Hvordan styrer vi leverandørerne?

Relaterede dokumenter
Kontraktbilag 7: Databehandleraftale

BILAG 5 DATABEHANDLERAFTALE

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Bilag A Databehandleraftale pr

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

BILAG 14: DATABEHANDLERAFTALE

Rammeaftalebilag 5 - Databehandleraftale

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Kontraktbilag 3. Databehandleraftale

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Generel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Forsvarsministeriets Materiel- og Indkøbsstyrelse

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration

Bilag 11 - Databehandleraftale

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Retningslinjer for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste

Driftskontrakt. Databehandleraftale. Bilag 14

PERSONDATALOVEN OG SUNDHEDSLOVEN

Bilag 1 Databehandlerinstruks

Databehandleraftale 2013

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Persondataforordningen...den nye erklæringsstandard

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databehandlingsaftale

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

Disse forretningsbetingelser gælder for alle CERTA s opdrag, medmindre andet er aftalt med klienten.

D A T A B E H A N D L E R A F T A L E

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

Transkript:

Hvordan styrer vi leverandørerne? DI Digital 26. September 2016 DKCERT www.cert.dk Henrik Larsen Email: henrik.larsen@cert.dk

Agenda Hvem er jeg? DKCERT Hvem er vi og hvad gør vi? Hvordan styrer universitetssektoren leverandørerne? Krav Databehandleraftaler ISO 27001 og EU s persondataforordning Kontrol 2

Hvem er jeg? Cand.mag. (historie og nordisk arkæologi) 1985 Sideløbende uddannelse i handel, økonomi, ledelse og edb/it siden 1971 Exam. ESL, ITIL-F, CISSP, CISM, CGEIT, ISO27001-Master Nationalmuseet 1979-1988, Højskolen Marielyst 1993-1998 Københavns Universitet 1989-1993 og1998-2015, informationssikkerhedschef 2011-2015 tidligere bl.a. it-drift/infrastrukturchef i Koncern-it DeiC, Chef for DKCERT marts 2015->, tillige Chef for WAYF fra juli 2016 medlem af bestyrelsen for Rådet for Digital Sikkerhed, DIFO Sikkerhedspanel mv. 3

DKCERT: opgaver og tjenester

Hvem er DKCERT? - Opgaver DKCERT er en tjeneste fra DeIC (Danish e-infrastructure Cooperation), der følger sikkerheden på internettet og advarer om potentielle it-sikkerhedsproblemer DKCERT tager imod henvendelser om sikkerhedshændelser på internettet fra Forskningsnettet og andre danske og udenlandske kilder DKCERT indgår i FIRST, et verdensomspændende netværk af over 350 CERT/CSIRT teams, samt i den europæiske organisation Trusted Introducer DKCERT har et bredt samarbejde med danske og nordiske organisationer og myndigheder 5

Hvem er DKCERT? - Tjenester Informationstjenesten (www.cert.dk) Webnyheder, nyhedsbreve, advarsler, tweets, awareness, trendrapport mv. Presse, konferencer mv. Borgerundersøgelse Sagsbehandlingen Modtager og behandler rapporter om sikkerhedshændelser på eller relateret til Forskningsnettet. Rådgiver og støtter efter behov Sårbarhedsscanninger Otte parallelle Nessus Enterprise-scannere Totale scanninger, on-demand scanninger, interne scanninger Dataanalyse Analyse af forskningsnettets netflowdata 6

Hvem kan bruge os? Alle institutioner, der er tilsluttet forskningsnettet: De otte universiteter En række kulturministerielle institutioner: Musikkonservatorier, Kunstakademiet, Nationalbiblioteket, Rigsarkivet, Statens Museum for kunst En række andre forsknings- og uddannelsesinstitutioner, kollegier mv. Øvrige efter aftale og mod betaling Statslige myndigheder m.fl. DKCERT kan i mindre omfang levere konsulentydelser til fx kommuner, andre offentlige enheder eller til små og mellemstore private virksomheder (indtægtsdækket virksomhed) 7

Hvordan styrer universiteterne leverandørerne? Krav

Persondataloven 2000 42. Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Stk. 2. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. 9

Persondataloven 2000 41. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger. 10

