Procedure for tilsyn af databehandleraftale

Relaterede dokumenter
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Driftskontrakt. Databehandleraftale. Bilag 14

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

EG Cloud & Hosting

Bilag X Databehandleraftale

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

1. Ledelsens udtalelse

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018

BILAG 5 DATABEHANDLERAFTALE

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

Rammeaftalebilag 5 - Databehandleraftale

Bilag 1 Databehandlerinstruks

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)

SOPHIAGÅRD ELMEHØJEN

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet

Databeskyttelsespolitik for DSI Midgård

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

Overordnet organisering af personoplysninger

Tønder Kommune BILAG 10

IST DANMARK APS ISAE 3000 ERKLÆRING

Overordnet organisering af personoplysninger

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

Plan og Handling CVR-nr.:

Behandling af personoplysninger

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

Pr. 31. december 2014

Lector ApS CVR-nr.:

BILAG 14: DATABEHANDLERAFTALE

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

GML-HR A/S CVR-nr.:

Databeskyttelsespolitik

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

PERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger ) Generelt om databeskyttelse Gennemsigtighed og samtykke...

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Kontraktbilag 3. Databehandleraftale

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

Kontraktbilag 7: Databehandleraftale

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

PERSONDATALOVEN OG SUNDHEDSLOVEN

2. Leverandøren er som databehandler forpligtet til følgende:

DATABESKYTTELSESPOLITIK

Databehandleraftale (v.1.1)

Bilag 9 Databehandleraftale

Databehandleraftale. om [Indsæt navn på aftale]

Tilladelsen gives på følgende vilkår:

GML-HR A/S CVR-nr.:

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Bilag 1 Databehandler aftale (v.1.2)

Forsvarsministeriets Materiel- og Indkøbsstyrelse

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Komiteen for Sundhedsoplysning CVR-nr.:

Hovmosegaard - Skovmosen

Retningsgivende databehandlervejledning:

Databehandlerinstruks

NSP Servicevilkå r for Indirekte GW LEVERANDØR

DATABEHANDLERAFTALE Version 1.1a

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Bilag 11 - Databehandleraftale

Databehandleraftale e-studio.dk Side 1 af 6

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Databehandleraftale. 1. Baggrund, formål og definitioner. mellem. xxxxxxxxxx xxxxxxxxxx xx xxxx xxxxxxx CVR.nr. xxxxxx

Underbilag Databehandlerinstruks

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Persondatapolitik Vordingborg Gymnasium & HF

Sammenfattende kan Datatilsynet konkludere

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

Vedrørende tilsyn med behandling af personoplysninger

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

Tjekliste til databehandleraftaler

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

Dato: 6. oktober 2011 Side 1 af 7. Fælles Databehandlerinstruks -

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Transkript:

IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af et system, hvor der behandles personoplysninger, skal der oprettes en intern anmeldelse i Anmeldelsesportalen på datatilsynets hjemmeside. I den interne anmeldelse skal feltet: Revisorerklæring/Tilsyn udfyldes med følgende valgmuligheder: Revisorerklæring Når Horsens Kommune som dataansvarlig overlader behandling af personoplysninger til en leverandør, skal leverandøren levere en årlig revisorerklæring, hvis det fremgår af en kontrakt/aftale. Leverandøren kan også have valgt selv at levere en revisorerklæring, selvom dette ikke fremgår af kontrakten. Revisorerklæringen skal registreres i SBSYS på de enkelte databehandleraftalesager/systemejersag. Systemejeren skal foretage opfølgning på den modtagne revisorerklæring, når den modtages hvert år. Herunder skal det vurderes, om der er punkter, der kræver yderligere tilsyn og/eller tilsynsbesøg hos leverandøren. Tilsyn Når Horsens Kommune som dataansvarlig overlader behandling af personoplysninger til en leverandør, og det ikke fremgår af en kontrakt/aftale om, at der skal leveres en årlig revisorerklæring, skal systemejeren selv foretage tilsyn hos leverandøren. Tilsynet skal foretages ved brug af Databehandler Tilsynsskema. Skemaet kan sendes til leverandøren sammen med den tilhørende tro- og love-erklæring. Resultatet, altså leverandørens tilbagesvar, skal registreres i på de enkelte databehandleraftalesager/systemejersager. Herunder skal det vurderes, om der er punkter, der kræver yderligere tilsyn og/eller tilsynsbesøg hos leverandøren. Ingen revisorerklæring/tilsyn Hvis det ikke drejer sig om IT-drift, er der ikke krav om levering af revisorerklæring og/eller tilsyn. 1

Databehandler Tilsynsskema Anvendelsesvejledning Når Horsens Kommune som dataansvarlig overlader behandling af personoplysninger til en leverandør, skal kommunen føre tilsyn med at datasikkerheden, og de anvendte sikkerhedsforanstaltningerne lever op til de lovmæssige krav. Leverandøren skal dokumentere, at denne overholder persondatalovgivningen, herunder sikkerhedsbekendtgørelsen, i forbindelse med Leverandørens varetagelse af opgaver for Horsens Kommune. Leverandøren skal derfor udfylde vedlagte tilsynsskema en gang årligt og indsende det til xx senest den x/x. Tilsynsskemaet dækker perioden fra 1. januar 31. december, dog først fra kontraktstart i det første år af kontraktens løbetid. Såfremt Leverandøren anvender underleverandører, som behandler og/eller har adgang til personoplysninger, skal underleverandørerne ligeledes udfylde et tilsynsskema I tilsynsskemaet skal hvert punkt besvares med en afkrydsning i venstre kolonne. Et mangel på afkrydsning betragtes som et nej til det pågældende spørgsmål. I dette tilfælde skal der fremgå en beskrivelse af årsagen under punktet i skemaet. Er der afdækket risici og/eller svagheder hos Leverandøren, herunder i relation til overholdelse af persondatalovgivningen, driftsmiljøet og/eller sikkerhedsprocedurer, skal disse detaljeret fremgå af skemaet. 2

A. Behandlingssikkerhed A1 Retningslinjer for sikkerhedsorganisation er udarbejdet. A1 - IT-risikovurdering - der foreligger en ledelsesgodkendt it-risikovurdering. A1 - IT-sikkerhedspolitik - der foreligger en ledelsesgodkendt it-sikkerhedspolitik. A1 - Kommunikeret retningslinjer - der foreligger skriftlige retningslinjer for håndtering af personoplysninger som er kommunikeret til alle relevante medarbejdere. A2 Data behandles efter kontrakt/tilladelse fra dataansvarlig. A2 - Tilladelse fra dataansvarlig - der foreligger kontrakt/tilladelse fra dataansvarlig om behandling af data. A2 - Håndtering af data - der er udarbejdet forskrifter for håndtering af data. A2 - Kryptering af data - der er udarbejdet forskrifter for kryptering af personoplysninger. A2 - Sletning af data - der er skriftlige retningslinjer for sletning af data. A2 - Hjemmearbejdspladser - er hjemmearbejdspladser etableret efter Datatilsynets regler. A3 Data videregives ikke fra systemet uden særskilt tilladelse fra den dataansvarlige. A3 - Outsourcet drift - der foreligger underdatabehandleraftaler med leverandører. A3 - Eksterne leverandører - eksterne leverandører, underleverandører og serviceleverandører er bekendt med sikkerhedskravene i aftalen med den dataansvarlige samt at der foreligger en underdatabehandleraftale. 3

A3 - Eksterne konsulenter - eksterne konsulenter og lignende er bekendt med sikkerhedskravene i aftalen med den dataansvarlige samt at der foreligger en underdatabehandleraftale. A4 Retningslinjer for fysisk sikring er udarbejdet, forstået, accepteret og efterlevet. A4 - Adgang til bygning - der foreligger skriftlige retningslinjer for fysisk sikring. A4 - Bygningsforhold - der er adskillelse imellem offentlige rum og interne kontorlokaler. A4 - Sikring af serverrum - der er sikring imod brand, vand og andre hændelser. A5 Retningslinjer for foranstaltninger for logisk sikkerhed, herunder logning, er udarbejdet, forstået, accepteret og efterlevet. A5 - Password - der er skriftlige retningslinjer for brug af passwords. A5 - Timeout/screensaver - der anvendes screensaver med lås eller anden timeoutfunktion for at minimere risiko for uautoriseret adgang. A5 - Logning - der er etableret skriftlige retningslinjer for logning på platforme således at der opnås sporbarhed. A5 - Åbne netværk - der er etableret skriftlige retningslinjer for brug af åbne netværk med henblik på at sikre personoplysninger. A6 Retningslinjer for administration af autorisationer er udarbejdet, forstået, accepteret og efterlevet. A6 Brugeradministration - der er skriftlige retningslinjer for autorisation af brugere med hensyn til adgang til data som er omfattet af persondataloven. 4

A6 - Brugeradministration Certifikater (fortrolig data) - der foreligger skriftlige retningslinjer som definerer ansvaret for certifikatoprettelse og -nedlæggelse og som angiver hvilke kriterier der oprettes, blokeres og nedlægges efter. A7 Tildelte adgange er i overensstemmelse med arbejdsmæssigt betingede behov (Sikkerhedsbekendtgørelsen 12 og 16 autorisation og adgangskontrol). A7 - Krav om arbejdsbehov - der er kun tildelt dokumenterede adgange i overensstemmelse med arbejdsmæssigt behov. A7 - Krav om arbejdsbehov (admin) - der er udarbejdet særlige skriftlige retningslinjer for personer med administrative privilegier. A8 Tildelte brugeradgange revurderes halvårligt (Sikkerhedsbekendtgørelsen 17). A8 - Revurdering af brugerrettigheder - der foretages periodisk revurdering af brugerrettigheder. A9 Retningslinjer for sikkerhedskopiering er udarbejdet. A9 - Sikkerhedskopiering - der er udarbejdet skriftlige retningslinjer for sikkerhedskopiering. A9 - Sikkerhedskopiering opbevaring - det sikres, at der anvendes sikret opbevaring af backup for at sikre mod uautoriseret adgang. A9 - Sikkerhedskopiering Kryptering - det sikres, at der anvendes kryptering af backup indeholdende personoplysninger for at sikre mod uautoriseret adgang. A10 Retningslinjer for behandling af uddatamateriale (print) er udarbejdet (Sikkerhedsbekendtgørelsen 13). A10 - Uddatamateriale (makulering bl.a.) - der er udarbejdet skriftlige retningslinjer der sikrer, at data ikke kompromitteres i fht. fortrolighed, herunder sikker bortskaffelse af print mv. 5

A11 Retningslinjer for bortskaffelse/reparation af it-udstyr med persondata er udarbejdet. A11 - Reparationer - der er udarbejdet skriftlige retningslinjer for sikker bortskaffelse af data og for reparation af udstyr indeholdende persondata. A12 Retningslinjer for sikring af eksterne kommunikationslinjer er udarbejdet. A12 - Kommunikationslinjer - der er udarbejdet skriftlige retningslinjer for eksterne kommunikationslinjer for at sikre personoplysninger. A13 Alle de interne retningslinjer gennemgås årligt. A13 - Revurdering (forretningsgange mm.) - der er udarbejdet skriftlige retningslinjer og dokumentation for årlig gennemgang og ajourføring af forretningsgange, retningslinjer og beskrivelser. A14 Medarbejdere instrueres om hvorledes behandling af data skal ske. A14 - Instruktion (behandling af data) - medarbejdere er instruerede om hvorledes behandling af data skal ske. A15 Overdragelse af data til leverandører sker sikkert og ved skriftlig kontrakt. A15 - Overdragelse af data til leverandører sker sikkert og ved skriftlig kontrakt - Ved overdragelse er der udarbejdet kontrakt og truffet sikringsforanstaltninger. B. Den registreredes rettigheder B1 Den dataansvarlige har opfyldt sin oplysningspligt. B1 - Pligt til oplysning - den dataansvarlige har opfyldt sin oplysningspligt. B2 Der er indført foranstaltninger til sikring af den registreredes indsigelsesret. 6

B2 - Indsigelse (klage) - der er indført foranstaltninger til sikring af den registredes indsigelsesret. B3 Der er indført foranstaltninger til sikring af den registreredes indsigtsret. B3 - Indsigt i egne data - der er indført foranstaltninger til sikring af den registreredes indsigtsret. B4 Den registreredes ret til at kræve urigtige oplysninger rettet, slettet eller blokeret, sikres overholdt igennem retningslinjer eller lignende sikringsforanstaltninger. B4 - Rettelse i data - der forefindes skriftlige retningslinjer til sikring af den registreredes ret til at kræve urigtige oplysninger rettet, blokeret eller slettet. B5 Der er indført foranstaltninger til sikring af den registreredes ret til at tilbagekalde samtykke. B5 Samtykke - der er indført foranstaltninger til sikring af den registreredes ret til at tilbagekalde samtykke. C. Anmeldelse C1 Anmeldelser til Datatilsynet foreligger, eller undtagelser fra anmeldelse er indhentet. C1 - Formel anmeldelse - der foreligger den nødvendige anmeldelse til Datatilsynet. D. Krav til applikationen og det omkringliggende miljø D1 Data er sikret igennem brug af firewall, der er konfigureret i overensstemmelse med den dataansvarliges sikkerhedspolitik (Sikkerhedsbekendtgørelsen 14). D1 - Firewall konfiguration - der anvendes firewall, til sikring af data, der er konfigureret i overensstemmelse med dataansvarliges sikkerhedspolitik. D2 Der gøres brug af antivirussystemer, og der sker kontinuerligt sikkerhedsopdatering af huller i applikationer (Sikkerhedsbekendtgørelsen 14). D2 - Virus beskyttelse - der gøres brug af antivirussystemer som beskytter data og som opdateres med seneste definitioner. 7

D2 - Sikkerhedsopgradering - der sker kontinuerligt sikkerhedsopdatering af applikationer mv med henblik på at imødegå sikkerhedshuller i applikationer mv. D3 Fysisk sikring af platformene er etableret på betryggende vis. D3 - Fysisk sikring - der er etableret fysisk sikring af platforme på betryggende vis, herunder er der etableret sikring imod brand, vand og andre hændelser i form af eksempelvis nødstrøm, køling og brandslukning. D4 Backup og sikkerhedskopiering gennemføres i overensstemmelse med kravene. D4 - Backup - der gennemføres backup og sikkerhedskopiering i overensstemmelse med kravene i sikkerhedsbekendtgørelsen. D5 Logisk sikkerhed på platformen for applikationen er konfigureret korrekt og hensigtsmæssigt (Sikkerhedsbekendtgørelsen 14). D5 - Tekniske platforme - logisk sikkerhed på platformen for applikationen er konfigureret korrekt og hensigtsmæssigt i forhold til Sikkerhedsbekendtgørelsen. D6 Mulighed for logning på applikationsniveau, så alle adgange og behandlinger på personoplysninger kan logges (Sikkerhedsbekendtgørelsen 18) D6 - Logning (applikation) - der er etableret den fornødne logning på applikationsniveau, så alle adgange til- og behandlinger af Med underskriften bekræftes på tro og love korrektheden af oplysningerne. Dato: Underskrift leverandør 8

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback