UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS

Relaterede dokumenter
Underbilag Databehandlerinstruks

Bilag 1 Databehandlerinstruks

Databehandlerinstruks

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

Retningsgivende databehandlervejledning:

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

BILAG 14 DATABEHANDLERAFTALE

1. Indledende bestemmelser Formål. Område

Tilladelsen gives på følgende vilkår:

Fonden Center for Autisme CVR-nr.:

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma

Bilag X Databehandleraftale

KONTRAKTBILAG 12. Databehandleraftale

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

hos statslige myndigheder

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)

Driftskontrakt. Databehandleraftale. Bilag 14

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Sikkerhedsregler for Kalundborg Kommune

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

Michael Teschl Etik Portalerne ApS Lotusvej København S. Sendt til:

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Tønder Kommune BILAG 10

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Databehandleraftale. om [Indsæt navn på aftale]

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE Version 1.1a

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databehandleraftale med MS-Revision

SKABELON FOR DATABEHANDLERAFTALER MELLEM KUNDER EG - af [Indsæt dato]

DATABEHANDLERAFTALE [LEVERANDØR]

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Bilag 4- Ydelsesbeskrivelse

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Bilag A Databehandleraftale pr

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

EG Cloud & Hosting

Bilag B Databehandleraftale pr

BILAG 5 DATABEHANDLERAFTALE

2. Leverandøren er som databehandler forpligtet til følgende:

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018

BILAG 14: DATABEHANDLERAFTALE

Aftale omkring behandling af persondata.

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

Forsvarsministeriets Materiel- og Indkøbsstyrelse

1. Ledelsens udtalelse

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databehandlervilkår. 1: Baggrund, formål og definitioner

Kontraktbilag 3. Databehandleraftale

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

1.1. Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

SKABELON FOR DATABEHANDLERAFTALER MELLEM KUNDER OG KMD - af 5. december 2017

Bilag 9 Databehandleraftale

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Oversigt (indholdsfortegnelse)

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

Anmeldelse af offentlige videnskabelige forskningsprojekter

Underdatabehandleraftale

Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

EU Persondataforordning GDPR

Projektets titel. Projektets formål

Databehandleraftale. mellem. Parterne

OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

Dato: 6. oktober 2011 Side 1 af 7. Fælles Databehandlerinstruks -

BILAG A: DATABEHANDLERAFTALE ( AFTALEN ) 1 AFTALENS OMFANG 2 BEHANDLING AF PERSONOPLYSNINGER INDHOLDSFORTEGNELSE. Version 1.1 af 25.

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Deltagelse i indkøbsdatasamarbejdet:

Databehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )

Persondataforordningen

Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale

PERSONDATAPOLITIK 1. INTRODUKTION

DATABEHANDLERAFTALE

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

DATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og

1.2 I tilfælde af konflikt mellem Aftalen eller andre aftaler mellem parterne og Databehandleraftalen skal Databehandleraftalen have forrang.

Slettepolitik for Euro Accident Livförsäkring Aktiebolag som dataansvarlig

SKABELON FOR DATABEHANDLERAFTALER MELLEM SKOLEINTRA KUNDER OG ITSLEARNING - af

Projektets titel. Projektets formål

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Databehandleraftale ISS

Transkript:

