Autorisation og adgangskontrol. Leverandøren skal især iagttage følgende vedrørende autorisation og adgangskontrol:
1. Autorisationer skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger.
2. Leverandøren skal sikre, at der foretages et efter omstændighederne passende baggrundstjek for alt personale, der i forbindelse med deres ansættelse vil have adgang til personoplysninger omfattet af databehandleraftalen, uanset i hvilket format personoplysninger måtte være tilgængelige.
3. Kun de personer, som autoriseres dertil, må have adgang til personoplysninger, der behandles.
4. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for.
5. Der må endvidere autoriseres personer, for hvem adgang til personoplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver.
6. Den autoriserede bruger udstyres med en personligt brugeridentifikation og et password, der skal anvendes hver gang, der logges på systemet. Leverandøren skal være sikre at leverandørens medarbejdere modtager tilstrækkelig uddannelse og instruktioner, inklusiv – men ikke begrænset til – uddannelse der tilsigter mod at øge medarbejdernes generelle sikkerhedsbevidsthed, introduktion af relevante sikkerhedspolitikker og procedurer, samt adgang til og uddannelse i dokumenterede processer og arbejdsbeskrivelser særligt vedrørende behandling af personoplysninger. Uddannelse og instruktioner skal omfatte de emner, der er relevante for at sikre, at personoplysninger behandles i overensstemmelse med såvel lovgivningen som leverandørens og den dataansvarliges relevante politikker og procedurer.
7. Autorisation gives til den dataansvarliges systemer af den dataansvarlige efter den dataansvarliges indstilling.
8. Der skal træffes foranstaltninger til at sikre, at kun autoriserede brugere kan få adgang til personoplysninger, og at brugeren kun kan få adgang til de personoplysninger og anvendelser (behandlinger), som den pågældende er autoriseret til.
9. Leverandøren skal have formelle procedurer for håndtering af nulstilling af adgangskoder og andre situationer, hvor den normale logiske adgangskontrol sættes ud af kraft.
Autorisation og adgangskontrol. 3.1 Autorisationer skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger.
3.2 Databehandleren skal sikre, at der foretages et efter omstændighederne passende baggrundstjek for alt personale, der i forbindelse med deres ansættelse vil have adgang til personoplysninger omfattet af Databehandleraftalen, uanset i hvilket format personoplysninger måtte være tilgængelige.
3.2.1 Såfremt den Dataansvarlige stiller krav om, at personale hos Databehandleren, der har adgang til personoplysninger, skal være sikkerhedsgodkendt, skal dette fremgå af Databehandleraftalens 17.2.
3.3 Kun de personer hos Databehandleren, som autoriseres dertil, må have adgang til personoplysninger, der behandles i henhold til Databehandleraftalen. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles.
3.4 Der må endvidere autoriseres personer hos Databehandleren, for hvem adgang til personoplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver.
3.5 Databehandleren skal kunne dokumentere hvilke medarbejdere, der har autorisation til at tilgå personoplysninger, der behandles i henhold til Databehandleraftalen.
3.6 Autoriserede personer hos Databehandleren udstyres med en personlig brugeridentifikation og et personligt password, der skal anvendes hver gang, der logges på systemet. Der skal anvendes 2-faktor-autentificering ved adgang til systemer med følsomme personoplysninger via internettet eller andet usikkert netværk.
Autorisation og adgangskontrol. Alle medarbejder hos Databehandleren, som har adgang til personlige oplysninger er autoriseret af Databehandleren. Autorisationer beskriver formålet med medarbejderens adgang. Medarbejdere har kun adgang til personlige oplysninger for driftsrelaterede eller tekniske formål. Medarbejdere hos Databehandleren har ikke adgang til personlige oplysninger, som ikke er indeholdt i deres autorisation. Databehandleren holder antallet af autorisationer til et minimum. Databehandleren verificerer og opdaterer autorisationer løbende. Autorisationer vil blive ændret eller annulleret når en medarbejder skifter stilling, ansvar eller ansættelsesforhold. Alle ændringer i autorisationer bliver logget af Databehandleren.
Autorisation og adgangskontrol. Brugerne af EasyIQ (Pædagogisk og administrativ personale og elever) xxxxx://xxxxx.xxxx.xx/xxxxx/xxxxxxxx.xxxxxx?xxxxXx=0000000 Leverandørens medarbejdere og underdatabehandlere
Autorisation og adgangskontrol. Databehandleren og dens medarbejdere er ude af stand til at læse passwords eller tilgå data som flyder mellem server og klient (computer). Det samme gælder udefrakommende aktører. Kun almindelige personoplysninger kan ses af databehandleren, dens medarbejdere og brugere af systemet, og kun efter login. Databehandlerens system er password beskyttet og krypteret. Password politikken er som følger: Adgangskoden skal være på mindst 8 karakterer og bestå af mindst ét lille bogstav, ét stort bogstav og ét tal.
Autorisation og adgangskontrol. 2.1 Leverandøren skal sikre, at kun de personer, som autoriseres hertil, må have adgang til personoplysninger, der behandles efter databehandleraftalen.
2.2 Leverandøren skal sikre, at Leverandørens medarbejdere autoriseres og tildeles rettigheder i overensstemmelse med Leverandørens interne retningslinjer efter punkt 1, hvori det er beskrevet, i hvilket omfang Leverandørens medarbejdere må forespørge på, inddatere eller slette oplysninger omfattet af databehandleraftalen.
2.3 Leverandøren må kun autorisere personer, der er beskæftiget med de formål, hvortil personoplysninger behandles i forbindelse med databehandleraftalens opfyldelse. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har specifikt behov for i forbindelse med aftalens opfyldelse.
2.4 Udover det i forrige afsnit angivne må Leverandøren endvidere autorisere brugere, for hvem adgang til oplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver i forbindelse med opfyldelse af formålene med behandlingen af personoplysningerne.
2.5 Leverandøren skal som minimum træffe de foranstaltninger, der er beskrevet i Leverandørens interne retningslinjer efter punkt 1, for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de oplysninger og anvendelser, som de er autoriserede til i forbindelse med databehandleraftalens opfyldelse.
2.6 Leverandøren skal løbende sikre og dokumentere, at de autoriserede brugere fortsat opfylder betingelserne i punkt 3 og Leverandørens interne retningslinjer efter punkt 1. Kontrol heraf skal foretages mindst én gang hvert halve år.
Autorisation og adgangskontrol. Transfer af data mellem UNI-C og Clio Onlines systemer Fysisk datamiljø sikret efter Amazon web services høje standarder
Autorisation og adgangskontrol. [Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2, samt hvis relevant kap. 3, om autorisationer og adgangskontrol]
Autorisation og adgangskontrol. De fysiske forhold omkring hosting og de områder hvori ProReacts ansvar dækkes af hosting partneren er udarbejdet jf. forskrifterne i ISO27001 og revideret under ISAE 3402 type 2 af Deloitte. Systemsikkerheden og applikationsarkitekturen, er udarbejdet på en sådan måde at kundens data altid forbliver i kundens teknisk-sikkerhedsmæssige ejerskab (herefter: ”data domæne”), jf. best pratice for SaaS løsninger og kan kun tilgå af ProReacts system administration og kunden selv, med enkelte undtagelser (specifikt Gruppe funktionalitet) hvor data jf. selvstændig EULA kan deles uden for kundens eget data domæne. Dog skal denne funktionalitet skal eksplicit til vælges. Kunden er selv ansvarlig for at oprette de brugere der har adgang til deres dataset og kan dermed tildele adgang til deres data uden ProReacts vidende eller påvirkningskraft.
Autorisation og adgangskontrol. Medarbejderes adgang til personoplysnin ger begrænses. Adgangen til personoplysningerne er begrænset til de medarbejdere, som har et arbejdsbetinget behov for at kunne behandle personoplysninger for at kunne opfylde Leverandørens forpligtelser over for Kommunen. Kun de personer, der af projektlederen er autoriseret hertil, må have adgang til personoplysningerne. Der føres en liste over autoriserede medarbejdere, med angivelse af, hvilken type adgang autorisationen dækker. Listen over autoriserede medarbejdere opdateres løbende. Ved projektets afslutning lukkes medarbejdernes adgang.