Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
a. Pseudonymisering og kryptering af personoplysninger
b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici.
3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.
Behandlingssikkerhed. 1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan her- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:
a. Pseudonymisering og kryptering af personoplysninger
b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester
c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysnin- ger i tilfælde af en fysisk eller teknisk hændelse
d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikker- hed
3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C.
4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.
Behandlingssikkerhed. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Ovenstående forpligtelse indebærer, at Databehandleren skal foretage en risikovurdering, og herefter gennemføre nødvendige foranstaltninger for at imødegå eventuelt identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:
Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: Databehandlingen omfatter almindelige personoplysninger og vil blive behandlet i overensstemmelse med de grundlæggende principper i Persondataforordningen. Databehandleren sikrer at data opbevares sikkert og udveksles sikkert under kryptering. Databehandleren og dennes medarbejdere er aldrig i besiddelse af brugeres passwords. Databehandleren instruerer sine medarbejdere i at håndtere information sikkert. Databehandleren tager forbehold for brugerens forsætlige videregivelse af følsomme informationer. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau. Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige: Databehandleren sikrer at data håndteres sikkert. Databehandleren har valgt at outsource datalagring til en professionel og certificeret udbyder. Der er kun én hos databehandleren som er i stand til at udføre ændringer på systemets opsætning, og én som under instruktion fra stifter og adm. direktør, kan udføre andre ændringer. Den eksterne professionelle certificerede data-lagringleverandørs serverrum bygger på en moderne og yderst effektiv opsætning af køling, brandsikring, nødstrømsanlæg, nøje udvalgt hardware og netværksopsætning. Dertil er der tilknyttet en 24-timers vagtordning og overvågning af alle services, og ikke mindst store, redundante GBit fiber-forbindelser.
Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databe- handleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsom- kostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers ret- tigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og friheds- rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
Behandlingssikkerhed. Scenit tilstræber, at Tereba har en oppetid på 99%. Oppetid omfatter ikke nedetid på grund af udefrakommende faktorer såsom nedbrud på internetforbindelser, eksterne webservere og vars- lede software-opdateringer. Fejl og mangler på den dataansvarliges internetopkobling eller pro- blemer med browser eller lignende er Scenit uvedkommende. Databehandler overvåger dagligt Tereba, og observerer eventuelle fejl og mangler. Det er dog den dataansvarliges eget ansvar, at alle data i Tereba-profilen er korrekte og opdaterede. Alle databehandlers medarbejdere har kendskab til håndtering af persondata. IT-udstyr og - programmer er sikret med individuelle koder og passwords, som ændres jf. Intern procedure. Databehandler tester nye funktioner i Tereba i forbindelse med opdateringer, så de er klar inden dataansvarlige indtaster sine data. Der tages backup af ændrede data hvert døgn. Tabte data vil således kunne føres tilbage til et tidspunkt før et eventuelt servernedbrud. Frembringelse af data fra backup sker på den dataan- svarliges egen regning. Der tages dog det forbehold, at det trods for dette kan være muligt, at den dataansvarliges informationer ikke kan reetableres efter systemnedbrud. • Der tages internbackup af data ved underdatabehandler ITide A/S dagligt. • Der tages eksternbackup af data ved underdatabehandler Mico: 1 gang ugentligt og d. 1. januar hvert år tages der backup et år tilbage • 1. gang årligt, ved sæsonafslutning, evaluerer databehandler dataindsamlingen. Databehandler træffer de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt kommer til uved- kommende kendskab eller misbrug. Databehandler er forpligtiget til hurtigst muligt at rette væsentlige funktionsfejl, men Scenit yder ingen garanti for, at driften af Tereba vil være uden afbrydelser og fejl. Databehandleren er forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikker- hedsniveau omkring oplysningerne. Logning af aktiviteter sker på virksomhedsprofilniveau, og databehandler kan derfor ikke overvå- ge, hvem der benytter profilen. I tilfælde af force majeure er ingen af partnerne ansvarlige overfor hinanden. Ved force majeure forstås fx krig og mobilisering, borgerluge uroligheder, naturkatastrofer, strejke og lockout, ilde- brand, beskadigelse af produktionsapparat, virus o...
Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: At der er tale om behandling af personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget):
C.3 Opbevaringsperiode/sletterutine
Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: • At der er tale om behandling af personoplysninger omfatter af databeskyttelsesforordnin- gens artikel 6, hvorfor der skal etableres et højt/rimeligt sikkerhedsniveau. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltnin- ger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): • Overførsel og indsamling af data foregår under sikret og krypteret forbindelse. • Opbevaring af data sker under sikret forhold. Der anvendes både kryptering, sikret forbin- delse, adgangskontrol samt adgangsbegrænsning.
Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: • At der ikke er tale om behandling af nogen nævneværdige personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et normalt sikkerhedsniveau. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltnin- ger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): • Der skal ske kryptering af personoplysninger, hvis disse transmitteres til bogføringssyste- met via internet. Virksomhedsnavne kan dog sendes via mail, uanset om disse indeholder personnavne. • Begrænsning af adgangen til personoplysningerne, til de personer som er nødvendige. • Behandlingssystemer og – tjenester er begrænset til databehandlers egne systemer, eller de aftalte underdatabehandleres systemer. • Data må kun opbevares sikret elektronisk (kode), eller via aflåst skab/kontor. • Der er ikke særlige krav til hjemmearbejdspladser, eller til logning.
Behandlingssikkerhed. 3.1 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
3.2 Databehandleren bistår den Dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren.
3.3 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til Databeskyttelsesforordningens artikel 32.
3.4 Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysningerne, kontraktligt har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
3.5 Databehandleren sikrer, at foretage backup af al data i forbindelse med hovedaftalen, herunder webhotel og e-mail-løsning. Backup slettes efter 30 dage efter og al backup-data vil erstattes af de nye data.