Common use of Autorisation og adgangskontrol Clause in Contracts

Autorisation og adgangskontrol. Leverandøren skal især iagttage følgende vedrørende autorisation og adgangskontrol: 1. Autorisationer skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. 2. Leverandøren skal sikre, at der foretages et efter omstændighederne passende baggrundstjek for alt personale, der i forbindelse med deres ansættelse vil have adgang til personoplysninger omfattet af databehandleraftalen, uanset i hvilket format personoplysninger måtte være tilgængelige. 3. Kun de personer, som autoriseres dertil, må have adgang til personoplysninger, der behandles. 4. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. 5. Der må endvidere autoriseres personer, for hvem adgang til personoplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. 6. Den autoriserede bruger udstyres med en personligt brugeridentifikation og et password, der skal anvendes hver gang, der logges på systemet. Leverandøren skal være sikre at leverandørens medarbejdere modtager tilstrækkelig uddannelse og instruktioner, inklusiv – men ikke begrænset til – uddannelse der tilsigter mod at øge medarbejdernes generelle sikkerhedsbevidsthed, introduktion af relevante sikkerhedspolitikker og procedurer, samt adgang til og uddannelse i dokumenterede processer og arbejdsbeskrivelser særligt vedrørende behandling af personoplysninger. Uddannelse og instruktioner skal omfatte de emner, der er relevante for at sikre, at personoplysninger behandles i overensstemmelse med såvel lovgivningen som leverandørens og den dataansvarliges relevante politikker og procedurer. 7. Autorisation gives til den dataansvarliges systemer af den dataansvarlige efter den dataansvarliges indstilling. 8. Der skal træffes foranstaltninger til at sikre, at kun autoriserede brugere kan få adgang til personoplysninger, og at brugeren kun kan få adgang til de personoplysninger og anvendelser (behandlinger), som den pågældende er autoriseret til. 9. Leverandøren skal have formelle procedurer for håndtering af nulstilling af adgangskoder og andre situationer, hvor den normale logiske adgangskontrol sættes ud af kraft.

Autorisation og adgangskontrol. Leverandøren skal især iagttage følgende vedrørende autorisation og adgangskontrol: 1. Autorisationer skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. 2. Leverandøren skal sikre, at der foretages et efter omstændighederne passende baggrundstjek for alt personale, der i forbindelse med deres ansættelse vil have adgang til personoplysninger omfattet af databehandleraftalen, uanset i hvilket format personoplysninger måtte være tilgængelige. 3. Kun de personer, personer som autoriseres dertil, må have adgang til de personoplysninger, der behandles. 4behandles i henhold til Databehandleraftalen. Databehandleren skal kunne dokumentere hvilke medarbejder der har autorisation til at tilgå personoplysninger, der behandles i henhold til Databehandleraftalen. Autoriserede personer skal kunne fremvise billed-id ved on-site databehandling hos Dataansvarlig. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov brug for. 5. Der må endvidere autoriseres personer, for hvem adgang til personoplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. 6. Den autoriserede bruger udstyres med en personligt personlig brugeridentifikation og et personligt password, der skal anvendes hver gang, der logges på systemet. Leverandøren skal være sikre at leverandørens medarbejdere modtager tilstrækkelig uddannelse og instruktioner, inklusiv – men ikke begrænset til – uddannelse der tilsigter mod at øge medarbejdernes generelle sikkerhedsbevidsthed, introduktion af relevante sikkerhedspolitikker og procedurer, samt brugerne får adgang til databehandlingen. Passwords skal skiftes hvert halve år. Passwords skal have en tilstrækkelig længde og uddannelse i dokumenterede processer og arbejdsbeskrivelser særligt vedrørende behandling af personoplysningerkompleksitet. Uddannelse og instruktioner Som udgangspunkt anvendes 2 faktor-autentifikation ved adgang til systemer med følsomme personoplysninger via internettet eller andet usikkert netværk. Autentifikationsmetoden kan f.eks. være Nem-id, SMS-token, Rfid eller lignende. Databehandleren skal omfatte de emner, der er relevante for at sikre, at personoplysninger behandles i overensstemmelse med såvel lovgivningen som leverandørens og den dataansvarliges relevante politikker og procedurer. 7. Autorisation gives til den dataansvarliges systemer af den dataansvarlige efter den dataansvarliges indstilling. 8. Der skal træffes træffe foranstaltninger til at sikre, at kun autoriserede brugere kan få adgang til de personoplysninger, og at brugeren kun kan få adgang til de personoplysninger og anvendelser (behandlinger), som den pågældende er autoriseret til. 9. Leverandøren Databehandleren skal have rimelige restriktioner for fysisk adgang. Områder hvor der sker behandling af personoplysninger i henhold til Hovedaftalen, skal være effektivt adskilt fra områder, hvortil der er generel adgang. Databehandleren skal have formelle procedurer for håndtering af nulstilling af adgangskoder og for andre situationer, hvor den normale logiske adgangskontrol sættes ud af kraft. Databehandleren skal uden unødig forsinkelse inddrage autorisationer og adgange for brugere, der efter en konkret vurdering ikke længere bør have disse.

Autorisation og adgangskontrol. Leverandøren skal især iagttage følgende vedrørende autorisation og adgangskontrol: 1. 4.3.1 Autorisationer skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. 2. Leverandøren skal sikre, at der foretages et efter omstændighederne passende baggrundstjek for alt personale, der i forbindelse med deres ansættelse vil have adgang til personoplysninger omfattet af databehandleraftalen, uanset i hvilket format personoplysninger måtte være tilgængelige. 3. 4.3.2 Kun de personer, personer som autoriseres dertil, må have adgang til de personoplysninger, der behandlesbehandles i henhold til Databehandleraftalen. 4. 4.3.3 Databehandleren skal kunne dokumentere hvilke medarbejder der har autorisation til at tilgå personoplysninger, der behandles i henhold til Databehandleraftalen. 4.3.4 Autoriserede personer skal kunne fremvise billed-id ved on-site databehandling hos Dataansvarlig. 4.3.5 Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov brug for. 5. 4.3.6 Der må endvidere autoriseres personer, for hvem adgang til personoplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. 6. 4.3.7 Den autoriserede bruger udstyres med en personligt personlig brugeridentifikation og et personligt password, der skal anvendes hver gang, der logges på systemet. Leverandøren skal være sikre at leverandørens medarbejdere modtager tilstrækkelig uddannelse og instruktioner, inklusiv – men ikke begrænset til – uddannelse der tilsigter mod at øge medarbejdernes generelle sikkerhedsbevidsthed, introduktion af relevante sikkerhedspolitikker og procedurer, samt brugerne får adgang til databehandlingen. Passwords skal skiftes hvert halve år. Passwords skal have en tilstrækkelig længde og uddannelse i dokumenterede processer og arbejdsbeskrivelser særligt vedrørende behandling af personoplysningerkompleksitet. Uddannelse og instruktioner skal omfatte de emnerSom udgangspunkt anvendes 2 faktor-autentifikation ved adgang til systemer med følsomme personoplysninger via internettet eller andet usikkert netværk. Autentifikationsmetoden kan f.eks. være Nem-id, der er relevante for at sikreSMS-token, at personoplysninger behandles i overensstemmelse med såvel lovgivningen som leverandørens og den dataansvarliges relevante politikker og procedurerRfid eller lignende. 7. Autorisation gives til den dataansvarliges systemer af den dataansvarlige efter den dataansvarliges indstilling. 8. Der 4.3.8 Databehandleren skal træffes træffe foranstaltninger til at sikre, at kun autoriserede brugere kan få adgang til de personoplysninger, og at brugeren kun kan få adgang til de personoplysninger og anvendelser (behandlinger), som den pågældende er autoriseret til. 94.3.9 Databehandleren skal have rimelige restriktioner for fysisk adgang. Leverandøren Områder hvor der sker behandling af personoplysninger i henhold til Hovedaftalen, skal være effektivt adskilt fra områder, hvortil der er generel adgang. 4.3.10 Databehandleren skal have formelle procedurer for håndtering af nulstilling af adgangskoder og for andre situationer, hvor den normale logiske adgangskontrol sættes ud af kraft. 4.3.11 Der skal løbende og mindst en gang hvert halve år foretages kontrol af, om brugerne er tildelt de adgange og autorisationer, som de bør have. Denne kontrol kan f.eks. indebære, at der i systemerne dannes en statistik over den enkelte brugers anvendelse af systemet, så det kan konstateres, om udstedte adgange og autorisationer fortsat anvendes. 4.3.12 Databehandleren skal uden unødig forsinkelse inddrage autorisationer og adgange for brugere, der efter en konkret vurdering ikke længere bør have disse.

Autorisation og adgangskontrol. Leverandøren skal især iagttage følgende vedrørende autorisation og adgangskontrol: 1. 3.1 Autorisationer skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. 2. Leverandøren 3.2 Databehandleren skal sikre, at der foretages et efter omstændighederne passende baggrundstjek for alt personale, der i forbindelse med deres ansættelse vil have adgang til personoplysninger omfattet af databehandleraftalenDatabehandleraftalen, uanset i hvilket format personoplysninger måtte være tilgængelige. 3. 3.2.1 Såfremt den Dataansvarlige stiller krav om, at personale hos Databehandleren, der har adgang til personoplysninger, skal være sikkerhedsgodkendt, skal dette fremgå af Databehandleraftalens 17.2. 3.3 Kun de personerpersoner hos Databehandleren, som autoriseres dertil, må have adgang til personoplysninger, der behandles. 4behandles i henhold til Databehandleraftalen. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. 5. 3.4 Der må endvidere autoriseres personerpersoner hos Databehandleren, for hvem adgang til personoplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. 6. Den autoriserede bruger 3.5 Databehandleren skal kunne dokumentere hvilke medarbejdere, der har autorisation til at tilgå personoplysninger, der behandles i henhold til Databehandleraftalen. 3.6 Autoriserede personer hos Databehandleren udstyres med en personligt personlig brugeridentifikation og et personligt password, der skal anvendes hver gang, der logges på systemet. Leverandøren Der skal være sikre anvendes 2-faktor-autentificering ved adgang til systemer med følsomme personoplysninger via internettet eller andet usikkert netværk. 3.7 Databehandleren skal sikre, at leverandørens dennes medarbejdere modtager den tilstrækkelig uddannelse og instruktioner, inklusiv – men ikke begrænset til – uddannelse der tilsigter mod at øge medarbejdernes generelle sikkerhedsbevidsthed, introduktion af relevante sikkerhedspolitikker og procedurer, samt adgang til og uddannelse i dokumenterede processer og arbejdsbeskrivelser særligt vedrørende behandling af personoplysninger. Uddannelse og instruktioner skal omfatte de emner, der er relevante for at sikre, , at personoplysninger behandles i overensstemmelse med såvel lovgivningen som leverandørens relevant lovgivning samt Databehandlerens og den dataansvarliges relevante Dataansvarliges politikker og procedurerprocedurer herfor. 7. Autorisation gives til den dataansvarliges systemer af den dataansvarlige efter den dataansvarliges indstilling. 8. 3.8 Der skal træffes foranstaltninger til at sikre, at kun autoriserede brugere kan få adgang til personoplysninger, og at brugeren kun kan få adgang til de personoplysninger og anvendelser (behandlinger), som den pågældende er autoriseret til. 9. Leverandøren 3.9 Databehandleren skal have formelle procedurer for håndtering af nulstilling af adgangskoder og for andre situationer, hvor den normale logiske adgangskontrol sættes ud af kraft. 3.10 Der skal mindst en gang hvert halve år foretages kontrol af, at brugerne kun er tildelt de adgange, som de har behov for. Denne kontrol kan f.eks. indebære, at der i systemerne dannes en statistik over den enkelte brugers anvendelse af systemet, således at det kan konstateres, om der er udstedte autorisationer, som ikke er anvendt, og som derfor eventuelt bør inddrages. Ved anvendelse af en sådan statistisk opfølgning vil der fortsat være behov for en konkret vurdering af, om medarbejderen har et fortsat arbejdsmæssigt behov for adgang. 3.11 Databehandleren skal uden unødig forsinkelse inddrage autorisationer (og herunder adgange) for brugere, der ikke længere har behov for autorisationen i forbindelse med brugerens arbejde.

Autorisation og adgangskontrol. Leverandøren Databehandleren skal især iagttage følgende vedrørende autorisation og adgangskontrol: 1. : Autorisationer skal angive, i hvilket omfang brugeren må forespørge, forespørge eller inddatere eller slette personoplysninger. 2. Leverandøren Databehandleren skal sikre, at der foretages et efter omstændighederne passende baggrundstjek for alt personale, der i forbindelse med deres ansættelse vil have adgang til personoplysninger omfattet af databehandleraftalen, uanset i hvilket format personoplysninger måtte være tilgængelige. 3. Kun de personer, som autoriseres dertil, må have adgang til personoplysninger, der behandles. 4. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. 5. Der må endvidere autoriseres personer, for hvem adgang til personoplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. 6. Den autoriserede bruger udstyres med en personligt personlig brugeridentifikation og et password, der skal anvendes hver gang, der logges på systemet. Leverandøren Som udgangspunkt anvendes 2-faktor- autentificering ved adgang til systemer med følsomme personoplysninger via internettet eller andet usikkert netværk. Autentifikationsmetoden kan f.eks. være NemID, SMS-token, Rfid eller lignende. Databehandleren skal være sikre sikre, at leverandørens databehandlerens medarbejdere modtager tilstrækkelig uddannelse og instruktioner, inklusiv – men ikke begrænset til – uddannelse der tilsigter mod at øge medarbejdernes generelle sikkerhedsbevidsthed, introduktion af relevante sikkerhedspolitikker og procedurer, samt adgang til og uddannelse i dokumenterede processer og arbejdsbeskrivelser særligt vedrørende behandling af personoplysninger. Uddannelse og instruktioner skal omfatte de emner, der er relevante for at sikre, at personoplysninger behandles i overensstemmelse med såvel lovgivningen som leverandørens databehandlerens og den dataansvarliges relevante politikker og procedurer. 7. Autorisation gives til den dataansvarliges systemer af den dataansvarlige efter den dataansvarliges indstilling. 8. Der skal træffes foranstaltninger til at sikre, at kun autoriserede brugere kan få adgang til personoplysninger, og at brugeren kun kan få adgang til de personoplysninger og anvendelser (behandlinger), som den pågældende er autoriseret til. 9. Leverandøren Alle ansatte hos databehandleren, der har med elektronisk databehandling at gøre, udstyres med en brugeridentifikation og et password med henblik på adgang til databehandlerens netværk. Brugeridentifikation og password skal anvendes hver gang, brugeren skaber sig intern adgang til databehandling. Eksternt skal adgange til databehandling etableres med 2- faktor-autentifikation. Databehandleren skal have rimelige restriktioner for fysisk adgang. Områder, hvor der sker behandling af personoplysninger, skal ved etablering af ovennævnte adgangskontrol mekanismer være effektivt adskilt fra områder, hvortil der er generel adgang. Databehandleren skal have formelle procedurer for håndtering af nulstilling af adgangskoder og andre situationer, hvor den normale logiske adgangskontrol sættes ud af kraft. Databehandleren skal have formelle procedurer, som håndterer periodisk skift af password til systemerne. For Greve Kommune gælder følgende sikkerhedsniveau i forhold til password: • Password skal som minimum være 8 karakterer (tegn) langt. • Password skal være dannet af tegn, bogstaver og tal. Der skal mindst en gang hvert halve år foretages kontrol af, at brugerne kun er tildelt de adgange, som de har behov for. Denne kontrol kan f.eks. indebære, at der i systemerne dannes en statistik over den enkelte brugers anvendelse af systemet, således at det kan konstateres, om der er udstedte autorisationer, som ikke er anvendt, og som derfor eventuelt bør inddrages. Ved anvendelse af en sådan statistisk opfølgning vil der fortsat være behov for en konkret vurdering af, om medarbejderen har et fortsat arbejdsmæssigt behov for adgang. Databehandleren skal uden ugrundet ophold inddrage autorisationer (og herunder adgange) for brugere, der ikke længere har behov for autorisationen i forbindelse med brugerens arbejde.

Autorisation og adgangskontrol. Leverandøren Databehandleren skal især iagttage følgende vedrørende autorisation og adgangskontrol: 1. : Autorisationer skal angive, i hvilket omfang brugeren må forespørge, forespørge eller inddatere eller slette personoplysninger. 2. Leverandøren Databehandleren skal sikre, at der foretages et efter omstændighederne passende baggrundstjek for alt personale, der i forbindelse med deres ansættelse vil have adgang til personoplysninger omfattet af databehandleraftalen, uanset i hvilket format personoplysninger måtte være tilgængelige. 3. Kun de personer, som autoriseres dertil, må have adgang til personoplysninger, der behandles. 4. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. 5. Der må endvidere autoriseres personer, for hvem adgang til personoplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. 6. Den autoriserede bruger udstyres med en personligt personlig brugeridentifikation og et password, der skal anvendes hver gang, der logges på systemet. Leverandøren Som udgangspunkt anvendes 2-faktor- autentificering ved adgang til systemer med følsomme personoplysninger via internettet eller andet usikkert netværk. Autentifikationsmetoden kan f.eks. være NemID, SMS-token, Rfid eller lignende. Databehandleren skal være sikre sikre, at leverandørens databehandlerens medarbejdere modtager tilstrækkelig uddannelse og instruktioner, inklusiv – men ikke begrænset til – uddannelse der tilsigter mod at øge medarbejdernes generelle sikkerhedsbevidsthed, introduktion af relevante sikkerhedspolitikker og procedurer, samt adgang til og uddannelse i dokumenterede processer og arbejdsbeskrivelser særligt vedrørende behandling af personoplysninger. Uddannelse og instruktioner skal omfatte de emner, der er relevante for at sikre, at personoplysninger behandles i overensstemmelse med såvel lovgivningen som leverandørens databehandlerens og den dataansvarliges relevante politikker og procedurer. 7. Autorisation gives til den dataansvarliges systemer af den dataansvarlige efter den dataansvarliges indstilling. 8. Der skal træffes foranstaltninger til at sikre, at kun autoriserede brugere kan få adgang til personoplysninger, og at brugeren kun kan få adgang til de personoplysninger og anvendelser (behandlinger), som den pågældende er autoriseret til. 9. Leverandøren Alle ansatte hos databehandleren, der har med elektronisk databehandling at gøre, udstyres med en brugeridentifikation og et password med henblik på adgang til databehandlerens netværk. Brugeridentifikation og password skal anvendes hver gang, brugeren skaber sig intern adgang til databehandling. Eksternt skal adgange til databehandling etableres med 2- faktor-autentifikation. Databehandleren skal have rimelige restriktioner for fysisk adgang. Områder, hvor der sker behandling af personoplysninger, skal ved etablering af ovennævnte adgangskontrol mekanismer være effektivt adskilt fra områder, hvortil der er generel adgang. Databehandleren skal have formelle procedurer for håndtering af nulstilling af adgangskoder og andre situationer, hvor den normale logiske adgangskontrol sættes ud af kraft. Databehandleren skal have formelle procedurer, som håndterer periodisk skift af password til systemerne. For Greve Kommune gælder følgende sikkerhedsniveau i forhold til password: • Password skal som minimum være 8 karakterer (tegn) langt. • Password skal skiftes minimum hver 3 måned. • Password skal være dannet af tegn, bogstaver og tal. Der skal mindst en gang hvert halve år foretages kontrol af, at brugerne kun er tildelt de adgange, som de har behov for. Denne kontrol kan f.eks. indebære, at der i systemerne dannes en statistik over den enkelte brugers anvendelse af systemet, således at det kan konstateres, om der er udstedte autorisationer, som ikke er anvendt, og som derfor eventuelt bør inddrages. Ved anvendelse af en sådan statistisk opfølgning vil der fortsat være behov for en konkret vurdering af, om medarbejderen har et fortsat arbejdsmæssigt behov for adgang. Databehandleren skal uden ugrundet ophold inddrage autorisationer (og herunder adgange) for brugere, der ikke længere har behov for autorisationen i forbindelse med brugerens arbejde.