Persondataloven 2000 41. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger. 11

Sikkerhedsbekendtgørelsen 2000 Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning 7. Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. 12

Vejledning til Sikkerhedsbekendtgørelsen Vejledning til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning Den dataansvarlige skal således aktivt sikre, at de krævede sikkerhedsforanstaltninger overholdes hos databehandleren, og det kan i den sammenhæng være relevant at indhente en årlig revisionserklæring fra en uafhængig tredjepart. Den skriftlige aftale parterne imellem som nævnt ovenfor kunne bl.a. indeholde denne revisionserklæring som en betingelse for at lade behandlingen foretage hos databehandleren. 13

Den nationale strategi for cyber- og informationssikkerhed 2014 En central del af arbejdet med cyber- og informationssikkerhed er derfor, at myndighederne stiller klare sikkerhedsmæssige krav til leverandørerne og løbende følger op på, at de overholdes. De statslige myndigheder skal arbejde mere systematisk med løbende at vurdere sikkerhedsniveauet i de løsninger, som drives af eksterne leverandører. 14

Hvordan styrer universiteterne leverandørerne? Databehandleraftaler

Enhver organisations informationssikkerhed afhænger af dens underleverandørers sikkerhedsniveau 16

Leverandørkontrakter Fastlægge forventninger (SLA) - målbare Krav til sikkerheden Leverandørens sikkerhedspolitik Er der ansvarsfraskrivelse? Kontrol af adgange 17

Indholdet i en SLA - eksempler Hvordan beskytter leverandøren kundens systemer mod virusangreb? Hvordan sikrer leverandøren data mod at komme i de forkerte hænder? Hvilke garantier for oppetid giver leverandøren? Hvordan beskytter leverandøren mod ansatte, der misbruger adgangen til jeres data? Hvor hurtigt informerer leverandøren kunden om brud på sikkerheden? 18

Spørgsmål til cloudleverandøren Hvordan og hvor ofte bliver der taget backup? Hvordan får du slettet data? Hvordan får du dine data tilbage, når samarbejdet ophører og i hvilket format? Er du sikker på, at alle kopier af dine data bliver slettet ved kontraktophør? 19

Kontrol af sikkerhed Hvordan er leverandørens firewall-setup? Bruger de et Intrusion Prevention eller Intrusion Detection System? Hvordan overvåger de systemet? Hvilke procedurer har de for logning hvor ofte gennemgås logfiler? 20

Kontrol af sikkerhed Hvordan styres softwareopdateringer? Hvor tit installerer de sikkerhedsopdateringer? Hvor tit scanner de deres systemer for sårbarheder? Får de foretaget penetrationstest? Hvor ofte? 21

Hvordan styrer universiteterne leverandørerne? ISO 27001 og GDPR

Hvorfor ISO 27001? Internationalt anerkendt rammeværk Obligatorisk i den statslige sektor Udbredt i den private sektor Muligt at opnå certificering Efterspørgsel efter certificerede leverandører 23

Certificeret leverandør? Se scope for certificeringen SoA-dokumentet Stil spørgsmål! 24

ISO 27001 Universiteterne er ikke omfattet af kravet til statslige myndigheder om at følge ISO 27001 Uddannelses- og Forskningsministeriet, Styrelsen for Videregående Uddannelser anbefaler at universitetet orienterer sig i standarden De fleste universiteter arbejder med et ISMS, der følger ISO 27001 ISO 27001 stiller også krav til leverandørstyringen (A.15) 25

EU databeskyttelsesforordning Skærpelse/indskærpelse af allerede eksisterende krav Universiteterne vil være omfattet af kravet om at udpege DPO (databeskyttelsesansvarlig) Omfattende arbejde for at forberede implementering af GDPR ISO 27001 er et godt værktøj 26

Hvordan styrer universiteterne leverandørerne? Kontrol

Følg op løbende Kontrol af ISMS fx spørgeskema Statusmøder opfølgning på SLA og sikkerhedskrav Besøg? Revisionserklæringer Adgang til at scanne for sårbarheder? Penetrationstest? 28

[ Tak for opmærksomheden!] [Spørgsmål?] Henrik Larsen Email: henrik.larsen@cert.dk DKCERT

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback