Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: [Beskriv elementer, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og kryptering af personoplysninger] [Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplysninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandleren.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.
Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelses- forordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltnin- ger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): • Databehandler sikrer vedvarende fortrolighed, integritet, tilgængelighed og robusthed med relevante tekniske foranstaltninger for behandlingssystemer og mulighed for kryp- tering af trafik til og fra Internettet. Kryptering skal aktivt godkendes af den dataansvarli- ge selv i tilfælde af, at der er tale om en webapplikation, som den dataansvarlige selv vedligeholder og anvender via IT-services på databehandlerens serversystemer. Den da- taansvarlige er selv 100% ansvarlig for vedligeholdelse samt tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed i webapplikationen medmindre en se- parat serviceaftale, som kun dækker tekniske foranstaltninger, for webapplikationen er oprettet mellem dataansvarlig og databehandler. • Databehandlerens medarbejdere uddannes og instrueres i sikkerhed om persondata, herunder at transmission af persondata internt i databehandlerens organisation skal ske via krypterede “end-to-end” forbindelser. • Persondata opbevares på databehandlers serversystemer og i databehandlers datacenter gennem IT-services, og beskyttes af firewall.
Behandlingssikkerhed. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Ovenstående forpligtelse indebærer, at Databehandleren skal foretage en risikovurdering, og herefter gennemføre nødvendige foranstaltninger for at imødegå eventuelt identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:
Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: • At der er tale om behandling af personoplysninger omfatter af databeskyttelsesforordnin- gens artikel 6, hvorfor der skal etableres et højt/rimeligt sikkerhedsniveau. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltnin- ger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): • Overførsel og indsamling af data foregår under sikret og krypteret forbindelse. • Opbevaring af data sker under sikret forhold. Der anvendes både kryptering, sikret forbin- delse, adgangskontrol samt adgangsbegrænsning.
Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og
Behandlingssikkerhed. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau. Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre de foranstaltninger, som er aftalt med den dataansvarlige:
Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: Behandlingen omfatter en større mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau. Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige: Databehandleren skal udpege et fast kontakt punkt, som over for den dataansvarlige skal varetage ethvert forhold i relation til behandlingen af personoplysninger på vegne af den dataansvarlige.
Behandlingssikkerhed. Til opfyldelse af nærværende databehandleraftale har Databehandleren forpligtet til at iværksætte og implementere nedenstående foranstaltninger for herigennem at kunne leve op til de af den Dataansvarlige udstukne sikkerheds instrukser.