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS 1. Vedrørende Databehandlerens ansvar 1.1. Databehandleren må alene behandle personoplysninger omfattet af Databehandleraftalen efter instruks fra den Dataansvarlige og kun til at varetage de opgaver, Databehandleren har i henhold til Databehandleraftalen og Hovedaftalen. 2. Vedrørende Databehandlerens opgaver Konkretisering af behandling af personoplysninger: 2.1 Databehandlerens opgaver 2.1.1 Databehandlingen sker som led i indførelsen af en EPJ-/PAS-løsning ("Løsningen") hos den Dataansvarlige. Databehandlerens hovedydelser er at levere, supportere og vedligeholde Løsningen. 2.2 Lokation [Adresse for alle lokationer, hvor behandling af personoplysninger foregår] 2.3 Serverplacering [Indsæt den geografiske placering af serverne] 2.4 Typer af behandlinger 2.4.1 Typer af behandlinger i forbindelse med levering af Databehandlerens ydelser: Indsamling, registrering, organisering, systematisering, opbevaring, genfinding, søgning, brug, videregivelse ved transmission, anden overladelse, sammenstilling og samkøring, begrænsning, sletning og tilintetgørelse. 2.5 Kategorier af registrerede identificerede eller identificerbare fysiske personer omfattet af databehandleraftalen: Patienter Pårørende Sundhedspersonale Ikke-sundhedspersonale

2.6 Typer af personoplysninger 2.6.1 Ad patienter: 2.6.1.1 Almindelige personoplysninger, herunder: Navn, adresse, e-mailadresse, telefonnummer og yderligere kontaktoplysninger Generelle livsstilsoplysninger, oplysninger om praktiserende læge, arbejdsoplysninger, oplysninger om fysiske karaktertræk Fritekstfeltoplysninger som eksempelvis foretrukne sted til receptudskrifter 2.6.1.2 Følsomme personoplysninger, herunder: Genetisk og biometrisk data Helbredsoplysninger og sygdomshistorik Oplysninger om seksuelle forhold eller seksuel orientering Oplysninger om væsentlige sociale problemer, herunder fx økonomiske tilskudsordninger Oplysninger om andre rent private forhold 2.6.1.3 CPR-numre 2.6.2 Ad Pårørende: 2.6.2.1 Almindelige personoplysninger, herunder: Navn, adresse, e-mailadresse, telefonnummer og yderligere kontaktoplysninger 2.6.2.2 Følsomme personoplysninger, herunder: Genetisk og biometrisk data Helbredsoplysninger og sygdomshistorik 2.6.3 Ad Sundhedspersonale: 2.6.3.1 Almindelige personoplysninger, herunder: Navn, adresse, e-mailadresse, telefonnummer, autorisationsnummer og yderligere kontaktoplysninger 2.6.3.2 CPR-numre 2.6.4 Ad ikke-sundhedspersonale: 2.6.4.1 Almindelige personoplysninger, herunder: Navn, adresse, e-mailadresse, telefonnummer og yderligere kontaktoplysninger 2.6.4.2 CPR-numre 3. Tekniske og organisatoriske sikkerhedsforanstaltninger Databehandleren skal som minimum træffe de nedenfor beskrevne tekniske og organisatoriske Side 2

sikkerhedsforanstaltninger i forbindelse med behandlingen af personlysninger på vegne af den Dataansvarlige. Såfremt mere omfattende tekniske og organisatoriske sikkerhedsforanstaltninger er nødvendige for at sikre efterlevelse af Databehandleraftalen, skal sådanne mere omfattende foranstaltninger altid træffes. 3.1 Kontaktpunkt Databehandleren skal udpege et fast kontaktpunkt, som over for den Dataansvarlige skal varetage ethvert forhold i relation til behandlingen af personoplysninger på vegne af den Dataansvarlige. 3.2 Risici for sikkerhed Databehandleren skal tage de nødvendige skridt til at identificere, vurdere og begrænse enhver, med rimelighed forudsigelig, intern og ekstern risiko for tilgængeligheden, fortroligheden, og/eller integriteten af alle personoplysninger omfattet af Databehandleraftalen. Databehandleren skal have passende tekniske foranstaltninger til at begrænse risikoen for enhver uautoriseret adgang. Databehandleren skal desuden, hvor det er nødvendigt, evaluere og forbedre effektiviteten af sådanne forholdsregler. Databehandleren skal dokumentere de identificerede risici og for enhver af disse risici hvordan risikoen er nedbragt til et acceptabelt niveau. Databehandleren skal have formelle processer for håndtering af sikkerhedshændelser. Databehandleren skal ved hændelser, hvor personoplysningers fortrolighed, integritet eller tilgængelighed kan være eller have været negativt påvirket, underrette den Dataansvarlige uden ugrundet ophold. 3.3 Autorisation og adgangskontrol Databehandleren skal især iagttage følgende vedrørende autorisation og adgangskontrol: 1. Autorisationer skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. 2. Databehandleren skal sikre, at der foretages et efter omstændighederne passende baggrundstjek for alt personale, der i forbindelse med deres ansættelse vil have adgang til personoplysninger omfattet af Databehandleraftalen, uanset i hvilket format personoplysninger måtte være tilgængelige. 3. Kun de personer, som autoriseres dertil, må have adgang til personoplysninger, der behandles. 4. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Side 3

5. Der må endvidere autoriseres personer, for hvem adgang til personoplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. 6. Den autoriserede bruger udstyres med en brugeridentifikation og et password, der skal anvendes hver gang, der logges på systemet. Som udgangspunkt anvendes 2-faktorautentificering ved adgang til systemer med følsomme personoplysninger via internettet eller andet usikkert netværk. Autentifikationsmetoden kan f.eks. være Nem-id, SMS-token, Rfid eller lignende. 7. Databehandleren skal sikre, at Databehandlerens medarbejdere modtager tilstrækkelig uddannelse og instruktioner, inklusiv men ikke begrænset til uddannelse der tilsigter mod at øge medarbejdernes gennerelle sikkerhedsbevidsthed, introduktion af relevante sikkerhedspolitikker og procedurer, samt adgang til og uddannelse i dokumenterede processer og arbejdsbeskrivelser særligt vedrørende behandling af personoplysninger. Uddannelse og instruktioner skal omfatte de emner, der er relevante for at sikre, at personoplysninger behandles i overensstemmelse med såvel lovgivningen som Databehandlerens og den Dataansvarliges relevante politikker og procedurer. 8. Autorisation gives til den Dataansvarliges systemer af den Dataansvarlige efter den Dataansvarliges indstilling. 9. Der skal træffes foranstaltninger til at sikre, at kun autoriserede brugere kan få adgang til personoplysninger, og at brugeren kun kan få adgang til de personoplysninger og anvendelser (behandlinger), som den pågældende er autoriseret til. 10. Alle ansatte hos Databehandleren, der har med elektronisk databehandling at gøre, udstyres med en brugeridentifikation og et password med henblik på adgang til Databehandlerens netværk. Brugeridentifikation og password skal anvendes hver gang, brugeren skaber sig intern adgang til databehandling. Eksternt skal adgange til databehandling etableres med 2-faktor-autentifikation. Databehandleren skal have rimelige restriktioner for fysisk adgang. Områder, hvor der sker behandling af personoplysninger skal ved etablering af ovennævnte adgangskontrolmekanismer være effektivt adskilt fra områder, hvortil der er generel adgang. Databehandleren skal have formelle procedurer for håndtering af nulstilling af adgangskoder og andre situationer, hvor den normale logiske adgangskontrol sættes ud af kraft. Der skal mindst en gang hvert halve år foretages kontrol af, at brugerne kun er tildelt de adgange, som de har behov for. Denne kontrol kan f.eks. indebære, at der i systemerne dannes en statistik over den enkelte brugers anvendelse af systemet, således at det kan konstateres, om der er udstedte autorisationer, som ikke er anvendt, og som derfor eventuelt bør inddrages. Ved anvendelse af en sådan statistisk opfølgning vil der fortsat være behov for en konkret vurdering af, om medarbejderen har et fortsat arbejdsmæssigt behov for adgang. Side 4

