Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.



Relaterede dokumenter
Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

Datatilsynet har besluttet at undersøge sagen af egen drift.

hos statslige myndigheder

Sammenfattende kan Datatilsynet konkludere

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

It-sikkerhedstekst ST2

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Forsikring & Pension Philip Heymans Allé Hellerup

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

Kontraktbilag 3. Databehandleraftale

Retsudvalget REU Alm.del Bilag 364 Offentligt

3 Omfattede typer af personoplysninger og kategorier af registrerede

BILAG 14: DATABEHANDLERAFTALE

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

Tønder Kommune BILAG 10

Tilladelsen gives på følgende vilkår:

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Driftskontrakt. Databehandleraftale. Bilag 14

Vedrørende tilsyn med behandling af personoplysninger

! Databehandleraftale

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Cloud Computing De juridiske aspekter

Retningslinjer for behandling af personoplysninger for kunder og leverandører i med Anker Hansen og Co. A/S ( AHC ) CVR-nr

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration

Logning af søgninger, dataadgangsforsøg og dataadgang

Generel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

Vedrørende tilsyn med behandling af personoplysninger

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

Tilsynsbesøget fandt sted den 9. november 2018.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Fortrolighedspolitik B&V SpetsCom. Pr Præambel

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Bilag 9 Databehandleraftale

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Behandling af personoplysninger hos Popermo Forsikring G/S

Persondataretlige aspekter ved cloud computing

Kontraktbilag 7: Databehandleraftale

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Sikkerhed i cloud computing

Databehandleraftale Underleverandør

Persondatapolitik til ansøgere og rekruttering

Denne persondatapolitik forklarer, hvordan Verdensarv Stevns ( vi eller os ) behandler og sikrer dine personoplysninger. Hvor lagres data?

2. Leverandøren er som databehandler forpligtet til følgende:

BESKYTTELSE AF PERSONDATA OG COOKIE POLITIK Pure Byte ApS (PB)

3 Omfattede typer af personoplysninger og kategorier af registrerede

origo Databehandleraftale

DATABEHANDLERAFTALE SMTP.DK KUNDEN

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

opfylde vores kontraktuelle forpligtelser over for dig, samt at

1.3 Nedenfor fremgår de informationer, der indsamles, herunder hvordan oplysningerne behandles, hvad de bruges til, hvem der har adga ng til

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Iagttagelse af Datatilsynets vilkår, databehandleraftaler, og den dataansvarliges kontrol med databehandlere.

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Retningslinje om fortegnelser over behandlingsaktiviteter

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Persondatapolitik Intervare

3. Hvorfor behandler vi dine personlige oplysninger

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

DATABEHANDLERAFTALE. Mellem KUNDEN ADRESSE POSTNR. BY CVR. nr.: (herefter Kunden DATAANSVARLIG)

Standardvilkår. Databehandleraftale

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk

Hvis vi har brug for yderligere oplysninger end angivet ovenfor, vil vi orientere dig herom ved indsamlingen heraf.

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Retningslinje om fortegnelser over behandlingsaktiviteter

Michael Teschl Etik Portalerne ApS Lotusvej København S. Sendt til:

Dansk Supermarked Administration A/S CVR-nr Bjødstrupvej 18, Holme 8270 Højbjerg

Behandling af persondata i EL Andersen A/S

Databehandleraftale ISS

Persondataloven og sundhedsvidenskabelige forskningsprojekter

PERSONDATAPOLITIK FOR ÅRHUS LÆRERFORENING Revideret 17. januar 2019

Persondata politik for GHP Gildhøj Privathospital

PERSONDATALOVEN OG SUNDHEDSLOVEN

Cookie- og privatlivspolitik

Behandling af personoplysninger i forbindelse med venteliste

It-sikkerhedstekst ST3

Databehandleraftaler. Ved partner Thomas Munk Rasmussen, Bech-Bruun

Privatlivspolitik for boligsøgende, beboere og fraflyttere

Databehandleraftale. om [Indsæt navn på aftale]

DATABEHANDLERAFTALE Version 1.1a

Retningslinje om databeskyttelsesrådgivere

Club Nord er en medlemsklub, der sikrer medlemmerne gode oplevelser, rejser, foredrag,

Transkript:

Cloud og persondataloven Forskningsnetkonferencen 2011 Klarskovgaard Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Sten Hansen IT-chef Datatilsynet 1 2 Kort om Datatilsynet Datatilsynet griller Odense med 14 nye spørgsmål om Google Apps * Dataråd * Sekretariat Direktør Ledelse: Direktør, Kontorchef, IT-chef 35 medarbejdere i alt 3 4 International opmærksomhed = Lighedstræk mellem cloud computing og persondataloven * Vanskelig at forstå * http://www.steptoe.com/publicationspdf.html/pdf/?item_id=7407 5 * Rigtig mange har hørt om * Ganske mange har en mening om * Få har dyb indsigt i * Ingen har helt forstået begge dele 6

Oversigt Den væsentlige forskel Data Cloud * er transparent * Det er cloud computing ikke Lov Sted 7 8 Begreber * Implementerer direktiv EU/95/46 * Teknologi uafhængig * Langtidsholdbar * Direktivet er under revision 9 * Behandling Lagring, transmission, backup, beregning,.. * Dataansvarlig Beslutter formål med behandling og midler * Databehandler Må kun behandle oplysninger efter instruks * Den registrerede 10 * Behandlingsregler Fx hjemmel, formålsbestemthed, sletning * Regler om overførsel til tredjelande * Sikkerhedsregler (Sikkerhedsbekendtgørelsen) * Databehandleraftale * Den dataansvarlige har pligt at påse hvad databehandler laver * Uanmeldt tilsyn på stedet fra Datatilsynet * Databehandleraftale Skal være skriftlig Det skal fremgå at databehandleren alene handler efter instruks fra den dataansvarlige Det skal fremgå at persondatalovens sikkerhedsbestemmelser også gælder for databehandleren 11 12

Data Cloud computing * Følsomme personoplysninger * Fortrolige personoplysninger * Almindelige personoplysninger * Ikke personoplysninger 13 * Fordele Pris, drift ude af huset, miljø,. *Ulemper Mangel på transparens Især om lokation Kontroltab kan være ulovligt * Grænseoverskridende 14 Cloud Computing Klassifikationsfælden Sted * Public / Private cloud * SasS * IasS * PasS * Siger intet om lovlighed / Sikkerhed * Levende / mineral * Fisk * Krybdyr * Plante * Siger intet om du kan tåle at spise det * Jurisdiktion * Retshåndhævelse * Kompetent tilsynsmyndighed * Tilsyn på stedet * Forudsætning for at den dataansvarlige kan påse hvad der foregår * Forudsætning for indsigt i sikkerhed 15 16 Problemer * Manglende oplysninger om lokaliteter * Tredjelands overførsler * Ingen eller utilstrækkelig databehandleraftale * Sikkerhed ikke vurderet konkret * Standardvilkår kan ensidigt ændres * Dataansvarliges pligt til at påse * Tilsyn afskæres * Uigennemsigtighed om underleverandører * Databehandler benytter data til egne formål Lokationstransparens Første skridt mod løsning * Åbenhed om hvor data lagres og behandles * Åbenhed om alle lokaliteter * Også underleverandører 17 18

Gode råde Næste skridt Kvalificeret risikovurdering * Med udgangspunkt i de faktiske forhold og omstændigheder hvorunder data lagres og behandles hos cloud leverandøren og dennes underleverandører 19 * Start i det små * Start med ikke personoplysninger * Fastslå alle lokationer * Databehandleraftale uden gummiparagraffer * Risikovurdering ud fra faktiske forhold * Påse hvad databehandler lave 20 Gode spørgsmål Gode spørgsmål * Hvor lagres data? * Hvor behandles data? * Hvorerbackup? * Er lagrede data krypteret? * Hvordan slettes data? * Føres data ud af DK? * Føres data ud af EU/EØS? * Benytter cloudlerandøren underleverandører? * Hvad forhindre cloud leverandøren i at foretage ensidige ændringer i databehandleraftalen? * Benytter cloud leverandøren data til egne formål? * Hvordan påses hvad cloud leverandøren laver? 21 * Etc 22 En tom instruktion * Customer instructs Google to provide the Services and process End User personal data in accordance with the Google Privacy Policies and Google agrees to do the same. Google Apps General Terms Referencer * www.datatilsynet.dk * Udtalelse til Odense Kommune http://www.datatilsynet.dk/afgoerelser/seneste-afgoerelser/artikel/behandling-af-foelsommepersonoplysninger-i-online-kontorpakke/?no_cache=1&chash=e32d15f66f * Brug af Dropbox http://www.datatilsynet.dk/afgoerelser/seneste-afgoerelser/artikel/brug-af-dropbox-tilbehandling-af-foelsomme-personoplysninger-omfattet-af-en-tilladelse-fra-datatils/ * Datatilsynet anmoder KL om redegørelse http://www.datatilsynet.dk/nyheder/nyhedsarkiv/artikel/datatilsynet-anmoder-kl-omredegoerelse-efter-sikkerhedsbrist-i-forbindelse-med-brug-af-en-cloud-loe/ 23 24

Referencer * Cloud Computing - Benefits, risks and recommendations for information security, ENISA, November 2009 http://www.enisa.europa.eu/act/rm/files/deliverables/cloudcomputing-risk-assessment * Cloud Computing - Information Assurance Framework, ENISA, November 2009 http://www.enisa.europa.eu/act/rm/files/deliverables/cloudcomputing-information-assurance-framework Kontakt information Datatilsynet Borgergade 28,5 1300 København K Telefon: 33193200 E-mail: dt@datatilsynet.dk Web: www.datatilsynet.dk 25 26 Akvariefisk metafor * Cloud computing er i yderste konsekvens som at smide en akvariefisk i Atlanterhavet og bilde sig selv ind, at man ved, hvor fisken er, og at den har det trygt og godt. Tak for opmærksomheden *Spørgsmål er velkomne 27 28

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback