Autorisation og adgangskontrol. 3.1 Autorisationer skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger.
Autorisation og adgangskontrol. Databehandleren skal især iagttage følgende vedrørende autorisation og adgangskontrol: Autorisationer skal angive, i hvilket omfang brugeren må forespørge eller inddatere personoplysninger. Databehandleren skal sikre, at der foretages et efter omstændighederne passende baggrundstjek for alt personale, der i forbindelse med deres ansættelse vil have adgang til personoplysninger omfattet af databehandleraftalen, uanset i hvilket format personoplysninger måtte være tilgængelige. Kun de personer, som autoriseres dertil, må have adgang til personoplysninger, der behandles. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Der må endvidere autoriseres personer, for hvem adgang til personoplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. Den autoriserede bruger udstyres med en personlig brugeridentifikation og et password, der skal anvendes hver gang, der logges på systemet. Som udgangspunkt anvendes 2-faktor- autentificering ved adgang til systemer med følsomme personoplysninger via internettet eller andet usikkert netværk. Autentifikationsmetoden kan f.eks. være NemID, SMS-token, Rfid eller lignende. Databehandleren skal sikre, at databehandlerens medarbejdere modtager tilstrækkelig uddannelse og instruktioner, inklusiv – men ikke begrænset til – uddannelse der tilsigter mod at øge medarbejdernes generelle sikkerhedsbevidsthed, introduktion af relevante sikkerhedspolitikker og procedurer, samt adgang til og uddannelse i dokumenterede processer og arbejdsbeskrivelser særligt vedrørende behandling af personoplysninger. Uddannelse og instruktioner skal omfatte de emner, der er relevante for at sikre, at personoplysninger behandles i overensstemmelse med såvel lovgivningen som databehandlerens og den dataansvarliges relevante politikker og procedurer. Autorisation gives til den dataansvarliges systemer af den dataansvarlige efter den dataansvarliges indstilling. Der skal træffes foranstaltninger til at sikre, at kun autoriserede brugere kan få adgang til personoplysninger, og at brugeren kun kan få adgang til de personoplysninger og anvendelser (behandlinger), som den pågældende er autoriseret til. Alle ansatte hos databehandleren, der har med elektronisk databehandling at gøre, udstyres med en brugeridentifikation og et password med henblik på adgang til databehandlerens netværk. Brugeri...
Autorisation og adgangskontrol. Alle medarbejder hos Databehandleren, som har adgang til personlige oplysninger er autoriseret af Databehandleren. Autorisationer beskriver formålet med medarbejderens adgang. Medarbejdere har kun adgang til personlige oplysninger for driftsrelaterede eller tekniske formål. Medarbejdere hos Databehandleren har ikke adgang til personlige oplysninger, som ikke er indeholdt i deres autorisation. Databehandleren holder antallet af autorisationer til et minimum. Databehandleren verificerer og opdaterer autorisationer løbende. Autorisationer vil blive ændret eller annulleret når en medarbejder skifter stilling, ansvar eller ansættelsesforhold. Alle ændringer i autorisationer bliver logget af Databehandleren.
Autorisation og adgangskontrol. Leverandøren skal især iagttage følgende vedrørende autorisation og adgangskontrol:
Autorisation og adgangskontrol. Brugerne af EasyIQ (Pædagogisk og administrativ personale og elever) xxxxx://xxxxx.xxxx.xx/xxxxx/xxxxxxxx.xxxxxx?xxxxXx=0000000 Leverandørens medarbejdere og underdatabehandlere
Autorisation og adgangskontrol. Databehandleren skal sikre, at kun de personer, som autoriseres hertil, må have adgang til personoplysninger, der behandles efter Databehandleraftalen. Databehandleren skal sikre, at Databehandlerens medarbejdere autoriseres og tildeles rettigheder i overensstemmelse med Databehandlerens interne retningslinjer efter Bilag A, punkt 1, hvori det er beskrevet, i hvilket omfang Databehandlerens medarbejdere må forespørge på, inddatere eller slette oplysninger omfattet af Databehandleraftalen. Databehandleren må kun autorisere personer, der er beskæftiget med de formål, hvortil personoplysninger behandles i forbindelse med Databehandleraftalens opfyldelse. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har specifikt behov for i forbindelse med Tilmeldingsskemaets og Databehandleraftalens opfyldelse. Databehandleren må endvidere autorisere brugere, for hvem adgang til oplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver i forbindelse med opfyldelse af formålene med behandlingen af personoplysningerne. Databehandleren skal som minimum træffe de foranstaltninger, der er beskrevet i Databehandlerens interne retningslinjer efter Bilag A, punkt 1, for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de oplysninger og anvendelser, som de er autoriserede til i forbindelse med Databehandleraftalens opfyldelse. Databehandleren skal løbende sikre og dokumentere, at de autoriserede brugere fortsat opfylder betingelserne i dette punkt, og Databehandlerens interne retningslinjer efter Bilag A, punkt 1. Kontrol heraf skal foretages mindst én gang hvert halve år.
Autorisation og adgangskontrol. [Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2, samt hvis relevant kap. 3, om autorisationer og adgangskontrol]
Autorisation og adgangskontrol. Al fysisk adgang til serverrum er forsynet med personlig og logget adgangskontrol. Al administrativ adgang til infrastruktur via netværk logges og kan kun ske fra autoriserede IP-adresser. Kun autoriseret driftspersonale har fysisk og netværksbaseret adgang til administration af infrastruktur.
Autorisation og adgangskontrol. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles, og brugere må ikke autoriseres til anvendelser, de ikke har behov for i forhold til deres jobfunktion. Der må dog autoriseres personer, for hvem adgang til oplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. Der skal være login- og adgangskodeprocedure, og der skal føres log med navns nævnelse over, hvem der har haft adgang til hvilke persondata og på hvilket tidspunkt. Databehandleren skal til enhver tid kunne fremvise en sådan log på Dataansvarliges foranledning.
Autorisation og adgangskontrol. 2.1 Leverandøren skal sikre, at kun de personer, som autoriseres hertil, må have adgang til personoplysninger, der behandles efter databehandleraftalen.