Databehandleren skal uden ugrundet ophold inddrage autorisationer (og herunder adgange) for brugere, der ikke længere har behov for autorisationen i forbindelse med brugerens arbejde. 3.4 Kontrol med afviste adgangsforsøg og logning Databehandleren skal iagttage følgende vedrørende kontrol med afviste adgangsforsøg og logning: 1. Der skal foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret højst 5 på hinanden følgende afviste adgangsforsøg med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Adgangen åbnes først, når årsagen til afviste adgangsforsøg er klarlagt. 2. Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger omfattet Persondatalovens 7 og 8 og Sikkerhedsbekendtgørelsens 19 eller hvad der måtte træde i stedet for de nævnte bestemmelser i forbindelse med Persondataforordningens ikrafttræden og anvendelse. Loggen skal mindst indeholde oplysninger om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte eller det anvendte søgekriterium. Loggen skal opbevares i seks måneder, hvorefter den skal slettes, medmindre der i overensstemmelse med loggens formål fastsættes en længere opbevaringsperiode, dog højest 5 år, af hensyn til at kunne anvende den som værktøj til brug ved efterforskning. 3. Bestemmelsen i punkt 2 ovenfor finder ikke anvendelse for personoplysninger, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for 30 dage. Logningskravet vil fortsat gælde ved rutinemæssig administration som har karakter af føring af et edb-register. 4. Bestemmelsen i punkt 2 ovenfor finder ikke anvendelse, hvis behandlingen af personoplysninger sker ved afvikling af programmer, som foretager en foruddefineret massebehandling af personoplysninger, eller hvis behandlingen sker med henblik på statistiske eller videnskabelige undersøgelser, og identifikationsoplysningerne forinden enten er krypteret eller erstattet med kodenummer eller lignende. Der skal dog i begge tilfælde foretages maskinel logning af brugeren og tidspunktet for behandlingen, jf. punkt 2. 3.5 Inddatamateriale som indeholder personoplysninger Databehandleren skal iagttage følgende vedrørende inddatamateriale, der indeholder personoplysninger: 1. Inddatamateriale, som ikke indgår i en manuel sag eller et manuelt register, må kun anvendes af personer, som er beskæftiget med inddateringen. Inddatamateriale, som er omfattet af anmeldelsesreglerne i kapitel 12 i Persondataloven (dvs. inddatamateriale indeholdende fortrolige personoplysninger) eller bestemmelser, der måtte træder i stedet for i forbindelse med Persondataforordningens ikrafttræden og anvendelse, skal Side 5

opbevares på en sådan måde, at uvedkommende ikke kan få adgang til at gøre sig bekendt med de personoplysninger, der er indeholdt heri, når det ikke anvendes. 2. Inddatamateriale, som er nævnt i punkt 1 ovenfor, skal slettes eller tilintetgøres, når det ikke længere er nødvendigt at bevare det af hensyn til de formål, som behandlingen varetager eller til kontrol med de inddaterede personoplysninger. 3. Bestemmelsen i punkt 2 ovenfor gælder ikke, såfremt materialet er omfattet af bevarings-/kassationsbestemmelser fastsat i henhold til anden lovgivning. Inddatamateriale, der er journaliseret i henhold til gældende journaliseringsbestemmelser, behandles efter de almindelige arkivbestemmelser om bevaring, herunder aflevering af arkivalier til Statens Arkiver. 4. Ved tilintetgørelse af inddatamateriale skal der træffes fornødne sikkerhedsforanstaltninger for at undgå, at materialet misbruges eller, at materialet kommer til uvedkommendes kendskab. 3.6 Uddatamateriale som indeholder personoplysninger Databehandleren skal iagttage følgende vedrørende uddatamateriale som indeholder personoplysninger: 1. Uddata må kun anvendes af personer, der er beskæftiget med de formål, til hvilke behandlingen af personoplysningerne foretages. 2. Udover bestemmelsen i punkt 1 må uddatamateriale anvendes af personer, som er beskæftiget med sikkerheds- og/eller forvaltningsmæssig revision eller drifts- og systemtekniske opgaver vedrørende det pågældende system og systemets anvendelse. 3. Uddatamateriale skal både fysisk og teknisk opbevares på en sådan måde, at uvedkommende ikke kan få adgang til at gøre sig bekendt med de personoplysninger, som er indeholdt i materialet. 4. Uddatamateriale skal tilintetgøres, når det ikke længere er nødvendigt til de formål, som behandlingen varetager. 5. Bestemmelsen i punkt 4 gælder ikke, såfremt materialet er omfattet af bevarings- /kassationsbestemmelser i henhold til anden lovgivning. 6. Uddatamateriale, der er journaliseret i henhold til vedtagne journaliseringsbestemmelser, behandles efter de almindelige arkivbestemmelser om bevaring, herunder aflevering af arkivalier til Statens Arkiver. 7. Ved tilintetgørelse af uddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger for at undgå, at materialet misbruges eller, at materialet kommer til uvedkommendes kendskab. Side 6

8. Bestemmelserne i punkterne 1-5 gælder ikke for uddatamateriale, som indgår i en manuel sag eller i et manuelt register. 3.7 Mobile lagringsmedier Databehandleren skal iagttage følgende vedrørende mobile lagringsmedier: 1. Mobile lagringsmedier med personoplysninger skal være mærket og skal opbevares krypteret under opsyn eller under lås, når de ikke benyttes. 2. Mobile lagringsmedier med personoplysninger må kun udleveres til medarbejdere samt til autoriserede personer, der har adgang til personoplysningerne, med henblik på revision eller drifts- og systemtekniske opgaver. 3. Der skal føres en fortegnelse over, hvilke mobile lagringsmedier, der benyttes i forbindelse med databehandlingen. 4. Der skal udarbejdes skriftlige instrukser for anvendelse og opbevaring af udtagelige mobile lagringsmedier. 5. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, samt ved salg og kassation af anvendte datamedier skal der træffes fornødne foranstaltninger for at sikre, at personoplysningerne ikke hændeligt eller bevidst tilintetgøres, fortabes eller forringes eller, at personoplysningerne kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med Persondataloven. 3.8 Sikkerhedskopier Databehandleren skal sikre, at systemer og personoplysninger sikkerhedskopieres regelmæssigt. Sikkerhedskopierne skal opbevares betryggende, og således at sikkerhedskopier ikke fortabes ved hændelser, der medfører tab af originale personoplysninger. Databehandleren skal regelmæssigt kontrollere, at sikkerhedskopier er læsbare. 3.9 Opdateringer og ændringer Databehandleren skal have formelle procedurer til sikring af, at opdateringer til operativsystemer, databaser, applikationer og anden software bliver vurderet og implementeret inden for rimelig tid. Databehandleren skal have formelle procedurer for ændringshåndtering med henblik på at sikre, at enhver ændring er behørigt autoriseret, testet og godkendt inden implementering. Proceduren skal understøttes af en effektiv funktionsadskillelse eller ledelsesopfølgning med henblik på at sikre, at ingen enkeltpersoner kan implementere en ændring alene. 3.10 Driftsafbrydelser Side 7

Databehandleren skal have dokumenterede beredskabsprocedurer, der sikre genetablering af services inden for rimelig tid i tilfælde af driftsafbrydelser. 3.11 Bortskaffelse af udstyr Databehandleren skal have formelle processer med henblik på at sikre, at der sker effektiv sletning af personoplysninger inden bortskaffelse af elektronisk udstyr i overensstemmelse med den Dataansvarliges krav. 3.12 Tilsyn Databehandleren skal føre og dokumentere et tilsyn med Databehandlerens organisations overholdelse af lovkrav, politikker og procedurer. Dato: På vegne af den Dataansvarlige: -------------------------------------------- Dato: På vegne af Databehandler: -------------------------------------------- Side 8

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback