Adgangskontrol. Adgangen til Personoplysningerne skal begrænses med en teknisk adgangskontrol. Bruger-ID og kodeord skal være personlige og må ikke overdrages. Der skal findes forretningsgange for tildeling og lukning af adgang.
Adgangskontrol. Som beskrevet i C.2.1.2 har LIFEs medarbejdere ikke administrative adgang til driftsmiljøet på MY:LIFE og ikke adgang til at se eller behandle personoplysningerne der. Hos Clio har få medarbejdere adgang til personoplysningerne med henblik på at problemsøge, og fejlfinde i interne systemer i forhold til at optimere LIFEs produkters performance og dermed understøtte formålet med databehandlingen. Clio har indført procedurer, der sikrer, at adgang til systemer og data er beskyttet af et autorisationssystem med multi-factor authentication (MFA). Medarbejdere oprettes med unik brugeridentifikation og password og brugeridentifikationen anvendes ved tildeling af adgang til ressourcer og systemer. Rettigheder til systemer og data tildeles Clios medarbejdere ud fra et arbejdsbetinget behov, og følger en fast procedure der sikrer, at adgange kun gives efter specifik godkendelse fra manager. Alle medarbejderes rettigheder og adgange gennemgås hver anden måned for at sikre, at de fortsat er korrekt registreret, at nye medarbejdere er oprettet korrekt og gamle er rettidigt lukket.
Adgangskontrol o Adgang til driftsmiljø: gives kun til særligt betroede medarbejdere med behov for adgang til kundedata, og behovet revurderes mindst årligt o Rolle-baseret adgangskontrol: gives på need-to-know basis og kun for de kunder, BEKEY- medarbejderen har behov for o To-trins bekræftelse for adgang til administrationssystemet, sat op for BEKEY og kan yderligere aktiveres per kunde o Der er aflåste døre med personlige adgangskort med koder til andre faciliteter o Login til alle relevante systemer er centralt styret og lukkes hvis medarbejder fratræder. o Loginpolitik (konto spærres efter 3 antal logins) (kan sættes op per kunde) o Beskrevne procedurer for behandlingen o Formaliseret oplæring/Instruktion af personale o Oplysningspligt udføres iht. Artikel 13/14 o Rollebaseret brugerstyring o Kryptering, anonymisering o Logning samt gennemgang af log o For alle medarbejdere i BEKEY uagtet systemadgang indhentes årligt straffeattest.
Adgangskontrol. Serviceanvender skal sikre behørig adgangskontrol til data og services der udbydes på NSP i overensstemmelse med følgende retningslinjer: • Kun den slutbruger, der autoriseres hertil, skal have adgang til data og services der udbydes på NSP. Kun sundhedsorganisationen eller sundhedspersonen selv eller dennes medhjælp må autoriseres som slutbruger. • For slutbrugere, som ikke længere har behov for de autorisationer, de har fået udstedt, skal autorisationerne straks inddrages. Det gælder f.eks. medarbejdere, som flytter til andet arbejdsområde, eller hvis ansættelsesforhold ophører. • Der skal etableres en teknisk adgangskontrol i systemet, således at autoriserede personer skal identificere sig entydigt over for systemet for at få adgang til data og services der udbydes på NSP. Man må ikke anvende andre adgangsoplysninger end sine egne. • Serviceanvender skal ved adgangskontrollen sikre sig, at den, der forsøger at få adgang, er berettiget til at foretage opslag. • Der skal foretages registrering af alle afviste adgangsforsøg.
Adgangskontrol. Databehandleren skal have procedurer for adgangskoder på plads, herunder brug af stærke adgangskoder, to-faktor god- kendelse, periodisk opdatering af adgangskoder og sikring af, at medarbejderne ikke skriver dem ned.
Adgangskontrol. Adgangskontrol skal være fuldt kompatibelt med Vejle Kommunes eksisterende Unilock-anlæg. • Adgangskontrol skal etableres som netværksbaseret på Vejle Kommunes netværk eller via det mobile datanetværk (GPRS) • Alle nye løsninger skal kobles op imod Vejle kommunes egen serverløsning. • Udvidelser på eksisterende løsninger kan ske til lokale løsninger. • Kortlæsere skal både kunne leveres med og uden kodetastatur. • Dørcontroller eller låsecomputer skal etableres som ekstern enhed og placeres i ikke offentlige rum efter aftale med ordregiver. • Der skal leveres el-magnetlåse til adgangskontroldøre.
Adgangskontrol. 4.1 Databehandleren skal sikre, at kun databehandlerens personale har adgang til personoplysninger. Tredjemænd kan dog i fornødent omfang få adgang til personoplysninger, hvis det er relevant for varetagelsen af databehandlerens opgaver og driften af databehandlerens systemer.
4.1.1 Tredjemand som omtalt i stk. 1, må ikke være en underdatabehandler, medmindre betingelserne i persondatalovgivningen og databehandleraftalen er opfyldt.
4.2 Adgangskontrollen skal sikres med brug af kodeord eller lignende.
Adgangskontrol. Adgangen til alle lokaler, hvor der behandles personoplysninger, er sikret. Disse foranstaltninger omfatter følgende:
Adgangskontrol. Serviceaftager skal sikre behørig adgangskontrol til data og services der udbydes på NSP i overensstemmelse med følgende retningslinjer:
Adgangskontrol. Databehandleren skal sørge for, at adgang til personoplysningerne kun er tilladt for autoriserede personer.