HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet

Relaterede dokumenter
Tilsynsstrategi Ny organisation af tilsynsarbejdet

hos statslige myndigheder

Vedrørende tilsyn med behandling af personoplysninger

Sammenfattende kan Datatilsynet konkludere

Vedrørende tilsyn med behandling af personoplysninger

Rigsarkivets konference 2. november 2016

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

Tilladelsen gives på følgende vilkår:

Procedure for tilsyn af databehandleraftale

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Retsudvalget REU Alm.del Bilag 364 Offentligt

PERSONDATAPOLITIK (EKSTERN)

Persondatapolitik Vordingborg Gymnasium & HF

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

BILAG 5 DATABEHANDLERAFTALE

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

DanID A/S Lautrupbjerg 10 Postboks Ballerup

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Introduktion til persondataforordning

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Forsikring & Pension Philip Heymans Allé Hellerup

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration

Datapolitik/databehandlingsrapport

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Vejledning om informationssikkerhed

Lector ApS CVR-nr.:

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Datatilsynets inspektionsrapport

Rammeaftalebilag 5 - Databehandleraftale

GML-HR A/S CVR-nr.:

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Databeskyttelsespolitik for advokatanpartsselskabet Vibeke Westergaard

Persondatapolitik for Tørring Gymnasium 2018

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

Michael Teschl Etik Portalerne ApS Lotusvej København S. Sendt til:

PERSONDATALOVEN OG SUNDHEDSLOVEN

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

VEJLEDNING. om specialklubbernes håndtering af medlemmernes personoplysninger

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Bilag A Databehandleraftale pr

Retningsgivende databehandlervejledning:

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Standardvilkår. Databehandleraftale

Driftskontrakt. Databehandleraftale. Bilag 14

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

Persondata politik for GHP Gildhøj Privathospital

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Persondatapolitik i Dansk Oplysnings Forbund

Persondatapolitik på Gentofte Studenterkursus

Databehandleraftale. om [Indsæt navn på aftale]

Bilag 9 Databehandleraftale

N. Zahles Skole Persondatapolitik

Persondatapolitik for Odense Katedralskole

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

Bilag 1 Databehandlerinstruks

Databehandlerinstruks

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Plan og Handling CVR-nr.:

Aftale vedrørende fælles dataansvar

Bilag B Databehandleraftale pr

Sletteregler. v/rami Chr. Sørensen

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Persondatapolitik for TAGARNO A/S

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

Sikkerhedsregler for Kalundborg Kommune

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

BILAG 14: DATABEHANDLERAFTALE

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Brud på datasikkerheden

Kontraktbilag 7: Databehandleraftale

Overblik i forbindelse med den nye Persondataforordning Skema til dokumentation

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

Privatlivspolitik for boligsøgende, beboere og fraflyttere

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

Transkript:

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet

Om Datatilsynet Datatilsynet er den statslige myndighed, der fører tilsyn med lov om behandling af personoplysninger (persondataloven). Datatilsynet udøver sine funktioner i fuld uafhængighed Datatilsynet har en finanslovsmæssig og personalemæssig tilknytning til Justitsministeriet

Datatilsynets mission Datatilsynet er den centrale uafhængige myndighed, der rådgiver om registrering, videregivelse og anden behandling af personoplysninger og fører tilsyn med, at myndigheder, virksomheder og andre dataansvarlige overholder persondataloven

Datatilsynets vision Myndigheder og private kender og overholder reglerne for behandling af personoplysninger. Borgerne kender og kan bruge deres rettigheder. Datatilsynet gør dette muligt og lettere gennem: Synlighed, information, dialog og kontrol

Datatilsynets opgaver Information og vejledning Behandling af klager fra borgere Tilladelser til virksomheder i visse tilfælde Tilladelser til forskere Udtalelser om anmeldelser fra myndigheder Udtalelser om lovforslag mv. Sager på eget initiativ Tilsynsbesøg (Inspektioner) Deltagelse i en række internationale tilsynsmyndigheder Internationalt samarbejde Deltagelse i udvalg, arbejdsgrupper mv. 5

Tilsynsstrategi 2016-2018 Initiativer 1. Ny tilsynsenhed 2. Årsplan for planlagte tilsyn 3. Oplysningsindsamling og tilsynsbesøg 4. Nedbringelse af sagsbehandlingstiden 5. Påtale og opfølgning ved overtrædelser 6. Transparens

Datatilsynet i dag 7

Persondataloven stiller bl.a. krav om at der registreres korrekte oplysninger at oplysningerne behandles lovligt at der sker ajourføring og sletning at oplysningspligten opfyldes at borgerne får indsigt, når de anmoder om det at borgernes indsigelser besvares at datasikkerheden er tilstrækkelig

Instruktion og tilsyn Der gælder efter persondataloven: Krav om instruktion til både egne ansatte og eksterne databehandlere Krav om retningslinjer for myndighedens tilsyn Krav om, at den dataansvarlige myndighed påser, at sikkerhedsforanstaltninger hos databehandlere lever op til lovens krav

Adgangsbegrænsninger Udveksling: Myndigheder må ikke behandle eller have adgang til oplysninger, som de ikke har behov for, i forbindelse med deres konkrete myndighedsudøvelse/ opgavevaretagelse Inden for en myndighed skal medarbejdernes adgang indrettes, så fx følsomme personoplysninger kun kan ses af de medarbejdere, der har behov herfor

Beskyt personoplysninger ved tilslutning til internettet Ved tilslutning til Internet eller andre åbne net skal der træffes foranstaltninger, som sikrer imod uvedkommende trafik og forhindrer adgang fra det åbne net til den dataansvarliges interne net

Eksempler på brud (1) Indsamling ikke saglig og proportional Databehandlingen mangler samtykke eller anden hjemmel Registrering af urigtige oplysninger Utilstrækkelig ajourføring, ringe datakvalitet 12

Eksempler på brud (2) Manglende sletning Utilstrækkelig information ved samtykke Videregivelse uden hjemmel 13

Eksempler på brud (3) Manglende underretning ved indsamling (oplysningspligten) Utilstrækkelige eller og for sene svar på indsigt 14

Eksempler på brud (4) Manglende retningslinjer for myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden Manglende tilsyn med sikkerheds-foranstaltningerne hos myndigheden selv 15

Eksempler på brud (5) Manglende databehandleraftaler Manglende kendskab til underdatabehandlere Manglende tilsyn eller kontrol med sikkerhedsforanstaltningerne hos de anvendte databehandlere 16

Eksempler på brud (6) Utilsigtet offentliggørelse på internettet Fejl i forbindelse med udsendelse af e-mails Mangelfuld backup 17

Eksempler på brud (7) Utilstrækkelig beskyttelse mod hackerangreb mv. Usikker og mangelfuld håndtering af passwords Adgang til uvedkommende oplysninger 18

Eksempler på brud (8) Manglende kontrol med afviste adgangsforsøg Manglende logning Manglende stikprøvevis kontrol med logning (i borgerservice) 19

Sammenfatning De dataansvarlige er ikke altid påpasselige nok Lovgivningens krav bliver ikke fulgt Personoplysninger kommer desværre jævnligt til uvedkommendes kendskab 20

Spørgsmål? Datatilsynet www.datatilsynet.dk www.dbreform.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback