Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration

Relaterede dokumenter
Tilladelsen gives på følgende vilkår:

ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

Persondataforordningen kommer hvad gør man? - Guide til virksomheder

hos statslige myndigheder

Databehandlerinstruks

Retningsgivende databehandlervejledning:

Michael Teschl Etik Portalerne ApS Lotusvej København S. Sendt til:

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

Bilag 1 Databehandlerinstruks

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

FÅ STYR PÅ PERSONALEADMINISTRATION OG HÅNDTERINGEN AF PERSONOPLYSNINGER I MINDRE VIRKSOMHEDER

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

PERSONDATALOVEN OG SUNDHEDSLOVEN

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Kontraktbilag 7: Databehandleraftale

persondataforordningen

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

Persondata, compliance og datasikkerhed. Ved Charlotte Bagger Tranberg

DanID A/S Lautrupbjerg 10 Postboks Ballerup

Retsudvalget REU Alm.del Bilag 364 Offentligt

Underbilag Databehandlerinstruks

Behandling af personoplysninger i forbindelse med venteliste

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

P O L I T I K F O R D A T A S I K K E R H E D V E D B O L I G A D M I N I S T R A T I O N. I N D H O L D 1. Indledning Definitioner...

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

PERSONDATAPOLITIK (EKSTERN)

BILAG 5 DATABEHANDLERAFTALE

Guide om behandling af personaleoplysninger

Politik for datasikkerhed ved boligadministration

Dokumentation af sikkerhed i forbindelse med databehandling

Driftskontrakt. Databehandleraftale. Bilag 14

It-sikkerhedstekst ST2

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Bilag X Databehandleraftale

DANVA Dansk Vand- og Spildevandsforening

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

1. Ledelsens udtalelse

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS

EG Cloud & Hosting

Rammeaftalebilag 5 - Databehandleraftale

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

Wila A/S persondatapolitik

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)

Sammenfattende kan Datatilsynet konkludere

Generel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

It-sikkerhedstekst ST4

Persondatapolitik Contrazt ApS CVR:

! PERSONDATAPOLITIK ! PERSONDATAPOLITIK FOR FIXNBIKE APPLIKATIONEN. 1. Generelle bestemmelser

Behandling af personoplysninger i forbindelse med husordensklager hos Hasseris Boligselskab

1. Indledende bestemmelser Formål. Område

Fonden Center for Autisme CVR-nr.:

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018

Databehandleraftale. om [Indsæt navn på aftale]

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

Bilag 9 Databehandleraftale

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Sikkerhedsregler for Kalundborg Kommune

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Forsikring & Pension Philip Heymans Allé Hellerup

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )


Databehandleraftale. Mellem. Dansk Oplysnings Forbund Ny Østergade 7, Roskilde CVR Nr (Databehandler)

Tønder Kommune BILAG 10

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

BEHANDLING AF PERSONOPLYSNINGER I FORBINDELSE MED TV- OVERVÅGNING

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

Projektets titel. Projektets formål

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Vilkår og privatlivspolitik

DATABEHANDLERAFTALE Version 1.1a

Oversigt (indholdsfortegnelse)

Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.

Orla Hansen & Søn A/S, aut. Gas-og Vandmestre Cvr

BILAG 14: DATABEHANDLERAFTALE

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk

2. Leverandøren er som databehandler forpligtet til følgende:

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

Samarbejds- og fortrolighedsaftale

Kontaktperson for henvendelse vedrørende behandlingen af dine oplysninger er Kim Petersen, som kan kontaktes på eller

BEHANDLING AF PERSONOPLYSNINGER OM SAMARBEJDSPARTNERE OG LEVERANDØRER I REFA DATTERSELSKABER

Databehandleraftale e-studio.dk Side 1 af 6

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

IT-SIKKERHEDSPOLITIK FOR HOFFMANN BILER A/S

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale ISS

Transkript:

Side 1 af 2 Forside / Erhverv / Personaleadministration / Krav om datasikkerhed i forbindelse med personaleadministration Opdateret: 06.05.15 Krav om datasikkerhed i forbindelse med personaleadministration I forbindelse med personaleadministration skal persondatalovens regler i det hele iagttages. Det indebærer bl.a., at den dataansvarlige virksomhed skal leve op til lovens krav om datasikkerhed. Der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Dette følger af lovens 41, stk. 3. Datatilsynet har udformet nedenstående specifikke minimumskrav for sikkerhed i forbindelse med personaleadministration. Fra januar 2015 indeholder Datatilsynets tilladelser til personaleadministration i den private sektor som standard vilkår om iagttagelse af disse. Minimumskrav for sikkerhed i forbindelse med personaleadministration: 1. Beskriv hvordan I beskytter jeres personaleoplysninger i personaleadministration og i praksis har implementeret pkt. 2-12. Beskrivelsen kan være særlige retningslinjer, der indgår i virksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som en del af virksomhedens information til medarbejderne. 2. Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt. 3. Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne. 4. Personaleoplysninger på papir f.eks. i kartoteker og ringbind skal opbevares aflåst, når de ikke er i brug. Når dokumenter (papirer, kartotekskort mv.) med personaleoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne. 5. Der skal anvendes adgangskode for at få adgang til pc er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år.

Side 2 af 2 6. Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg. 7. Hvis personaleoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af personaleoplysninger på andre bærbare datamedier. 8. PC er koblet til internettet skal have en opdateret firewall og viruskontrol installeret. 9. Hvis der benyttes hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering. 10. Hvis følsomme personaleoplysninger og personnummer sendes med e-mail via internettet, anbefaler Datatilsynet kryptering. 11. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab. 12. Ved brug af en ekstern databehandler til håndtering af oplysninger, skal persondatalovens 42 om skriftlig databehandleraftale mv. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet. Datatilsynet Borgergade 28, 5 1300 København K Tlf.: 33 19 32 00 Fax.: 33 19 32 18 E-mail: dt@datatilsynet.dk

Side 1 af 2 Forside / Erhverv / Personaleadministration / Krav om datasikkerhed i forbindelse med personaleadministration Opdateret: 06.05.15 Krav om datasikkerhed i forbindelse med personaleadministration I forbindelse med personaleadministration skal persondatalovens regler i det hele iagttages. Det indebærer bl.a., at den dataansvarlige virksomhed skal leve op til lovens krav om datasikkerhed. Der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Dette følger af lovens 41, stk. 3. Datatilsynet har udformet nedenstående specifikke minimumskrav for sikkerhed i forbindelse med personaleadministration. Fra januar 2015 indeholder Datatilsynets tilladelser til personaleadministration i den private sektor som standard vilkår om iagttagelse af disse. Minimumskrav for sikkerhed i forbindelse med personaleadministration: 1. Beskriv hvordan I beskytter jeres personaleoplysninger i personaleadministration og i praksis har implementeret pkt. 2-12. Beskrivelsen kan være særlige retningslinjer, der indgår i virksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som en del af virksomhedens information til medarbejderne. 2. Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt. 3. Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne. 4. Personaleoplysninger på papir f.eks. i kartoteker og ringbind skal opbevares aflåst, når de ikke er i brug. Når dokumenter (papirer, kartotekskort mv.) med personaleoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne. 5. Der skal anvendes adgangskode for at få adgang til pc er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år.

Side 2 af 2 6. Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg. 7. Hvis personaleoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af personaleoplysninger på andre bærbare datamedier. 8. PC er koblet til internettet skal have en opdateret firewall og viruskontrol installeret. 9. Hvis der benyttes hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering. 10. Hvis følsomme personaleoplysninger og personnummer sendes med e-mail via internettet, anbefaler Datatilsynet kryptering. 11. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab. 12. Ved brug af en ekstern databehandler til håndtering af oplysninger, skal persondatalovens 42 om skriftlig databehandleraftale mv. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet. Datatilsynet Borgergade 28, 5 1300 København K Tlf.: 33 19 32 00 Fax.: 33 19 32 18 E-mail: dt@datatilsynet.dk

Side 1 af 2 Forside / Erhverv / Personaleadministration / Krav om datasikkerhed i forbindelse med personaleadministration Opdateret: 06.05.15 Krav om datasikkerhed i forbindelse med personaleadministration I forbindelse med personaleadministration skal persondatalovens regler i det hele iagttages. Det indebærer bl.a., at den dataansvarlige virksomhed skal leve op til lovens krav om datasikkerhed. Der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Dette følger af lovens 41, stk. 3. Datatilsynet har udformet nedenstående specifikke minimumskrav for sikkerhed i forbindelse med personaleadministration. Fra januar 2015 indeholder Datatilsynets tilladelser til personaleadministration i den private sektor som standard vilkår om iagttagelse af disse. Minimumskrav for sikkerhed i forbindelse med personaleadministration: 1. Beskriv hvordan I beskytter jeres personaleoplysninger i personaleadministration og i praksis har implementeret pkt. 2-12. Beskrivelsen kan være særlige retningslinjer, der indgår i virksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som en del af virksomhedens information til medarbejderne. 2. Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt. 3. Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne. 4. Personaleoplysninger på papir f.eks. i kartoteker og ringbind skal opbevares aflåst, når de ikke er i brug. Når dokumenter (papirer, kartotekskort mv.) med personaleoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne. 5. Der skal anvendes adgangskode for at få adgang til pc er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år.

Side 2 af 2 6. Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg. 7. Hvis personaleoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af personaleoplysninger på andre bærbare datamedier. 8. PC er koblet til internettet skal have en opdateret firewall og viruskontrol installeret. 9. Hvis der benyttes hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering. 10. Hvis følsomme personaleoplysninger og personnummer sendes med e-mail via internettet, anbefaler Datatilsynet kryptering. 11. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab. 12. Ved brug af en ekstern databehandler til håndtering af oplysninger, skal persondatalovens 42 om skriftlig databehandleraftale mv. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet. Datatilsynet Borgergade 28, 5 1300 København K Tlf.: 33 19 32 00 Fax.: 33 19 32 18 E-mail: dt@datatilsynet.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback