Autorisation og adgangskontrol. 3.1 Autorisationer skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger.
3.2 Databehandleren skal sikre, at der foretages et efter omstændighederne passende baggrundstjek for alt personale, der i forbindelse med deres ansættelse vil have adgang til personoplysninger omfattet af Databehandleraftalen, uanset i hvilket format personoplysninger måtte være tilgængelige.
3.2.1 Såfremt den Dataansvarlige stiller krav om, at personale hos Databehandleren, der har adgang til personoplysninger, skal være sikkerhedsgodkendt, skal dette fremgå af Databehandleraftalens 17.2.
3.3 Kun de personer hos Databehandleren, som autoriseres dertil, må have adgang til personoplysninger, der behandles i henhold til Databehandleraftalen. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles.
3.4 Der må endvidere autoriseres personer hos Databehandleren, for hvem adgang til personoplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver.
3.5 Databehandleren skal kunne dokumentere hvilke medarbejdere, der har autorisation til at tilgå personoplysninger, der behandles i henhold til Databehandleraftalen.
3.6 Autoriserede personer hos Databehandleren udstyres med en personlig brugeridentifikation og et personligt password, der skal anvendes hver gang, der logges på systemet. Der skal anvendes 2-faktor-autentificering ved adgang til systemer med følsomme personoplysninger via internettet eller andet usikkert netværk.
Autorisation og adgangskontrol. Databehandleren skal sikre, at kun de personer, som autoriseres hertil, må have adgang til personoplysninger, der behandles efter Databehandleraftalen. Databehandleren skal sikre, at Databehandlerens medarbejdere autoriseres og tildeles rettigheder i overensstemmelse med Databehandlerens interne retningslinjer efter Bilag A, punkt 1, hvori det er beskrevet, i hvilket omfang Databehandlerens medarbejdere må forespørge på, inddatere eller slette oplysninger omfattet af Databehandleraftalen. Databehandleren må kun autorisere personer, der er beskæftiget med de formål, hvortil personoplysninger behandles i forbindelse med Databehandleraftalens opfyldelse. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har specifikt behov for i forbindelse med Tilmeldingsskemaets og Databehandleraftalens opfyldelse. Databehandleren må endvidere autorisere brugere, for hvem adgang til oplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver i forbindelse med opfyldelse af formålene med behandlingen af personoplysningerne. Databehandleren skal som minimum træffe de foranstaltninger, der er beskrevet i Databehandlerens interne retningslinjer efter Bilag A, punkt 1, for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de oplysninger og anvendelser, som de er autoriserede til i forbindelse med Databehandleraftalens opfyldelse. Databehandleren skal løbende sikre og dokumentere, at de autoriserede brugere fortsat opfylder betingelserne i dette punkt, og Databehandlerens interne retningslinjer efter Bilag A, punkt 1. Kontrol heraf skal foretages mindst én gang hvert halve år.
Autorisation og adgangskontrol. Alle medarbejder hos Databehandleren, som har adgang til personlige oplysninger er autoriseret af Databehandleren. Autorisationer beskriver formålet med medarbejderens adgang. Medarbejdere har kun adgang til personlige oplysninger for driftsrelaterede eller tekniske formål. Medarbejdere hos Databehandleren har ikke adgang til personlige oplysninger, som ikke er indeholdt i deres autorisation. Databehandleren holder antallet af autorisationer til et minimum. Databehandleren verificerer og opdaterer autorisationer løbende. Autorisationer vil blive ændret eller annulleret når en medarbejder skifter stilling, ansvar eller ansættelsesforhold. Alle ændringer i autorisationer bliver logget af Databehandleren.
Autorisation og adgangskontrol. Brugerne af EasyIQ (Pædagogisk og administrativ personale og elever) xxxxx://xxxxx.xxxx.xx/xxxxx/xxxxxxxx.xxxxxx?xxxxXx=0000000 Leverandørens medarbejdere og underdatabehandlere
Autorisation og adgangskontrol. Databehandleren og dens medarbejdere er ude af stand til at læse passwords eller tilgå data som flyder mellem server og klient (computer). Det samme gælder udefrakommende aktører. Kun almindelige personoplysninger kan ses af databehandleren, dens medarbejdere og brugere af systemet, og kun efter login. Databehandlerens system er password beskyttet og krypteret. Password politikken er som følger: Adgangskoden skal være på mindst 8 karakterer og bestå af mindst ét lille bogstav, ét stort bogstav og ét tal.
Autorisation og adgangskontrol. Al fysisk adgang til serverrum er forsynet med personlig og logget adgangskontrol. Al administrativ adgang til infrastruktur via netværk logges og kan kun ske fra autoriserede IP-adresser. Kun autoriseret driftspersonale har fysisk og netværksbaseret adgang til administration af infrastruktur.
Autorisation og adgangskontrol. Medarbejderes adgang til personoplysnin ger begrænses. Adgangen til personoplysningerne er begrænset til de medarbejdere, som har et arbejdsbetinget behov for at kunne behandle personoplysninger for at kunne opfylde Leverandørens forpligtelser over for Kommunen. Kun de personer, der af projektlederen er autoriseret hertil, må have adgang til personoplysningerne. Der føres en liste over autoriserede medarbejdere, med angivelse af, hvilken type adgang autorisationen dækker. Listen over autoriserede medarbejdere opdateres løbende. Ved projektets afslutning lukkes medarbejdernes adgang.
Autorisation og adgangskontrol. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles, og brugere må ikke autoriseres til anvendelser, de ikke har behov for i forhold til deres jobfunktion. Der må dog autoriseres personer, for hvem adgang til oplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. Der skal være login- og adgangskodeprocedure, og der skal føres log med navns nævnelse over, hvem der har haft adgang til hvilke persondata og på hvilket tidspunkt. Databehandleren skal til enhver tid kunne fremvise en sådan log på Dataansvarliges foranledning.
Autorisation og adgangskontrol. [Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2, samt hvis relevant kap. 3, om autorisationer og adgangskontrol]
Autorisation og adgangskontrol. De fysiske forhold omkring hosting og de områder hvori ProReacts ansvar dækkes af hosting partneren er udarbejdet jf. forskrifterne i ISO27001 og revideret under ISAE 3402 type 2 af Deloitte. Systemsikkerheden og applikationsarkitekturen, er udarbejdet på en sådan måde at kundens data altid forbliver i kundens teknisk-sikkerhedsmæssige ejerskab (herefter: ”data domæne”), jf. best pratice for SaaS løsninger og kan kun tilgå af ProReacts system administration og kunden selv, med enkelte undtagelser (specifikt Gruppe funktionalitet) hvor data jf. selvstændig EULA kan deles uden for kundens eget data domæne. Dog skal denne funktionalitet skal eksplicit til vælges. Kunden er selv ansvarlig for at oprette de brugere der har adgang til deres dataset og kan dermed tildele adgang til deres data uden ProReacts vidende eller påvirkningskraft.