sendes/videregives mellem projektansvarlig og ekstern databehandler. NB: materialet må ikke udleveres/forsendes/videregives til en ekstern databehandler uden en underskrevet databehandleraftale Ønsker en 3.part at få biologisk materiale, må dette ikke uden videre udleveres. Kontakt den lokale kontaktperson derom. 5. Anvendelse af flytbare medier Eks: USB stik, USB harddisk, DVD, CD Vær opmærksom på at USB stiks / harddiske skal krypteres. Vær opmærksom på at en bærbar pc IKKE skal noteres her, eftersom der IKKE må ligge forskningsdata direkte på den bærbare pc uanset om den er krypteret eller ej, i henhold til Region Hovedstadens Informationssikkerhedspolitik. Nej Ja, flytbare medier, hvilke: Vær OBS på at data der gemmes på flytbare medier ikke kan gendannes/reetableres! Hvem har adgang til de flytbare medier? Kun medarbejdere, som den dataansvarlige bemyndiger hertil, må få adgang til de registrerede data. Beskriv(f.eks. navne, afdeling): 2

Hvordan er de flytbare medier fysisk sikret mod uvedkommende? Lokaler eller opbevaringspladser, hvor data opbevares, skal være aflåst og kun personer, der er bemyndigede må have adgang. Hvordan destrueres/slettes de flytbare medier? Beskriv kort metoden. Hvis et flytbart medie skal sendes/videregives til en ekstern databehandler, hvordan sikres der en sikker forsendelse/videregivelse? Beskriv kort hvordan et flytbart medie sendes/videregives mellem projektansvarlig og ekstern databehandler. 6. Anvendelse af papir materiale Eks: spørgeskemaerne, CRF, samtykke erklæringer m.fl. Hvem har adgang til papirmaterialet? Kun medarbejdere, som den dataansvarlige bemyndiger hertil, må få adgang til de registrerede data. Drejer det sig om en længere liste af personer som kan udskiftes i løbet af projektet, kan den dataansvarlige for projektet oprette en liste over bemyndigede. Denne liste skal altid være opdateret og kunne fremsendes på forlangende. Liste skal indeholde navn og organisatorisk tilknytning på personer som aktuelt har adgang eller har haft adgang på et tidligere tidspunkt, samt det tidsrum de har / har haft adgang. Nej Ja, papir materiale Beskriv(f.eks. navne, afdeling): Projektansvarlig Professor Anders Perner, Intensiv Terapi Afsnit 4131. ABD Rigshospitalet. Ja, databehandler opretter og vedligeholder en liste over bemyndigede Hvordan er papirmaterialet sikret mod uvedkommende? Lokaler eller opbevaringspladser, hvor data opbevares, skal være aflåst og kun personer, der er bemyndigede må have adgang. Data kan være pseudoanonymiseret. Opbevares i aflåst lokale 3104A i afsnit 4131. Patienterne vil være tildelt patientnumre. 3

Hvordan destrueres/anonymiseres papirmaterialet? Beskriv kort metoden. Hvis papir materiale skal sendes/videregives til en ekstern databehandler, hvordan sikres der en sikker forsendelse/videregivelse? Beskriv kort hvordan papirmateriale sendes/videregives mellem projektansvarlig og ekstern databehandler. Patienterne tildeles fortløbende patientnumre i forhold til deres entre i studiet. Papirmaterialet destrueres ved makulering senest 01.09.2020 Ingen bemærkninger Elektronisk databehandling 7.a Følgende system(er) anvendes til registrering af data i projektet: KMS Analyseportalen SPSS SAS SQL Office (Excel, word, access) Godkendt klinisk eller forsknings web database (SSI/Danske Regioner) Andet?_? web-baseret database med sikret HTTPS forbindelse (udbydes ikke af IMT, men laves af Copenhagen Trial Unit (afdeling på Rigshospitalet) 7.b Data trækkes fra følgende kliniske IT-systemer GS!åben /OPUS arbejdsplads EPM ORBIT Labka II RIS/PACS Andet internt system? CIS (Critical Information System) udbydes af IMT. Andet eksternt system? 8. Brugeradministrationsløsning: Hvordan valideres brugeren ved login til systemet? AD anvendes ved systemer som ikke har et specifik login, men hvor brugeren er logget på regionens netværk, f.eks. Office, SQL, SPSS BAM anvendes til flere regionens egne kliniske IT systemer, f.eks. OPUS, ORBIT Andet anvendes til IT-systemer som har egen login, herunder IT-systemer som tilgås AD BAM Andet (skal besvares hvis der er X ved andet i pkt. 7.a)? Brugere administreres af administrator som tildeler personligt brugernavn og login til ITsystemet som tilgås via en web browser med sikker HTTPS forbindelse 4

via en web browser, f.eks. data hostet hos en ekstern leverandør. 9. Typer af brugere: Her må gerne noteres navngivne personer, hvis de er kendte. Drejer det sig om en hel afdeling så skriv navnet på afdelingen. Her skal også noteres hvis der er eksterne leverandører der skal have adgang typisk som systemadministratorer. Patienterne tildeles fortløbende patientnumre i forhold til deres entre i studiet. Papirmaterialet destrueres ved makulering senest 01.0.4.2020 Ja, alm. brugere, hvem? Marie Oxenbøll-Collet Ja, superbrugere, hvem? Ja, systemadministratorer, hvem? Projektansvarlig: Prof. Ovl. Anders Perner, ph.d. Intensiv terapi klinik, Rigshospitalet Anders.perner@regionh.dk Tlf.: 3545 8333 Koordinerende investigator: Kliniske sygeplejespecialist cand.scient.san Marie Oxenbøll-Collet Intensiv terapi klinik, Rigshospitalet Marie.oxenboell-collet@regionh.dk Tlf.: 3545 6949/4074 1009 Forskningssygeplejersker på Intensiv terapi klinik, Rigshospitalet Systemadministrator på CTU Data manager Janus Engstrøm Copenhagen Trial Unit (CTU), Rigshospitalet janus@ctu.dk Tlf.: 3545 7161 Ja, andre 10. Rettigheder: Det er et krav, at it-løsningen kan skelne mellem brugernes rettigheder. Læse Skrive Rette Slette Systemadministratoradgang Der skal kunne foretages kontrol af tildelte rettigheder mindst hvert halve år. Skal kun udfyldes hvis der i pkt. 8 er sat kryds i Andet! Alm. Bruger kan læse og skrive data på patienter, som er inkluderet på ens egen afdeling. Når data er markeret som complete kan Alm. Brugere kun ændre data under angivelse af begrundelse for ændring. Systemadministrator Oprettelse af lande, hospitaler og brugere i 5

Hvor og hvordan kan informationer om de enkelte brugers rettigheder samt foretagne kontroller tilgås? systemet. Administration af ovenstående. Adgang til logs (kan ikke redigeres). Sletning af patientdata, hvis samtykke trækkes tilbage. Udtræk fra database. Adgangen omfatter hele systemet og ikke kun et enkelt hospital. Databasen skal indtastes i okt./nov. 2015 og derefter er det kun 3 måneders mortalitet der skal findes. Derfor mener jeg ikke det er nødvendigt at lave kontrol med rettigheder hver halve år. 11. Login-procedure: Kun autoriserede brugere må have adgang til it-løsningen. Alle brugere skal have en personlig adgangskode, der følger regionens retningslinjer. Hvis det er muligt at tilgå it-løsningen udenom login-proceduren, skal det beskrives, hvem der har disse rettigheder, og hvordan man håndterer disse. 12. Brugeroplysninger: Det er et krav, at man entydigt kan identificere en bruger, Hvilke oplysninger registreres der om brugerne? Navn CPR-nummer Brugernavn Organisatorisk tilknytning 13. Adgangskontrol og -log: Der skal kunne udskrives en adgangslog med angivelse af, hvem der har haft adgang til ITløsningen og på hvilke tidspunkt Efter fem afviste adgangsforsøg fra samme arbejdsstation eller samme bruger-id skal der blokeres for flere forsøg. Der skal ske en løbende opfølgning på afviste adgangsforsøg. Skal kun udfyldes hvis der i pkt. 8 er sat kryds i Andet! Hver bruger oprettes med brugernavn og personlig adgangskode, der består af mindst 8 karakterer og indeholder små bogstaver, store bogstaver og tal. Adgangskoden kan ændres af bruger såfremt den opfylder ovenstående krav. Skal kun udfyldes hvis der i pkt. 8 er sat kryds i Andet! Navn Stilling Organisatorisk tilknytning Kontaktoplysninger registreres på alle brugere Skal kun udfyldes hvis der i pkt. 8 er sat kryds i Andet! Adgangslog indeholder dato, tid, bruger, kort beskrivelse af hændelse f.eks. login, logout, spærring af konto, mislykket login. Efter 5 afviste adgangsforsøg spærres kontoen. Administrator har adgang til adgangslog og vil følge op på spærrede konti samt have mulighed for at genåbne kontoen. 14. Transaktionslog: Det er et krav, at der fra systemet kan udskrives en transaktionslog, som indeholder disse oplysninger: Bruger Organisatorisk tilknytning Hvilken af systemets funktioner der Ja, transaktionslog, samtlige punkter i venstre side logges. VIGTIGT: Som udgangspunkt skal du oprette en omsætningsnøgle- da der kun er meget få systemer der kan danne en transaktionslog som overholder lovgivningen (f.eks. KMS, Analyse og muligvis SQL). 6

har været anvendt Tidspunkt CPR-nummer på person der er arbejdet med eller Udtrækskriterie, hvis der er søgt på flere personer Det er ikke muligt for alm. brugere at lave søgninger på patienter i databasen. Patienter inkluderet på brugerens eget hospital vil blive vist på en liste i databasen og det vil ikke være muligt at se data for andre patienter. NB: Hvis der er tale om forskning eller statistik, kan der afviges fra kravet om transaktionslog, såfremt identifikationsoplysningerne for personen enten er krypterede eller kodede f.eks. via en omsætningsnøgle (pseudoanonymiserede). Alle systemer der anvendes laver transaktionslog. Omsætningsnøgle vil blive opbevaret i aflåst skuffe (Marie Oxenbøll-Collet) i rum 3268 på afdeling 4131 Rigshospitalet, Blegdamsvej 9 2300 København Ø Nej, men der oprettes en omsætningsnøgle eller lignende, som opbevares adskilt fra projektets data på: 15. Opbevaring af logge: En log skal og må opbevares i seks måneder. Hvordan opbevares loggen? Hvordan kan man fremfinde information fra loggen? Skal kun udfyldes hvis der i pkt. 8 er sat kryds i Andet! loggen opbevares på server I 6 måneder og slettes herefter: loggen opbevares på server (den samme som databasen opbevares på): DNS-navn: oc.ctu.dk Lokalisation: Copenhagen Trial Unit. Rigshospitalet Tagensvej 22, 2200 Kbh. N, kælderen, Rum K128A (eneste server i rummet) Kontaktperson: Janus Engstrøm Tlf.: 3545 7161 Email: janus@ctu.dk 16. Overførsel af elektronisk data: Til ekstern databehandler: Her skal beskrives, hvordan det sikres at data der overføres elektronisk til en person / et ITsystem udenfor den organisatoriske Region Hovedstad, overføres sikkert. F.eks.: Anvendes HTTPS, kryptering, andet? Til interne projektdeltagere: Data bør i udgangspunktet ikke overføres elektronisk mellem 2 ansatte i Region Nej, ingen overførsel af elektronisk data Ja, data overføres elektronisk, beskriv: Data overføres via sikker forbindelse (HTTPS) til server. Til overførsler mellem interne projektdeltagere vil der blive brugt en lukket mappe på V- drevet, som kun projektdeltagere vil have adgang til. 7

Hovedstaden. Data bør placeres på et netværksdrev der sikre at alle deltagere kan tilgå data. (se også pkt. 18) Hvis data alligevel skal overføres elektronisk skal det beskrives hvorledes det sikres. 17. Eksterne kommunikationsforbindelser ind i vores netværk: Inddata: Her skal beskrives, hvordan det sikres at uvedkommende ikke får adgang i tilfælde af at der er eksterne kommunikationsforbindelser til systemet eller regionens netværk. Nej, ingen eksterne kommunikationsforbindelser Ja, en virksomhed, leverandør eller person skal have adgang til vores netværk, beskriv: F.eks.: En leverandøradgang. 18. Brugeradgange og databehandling uden for Region Hovedstadens lokaliteter: Hvis der for brugeren sker behandling af personoplysninger uden for Region Hovedstadens lokaliteter, fx en hjemmearbejdsplads, skal databehandlingen overholde regionens retningslinjer for anvendelse af fjernarbejdspladser. Hvis det er en sikker forbindelse sat op af en ekstern part, skal det anføres hvor den er sikret? F.eks.: Anvendes HTTPS, VPN, andet? Nej, Ja, dette sker via en sikker forbindelse, som er sat op og administreret af CIMT Ja, dette sker via en sikker forbindelse, som er sat op og administreret af en leverandør (herunder sundhedsdatanettet) Hvordan er forbindelsen sikret? HTTPS VPN Andet, beskriv: 19. Fysiske forhold Intern Hvor er IT-løsningen/databasen placeret? (f.eks. på H:\, P:\ eller andet drev) Opbevaring af data skal ske på en sådan måde, at uvedkommende ikke kan få adgang. Ligeledes skal det sikres, at inddatering mv. ikke foregår et sted, hvor uvedkommende kan få adgang til at se data. Vær opmærksom på at databaser (Access, SQL, SPSS, SAS m.v.) ikke må ligge på et personligt drev (typisk H:\ drevet). P:\ drev afdelingsdrev deling af data i samme afdeling For hvert kryds skriv: navn på mappen samt hvad der ligger i mappen, hvis flere mapper på samme drev skal det skrives tydeligt. H:\ P:\ - i adgangsbegrænset mappe af CIMT ved navn: V:\ - i adgangsbegrænset mappe af CIMT ved navn: AID-ICU R:\Tværgående Forskning - i adgangsbegrænset mappe af CIMT ved navn: 8

V:\ drev virksomhedsdrev deling af data i samme virksomhed / hospital R:\ drev regionsdrev / deling af data i regionen på tværs af virksomheder/hospitaler Andet internt: oc.ctu.dk DNS-navn: oc.ctu.dk databasen opbevares på server: Lokalisation: Copenhagen Trial Unit. Rigshospitalet Tagensvej 22, 2200 Kbh N, kælderen, Rum K128A (eneste server i rummet) Kontaktperson: Janus Engstrøm Tlf.: 3545 7161 Email: janus@ctu.dk 20. Fysiske forhold Ekstern Hvis data er placeret hos en ekstern leverandør eks. at data hostes, skal det markeres her, og følgende skal beskrives: Nej, ingen ekstern placering af data Ja, andet ekstern: (navn) Vær opmærksom på at dette kræver at der er markeret at der er en ekstern databehandler i anmeldelsesskemaet, samt at der underskrives en databehandleraftale. Det kan også kræve at leverandøren skal udfylde et leverandørvurderingsskema. Hvordan sendes /overføres data til leverandøren? F.eks.: Data indtastes via en sikker web site; Data placeres midlertidigt på en krypteret usb-stik, som slettes når data er overført. Hvordan sikrer leverandøren og den projektansvarlige at data slettes ved projektets afslutning? Slettes data på et forudbestemt tidspunkt, eller skal den projektansvarlige give besked? Hvilken metode anvender leverandøren til at slette data? Sender leverandøren en rapport/besked om at data er slettet? 21. Andre væsentlige oplysninger vedr. databehandlingen: Det elektroniske system OpenClinica vil blive benyttet. OpenClinica er udviklet specifikt med 9

henblik på datafangst i større forskningsprojekter. De elektroniske CRF genererer translagtionslog og er godkendt af IMT. Anmeldelse af databehandling sker i henhold til fælles sikkerhedsbestemmelser for Region Hovedstaden vedrørende behandling af personoplysninger i henhold til Persondataloven, vedtaget af Regionsrådet d. 24. april 2007 og senest revideret juli 2012. 10

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback