Common use of Behandlingssikkerhed Clause in Contracts

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandlerendatabe- handleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne implementeringsom- kostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder ret- tigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder friheds- rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed ro- busthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger personop- lysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effekti- viteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhedbehand- lingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige dataansvar- lige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør ud- gør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse over- holdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede alle- rede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens forord- ningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren da- tabehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1Sikkerhedsniveauet skal afspejle: [Beskriv elementer, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”. Databeskyttelsesforordningens artikel 32 fastslårDatabehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende hvilke tekniske og organisatoriske foranstaltninger sikkerhedsforanstaltninger, der skal anvendes for at sikre et beskyttelsesniveauskabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, der passer til disse risici. Den som er aftalt med den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig (på baggrund af deres relevans kan det omfatte: a. Pseudonymisering den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og kryptering af personoplysninger b. evne ] [Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure ] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplysninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandleren. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af ” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for anmoder om at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risicifå oplysningerne slette eller tilbageleveret”. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer behand- lingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger personoplys- ninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere vur- dere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger foranstalt- ninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere identi- ficere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information informa- tion til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltningersikkerhedsforan- staltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. 4. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse gennem- førelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemførtgen- nemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. : Pseudonymisering og kryptering af personoplysninger b. personoplysninger evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. -tjenester evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. hændelse en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige Databehandleren er herefter berettiget og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne forpligtet til at sikre vedvarende fortrolighedtræffe beslutninger om, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau. Databehandleren skal dog – under alle omstændigheder og som databehandleren allerede har gennemført minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige: Databehandleren skal behandle personoplysningerne i henhold til forordningens artikel 32, overensstemmelse med nærværende Databehandleraftale og al anden informationde bestemmelser i henholdsvis databeskyttelsesloven eller databeskyttelsesforordningen, der er nødvendig gældende for databehandler. Derudover fremgår krav til databehandleren af hovedaftalen inkl. bilag. Ansatte hos databehandleren, der er beskæftiget med behandling af personoplysninger under denne databehandleraftale, er underlagt tavshedspligt. Alene personale, som autoriseres hertil, må have adgang til de personoplysninger, der behandles under aftalen. Hvis det følger af hovedaftalen, at særlige sikkerhedsgodkendelser er påkrævet for personale, der er beskæftiget med behandling af den dataansvarlige personoplysninger, skal databehandleren sikre, at disse godkendelser tilvejebringes. Databehandleren skal sikre, at dennes medarbejdere modtager tilstrækkelig uddannelse og instruktioner. Databehandleren skal sikre restriktioner for adgang til områder, hvor der sker behandling af personoplysninger - hvad enten dette er manuelt eller elektronisk. Sådanne områder skal ved adgangskontrolmekanismer være adskilt fra områder, hvortil der er generel adgang. Adgangskontrolmekanismerne kan f.eks. omfatte systemer til fysisk adgangskontrol, låse, personsluser, sikkerhedspersonale og overvågningsudstyr. Databehandleren skal sikre begrænsninger på adgangsrettigheder til personoplysninger og et system til adgangskontrol. Adgang til personoplysninger skal være begrænset til medarbejdere, og hvor det er relevant, andre leverandører, med et arbejdsbetinget behov og tildeles efter forudgående godkendelse fra databehandleren. Adgang skal tilbagekaldes, når en bruger ikke længere opfylder kriterierne for at have adgang. Databehandleren skal varetage autorisation for egne medarbejdere og i det omfang det er særskilt aftalt i hovedaftalen, for den dataansvarliges overholdelse medarbejdere. Adgangsrettigheder skal gennemgås periodisk. Databehandleren skal anvende passende logiske autentifikationsmekanismer, eksempelvis adgangskoder, biometri eller lignende. De anvendte autentifikationsmekanismer skal efterleve, hvad der kan opfattes som god skik på området (eksempelvis krav til adgangskoders længde og kompleksitet). Databehandleren skal sikre passende tekniske foranstaltninger til at begrænse risikoen for uautoriseret adgang og/eller installering af sin forpligtelse efter forordningens artikel 32skadelig kode i systemet. Hvis imødegåelse Sådanne foranstaltninger kan omfatte, firewalls, anti-virus software og malware-beskyttelse. Databehandleren skal have procedurer til sikring af, at sikkerhedssystemerne holdes opdaterede. Databehandleren skal have procedurer for ændringshåndtering med henblik på at sikre, at enhver ændring er behørigt autoriseret, testet og godkendt inden implementering. Procedurer skal understøttes af de identificerede risici – efter effektiv funktionsadskillelse og/eller ledelsesopfølgning for at sikre, at ingen enkeltpersoner kan kontrollere en ændring alene. I det omfang det er et krav i medfør af gældende lovgivning eller i øvrigt er omfattet af hovedaftalen med den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemførtdataansvarlige, skal den databehandleren anvende relevante krypteringsteknologier og andre tilsvarende foranstaltninger. I det omfang at det følger af hovedaftalen, skal databehandleren foranstalte, at systemer og data sikkerhedskopieres, samt at sikkerhedskopier opbevares betryggende og i overensstemmelse med det i hovedaftalen anførte. Databehandleren skal foretage logning af personoplysninger i overensstemmelse med det i hovedaftalen indeholdt. Den dataansvarlige angive de er ansvarlig for selv at kontrollere egne medarbejderes og samarbejdspartneres adgang til og behandling af personoplysninger. Databehandleren skal foretage registrering af afviste adgangsforsøg og blokering for yderligere foranstaltningerforsøg efter et nærmere antal på hinanden følgende afviste adgangsforsøg, jf. hovedaftalen. Databehandleren skal have processer for håndtering af brud på datasikkerheden og sikre, at der sker sletning af data inden udstyr, overgives til tredjepart eller i øvrigt bortskaffes. Databehandleren er i øvrigt berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres, i bilag C.gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering : pseudonymisering og kryptering af personoplysninger b. personoplysninger evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. -tjenester evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. hændelse en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32 fastslår32, hvoraf det bl.a. fremgår, at den dataansvarlige og databehandleren, der under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveausikkerhedsniveau, der passer til disse risici. 2. Den dataansvarlige Ovenstående forpligtelse indebærer, at databehandleren skal vurdere risiciene for fysiske personers rettigheder foretage en risikovurdering, og frihedsrettigheder som behandlingen udgør og herefter gennemføre foranstaltninger for at imødegå disse identificerede risici. Afhængig af deres relevans Der kan det omfatteherunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. evne Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester– tjenester c. evne Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1Sikkerhedsniveauet skal afspejle: Beskriv elementer, der er afgørende for sikkerhedsniveauet Eksempelvis: ”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”. Databeskyttelsesforordningens artikel 32 fastslårDatabehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende hvilke tekniske og organisatoriske foranstaltninger sikkerhedsforanstaltninger, der skal anvendes for at sikre et beskyttelsesniveauskabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, der passer til disse risici. Den som er aftalt med den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig (på baggrund af deres relevans kan det omfatte: a. Pseudonymisering den risikovurdering den dataansvarlige har foretaget): Beskriv eventuelle krav vedrørende pseudonymisering og kryptering af personoplysninger b. evne personoplysninger Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne – tjenester Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure hændelse Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt behandlingssikkerhed Beskriv eventuelle krav vedrørende adgang til data via internettet Beskriv eventuelle krav vedrørende beskyttelse af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse data, hvor de transmitteres Beskriv eventuelle krav vedrørende beskyttelse af den dataansvarliges forpligtelse efter forordningens artikel 32data, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige hvor de opbevares Beskriv eventuelle krav vedrørende de tekniske og organisatoriske sikkerhedsforanstaltningerfysisk sikring af lokaliteter, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, hvor der er nødvendig for den dataansvarliges overholdelse behandles personoplysninger Beskriv eventuelle krav vedrørende anvendelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.hjemme-/fjernarbejdspladser Beskriv eventuelle krav vedrørende logning

Behandlingssikkerhed. 1 Henvisninger til ”medlemsstat” i disse bestemmelser skal forstås som en henvisning til ”EØS medlemsstater”. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder frihedsrettigheder, som behandlingen udgør udgør, og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger. b. evne Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester. c. evne Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse. d. en En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder rettigheder, som behandlingen udgør udgør, og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren databehandleren, som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, 32 ved bl.a. blandt andet at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og mod fakturering al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Vilkår for den dataansvarliges kontrol med databehandleren er beskrevet i bilag C. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, , 1 Henvisninger til ”medlemsstat” i disse bestemmelse skal forstås som en henvisning til ”EØS medlemsstater”. sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og mod fakturering al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Vilkår for den dataansvarliges kontrol med databehandleren er beskrevet i bilag C. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen hen- syntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings behand- lings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen be- handlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer behandlings- systemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information in- formation til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges da- taansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden informationinforma- tion, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører gennemfører 1 Henvisninger til ”medlemsstat” i disse bestemmelse skal forstås som en henvisning til ”EØS medlemsstater”. passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandlerendatabe- handleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne implementeringsom- kostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder ret- tigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. 1 Henvisninger til ”medlemsstat” i disse bestemmelse skal forstås som en henvisning til ”EØS medlemsstater”. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder friheds- rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed ro- busthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger personop- lysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effekti- viteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhedbehand- lingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige dataansvar- lige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør ud- gør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse over- holdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede alle- rede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens forord- ningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren da- tabehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. 2. Den dataansvarlige Ovenstående forpligtelse indebærer, at databehandleren skal vurdere risiciene for fysiske personers rettigheder foretage en risikovurdering, og frihedsrettigheder som behandlingen udgør og herefter gennemføre foranstaltninger for at imødegå disse identificerede risici. Afhængig af deres relevans Der kan det omfatteherunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse c. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester d. en En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C. 4. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen hen- syntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings be- handlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor al- vor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske organisa- toriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen be- handlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering pseudonymisering og kryptering af personoplysninger. b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer behandlings- systemer og -tjenester. c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse. d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske tekni- ske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder rettigheder, som behandlingen udgør udgør, og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren databehandleren, som gør vedkommende i stand til at identificere og vurdere vur- dere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges da- taansvarliges forpligtelse efter forordningens artikel 32, 32 ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden informationinfor- mation, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel ar- tikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. 1 Henvisninger til ”medlemsstat” i disse bestemmelse skal forstås som en henvisning til ”EØS medlemsstater”. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren databehandleren, som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og mod fakturering al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Vilkår for den dataansvarliges kontrol med databehandleren er beskrevet i bilag C. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslårSikkerhedsniveauet er fastsat ud fra en vurdering af, at der er en lav risiko forbundet med den dataansvarlige konkrete behandling af personoplysninger omfattet af Databehandleraftalen, jf. den af af den Dataansvarlige gennemførte risikovurdering. Databehandleren er herefter berettiget og databehandlerenforpligtet til at træffe beslutninger om, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende hvilke tekniske og organisatoriske foranstaltninger sikkerhedsforanstaltninger der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den Dataansvarlige (på baggrund af den risikovurdering, den Dataansvarlige har foretaget): Leverandøren skal fastlægge et sæt politikker for informationssikkerhed i relation til opfyldelse af Hovedaftalen, som skal gennemgås med planlagte mellemrum og om nødvendigt årligt. A.5.1.1 Leverandøren skal sikre, at rettigheder og ansvar tilpasses og/eller tilbagekaldes i overensstemmelse med klart definerede procedurer i forbindelse med interne reorganisationer, ansættelsesændringer og opsigelser. A.6.1.1 Leverandøren skal udpege personer med ansvar for specifikke sikkerhedsopgaver, herunder udpege en sikkerhedsansvarlig. A.6.1.1 Leverandøren skal sikre, at Leverandørens medarbejdere kun har adgang til de personoplysninger, som de specifikt er autoriseret til at benytte i relation til opfyldelse af Hovedaftalen og den til enhver tid gældende risikovurdering. A.9.1.2 Leverandøren skal identificere de informationsaktiver (hardware, software, og netværk), der anvendes til opfyldelse af Hovedaftalen, og udarbejde og vedligeholde en oversigt over disse informationsaktiver med planlagte mellemrum og om nødvendigt årligt. A.8.1.1 Leverandøren skal anvende dokumenterede driftsprocedurer, herunder ændringsprocedurer, i it-systemer der anvendes i forbindelse med opfyldelse af Hovedaftalen. Leverandøren skal endvidere regelmæssigt overvåge disse procedurer. A.12.1.1 Leverandøren skal adskille udviklings-, test- og driftsmiljøer i relation til opfyldelse af Hovedaftalen for at nedsætte risikoen for uautoriseret adgang til eller ændringer af driftsmiljøet, hvori der behandles personoplysninger. Såfremt der ikke må testes på personoplysninger, skal dette fremgå specifikt af databehandleraftalen. A.12.1.4 Leverandøren skal fastlægge internt ledelsesansvar og procedurer for at sikre et beskyttelsesniveauhurtig, der passer effektiv og planmæssig håndtering, herunder af passende ledelseskanaler, af informationssikkerhedsbrud (herunder brud på persondatasikkerhed) relateret til disse risiciopfyldelse af Hovedaftalen, så hurtigt som muligt. Den dataansvarlige A.16.1.2 Leverandøren skal vurdere risiciene for fysiske personers rettigheder sikre, at alle medarbejdere og frihedsrettigheder som behandlingen udgør samarbejdsparter opretholder informationssikkerhed i overensstemmelse med organisationens fastlagte politikker og gennemføre foranstaltninger for procedurer. A.7.2.1 Leverandøren skal sikre, at imødegå disse risici. Afhængig Leverandørens medarbejdere er tilstrækkeligt informeret om sikkerhedsforanstaltninger i de dele af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden informationit-systemet, der er nødvendig relevante for deres jobfunktion, og omfattet af Hovedaftalen. A.7.2.2 Leverandøren skal fastlægge, dokumentere og vedligeholde en politik for adgangsstyring i relation til kontraktens opfyldelse i overensstemmelse med den dataansvarliges overholdelse til enhver tid gældende persondatamæssige risikovurdering. A.9.1.1 Leverandøren skal minimere brugen af sin forpligtelse efter forordningens artikel 32fælleskonti i relation til Hovedaftalen. Hvis imødegåelse Såfremt brugen af fælleskonti er nødvendig, skal Leverandøren sikre, at alle brugere af en given fælleskonto er autoriseret til at benytte de oplysninger, fælleskontoen giver adgang til. A.9.4.4 Leverandøren skal sikre, i de tilfælde hvor applikationen ikke er beskyttet af forsvarets netværk (FIIN), at der implementeres en adgangskontrolmekanisme, der giver adgang til it-systemet. Der skal i den forbindelse som minimum anvendes en kombination med brugernavn/adgangskode. A.9.4.3 Leverandøren skal definere og dokumentere en adgangskodepolitik. Adgangskodepolitikken skal som minimum indeholde oplysning om adgangskoders længde, kompleksitet, gyldighedsperiode samt antal acceptable mislykkede loginforsøg. A.9.1.1 Leverandøren skal sikre, at logning udføres, opbevares og gennemgås regelmæssigt. Logning skal omfatte registrering af brugeraktivitet, adgang til data (læse, ændre og slette), undtagelser, fejl og informationssikkerhedshændelser i relation til opfyldelsen af Hovedaftalen. A.12.4.1 Leverandøren skal beskytte logningsfaciliteter og logoplysninger i relation til Hovedaftalen mod manipulation og uautoriseret adgang. A.12.4.2 Leverandøren skal sikre, at urene i alle relevante informationsbehandlingssystemer, der anvendes i relation til Hovedaftalen, er synkroniseret til en enkelt referencetidskilde. A.12.4.4 Leverandøren skal i relation til Hovedaftalens opfyldelse sikre, at databaseservere og applikationsservere konfigureres, således at de kører ved hjælp af en separat konto med minimale operativsystemprivilegier for at fungere korrekt. A.12.5.1 Leverandøren skal sikre, at brugere ikke har adgang til at ændre i eksisterende sikkerhedsinstallationer, medmindre dette er aftalt i Hovedaftalen. A.12.2.1 Leverandøren skal sikre, at anti-virus applikationer konfigureres med fast interval. A.12.2.1 Leverandøren skal sikre, at systemet har sessions time-outs, når brugeren har været inaktiv i en nærmere fastlagt periode. N/A Leverandøren skal sikre, at kritiske sikkerhedsopdateringer udgivet af operativsystemudvikleren installeres regelmæssigt. A.12.5.1 Leverandøren sikrer, at fjernadgang til den pågældende it-service er beskyttet af kryptering. A.13.1.1 Leverandøren skal sikre, at der i overensstemmelse med dokumenterede procedurer udføres backup af information, programmel og system-images, der anvendes i relation til Hovedaftalen. A12.3.1 Leverandøren skal sikre, at backup gives et passende niveau af fysisk beskyttelse, der er i overensstemmelse med det niveau, der anvendes på de originale data. N/A Leverandøren skal sikre, at der tages en inkrementel backup en gang dagligt, og at denne kontrolleres. N/A Leverandøren skal implementere en politik og understøttende sikkerhedsforanstaltninger til styring af de identificerede risici – efter risici, der opstår ved anvendelse af mobilt udstyr i forbindelse med opfyldelse af den dataansvarliges vurdering – kræver gennemførelse Hovedaftalen. A.6.2.1 Leverandøren skal sikre, at mobilt udstyr, der giver adgang til it-systemet i relation til opfyldelsen af yderligere foranstaltninger end de foranstaltningerden Hovedaftalen, er forhåndsregistreret og forhåndsgodkendt. A.6.2.1 Leverandøren skal sikre, at mobilt udstyr, der anvendes i relation til opfyldelse af Hovedaftalen er underlagt samme niveau af adgangskontrolprocedurer (til systemer, hvori der behandles personoplysninger) som andre arbejdsstationer m.v., der anvendes i relation til opfyldelse af Hovedaftalen. A.6.2.1 Leverandøren skal fastlægge og anvende regler i overensstemmelse med best practice for udvikling af programmel, som databehandleren allerede har gennemførtLeverandøren anvender til opfyldelse af Hovedaftalen. A.14.2.1 Leverandøren skal sikre, at sikkerhedsrelaterede krav indgår i kravene til nye informationssystemer eller forbedringer af eksisterende informationssystemer, som Leverandøren anvender i relation til opfyldelse af Hovedaftalen. A.14.1.1 Leverandøren skal den dataansvarlige angive de yderligere foranstaltningersikre, at standarder for sikker kodning følges i forbindelse med opfyldelse af Hovedaftalen. A.14.2.1 Leverandøren skal etablere godkendelsestestprogrammer og relaterede kriterier for nye informationssystemer, opgraderinger og nye versioner af programmel, som Leverandøren anvender i relation til opfyldelse af Hovedaftalen. A.14.2.9 Leverandøren skal bortskaffe medier, der har været anvendt til opfyldelse af Hovedaftalen, når der ikke længere er brug for dem, på forsvarlig vis og i overensstemmelse med formelle procedurer. A.8.3.2 Leverandøren skal gennemføresbeskytte fysiske områder i relation til opfyldelse af Hovedaftalen med passende adgangskontrol for at sikre, i bilag C.at kun autoriseret personale kan få adgang. A.11.1.2 Personoplysningerne opbevares hos Databehandleren, indtil den Dataansvarlige anmoder om at få oplysningerne slettet eller tilbageleveret, eller der sker aflevering til Rigsarkivet efter arkivlovens bestemmelser.

Behandlingssikkerhed. 1. 6.1 Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger 1 Henvisninger til ”medlemsstat” i disse bestemmelser skal forstås som en henvisning til ”EØS medlemsstater”. b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. 6.2 Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere vur- dere risiciene for fysiske personers rettigheder rettigheder, som behandlingen udgør og gennemføre foranstaltninger foranstalt- ninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren databehandleren, som gør vedkommende i stand til at identificere identi- ficere og vurdere sådanne risici. 3. 6.3 Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information informa- tion til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltningersikkerhedsforan- staltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse gennem- førelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne implementerings- omkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren data- behandleren, som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og mod fakturering al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Vilkår for den dataansvarliges kontrol med databehandleren er beskrevet i bilag C. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1Sikkerhedsniveauet skal afspejle: • [Beskriv elementer, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelses- forordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”. Databeskyttelsesforordningens artikel 32 fastslårDatabehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende hvilke tekniske og organisatoriske foranstaltninger sikkerhedsforanstaltninger, der skal anvendes for at sikre et beskyttelsesniveauskabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltnin- ger, der passer til disse risici. Den som er aftalt med den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig (på baggrund af deres relevans kan det omfatte: a. Pseudonymisering den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og kryptering af personoplysninger b. evne ] [Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed tilgæn- gelighed og robusthed af behandlingssystemer og -tjenester c. evne – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen adgan- gen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure ] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering evalue- ring af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.behandlingssik- kerhed] [Beskriv eventuelle krav vedrørende adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplys- ninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.C.3 Opbevaringsperiode/sletterutine

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger for med henblik på at sikre et beskyttelsesniveauforhindre Personoplysninger mod a) utilsigtet eller ulovlig destruktion, der passer til disse risicitab eller ændring, b) uautoriseret offentliggørelse, adgang eller misbrug, eller c) anden ulovlig behandling. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og Databehandleren garanterer at ville gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de passende tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2på en sådan måde, at behandling opfylder kravene i Databeskyttelseslovgivningen. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik Databehandleren har på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende underskriftstidspunktet implementeret de i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de Bilag 2 beskrevne tekniske og organisatoriske sikkerhedsforanstaltninger. Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige om ethvert brud på persondatasikkerheden, som databehandleren allerede har gennemført i henhold der potentielt kan føre til forordningens artikel 32hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til Personoplysninger behandlet for den Dataansvarlige (”Sikkerhedsbrud”). Underretningen skal indeholde en beskrivelse af i) karakteren af Sikkerhedsbruddet, herunder om muligt kategorierne og al anden informationdet omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger; ii) de sandsynlige konsekvenser af Sikkerhedsbruddet; og iii) de foranstaltninger, der er nødvendig truffet eller foreslået af Databehandleren med henblik på at afhjælpe Sikkerhedsbruddet, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger. Databehandleren skal efter anmodning bistå den dataansvarliges Dataansvarlige med at sikre overholdelse af sin forpligtelse efter forordningens artikel 32krav om anmeldelse af og underretning om Sikkerhedsbrud til den kompetente tilsynsmyndighed og/eller registrerede. Hvis imødegåelse af de identificerede risici – efter I det omfang Sikkerhedsbruddet ikke kan tilregnes Databehandleren, er Databehandleren berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed. Databehandleren skal i fornødent omfang og på den dataansvarliges vurdering – kræver Dataansvarliges anmodning bistå den Dataansvarlige med gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.konsekvensanalyser og forudgående høring af tilsynsmyndigheden.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandlerendatabe- handleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne implementeringsom- kostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder ret- tigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder friheds- rettigheder, som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed ro- busthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger personop- lysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effek- tiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhedbe- handlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige dataansvar- lige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør ud- gør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren databehandleren, som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse over- holdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede alle- rede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens forord- ningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren da- tabehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige databehandleren og databehandlerenunderdatabehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, , 1 Henvisninger til ”medlemsstat” i disse bestemmelse skal forstås som en henvisning til ”EØS medlemsstater”. sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige Databehandleren skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren underdatabehandleren – uafhængigt af den dataansvarlige databehandleren – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige databehandleren stille den nødvendige information til rådighed for databehandleren underdatabehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal underdatabehandleren bistå databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges databehandlerens forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige databehandleren vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren underdatabehandleren allerede har gennemført i henhold til forordningens artikel 32, og mod fakturering al anden information, der er nødvendig for den dataansvarliges databehandlerens overholdelse af sin forpligtelse efter forordningens artikel 32. Vilkår for databehandlerens kontrol med underdatabehandleren er beskrevet i bilag C. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges databehandlerens vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren underdatabehandleren allerede har gennemført, skal den dataansvarlige databehandleren angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1Sikkerhedsniveauet skal afspejle: • [Beskriv elementer, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttel- sesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etable- res et ”højt” sikkerhedsniveau”. Databeskyttelsesforordningens artikel 32 fastslårDatabehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende hvilke tekniske og organisatoriske foranstaltninger sikkerhedsforanstaltninger, der skal anvendes for at sikre et beskyttelsesniveauskabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltnin- ger, der passer til disse risici. Den som er aftalt med den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig (på baggrund af deres relevans kan det omfatte: a. Pseudonymisering den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og kryptering af personoplysninger b. evne ] [Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed tilgæn- gelighed og robusthed af behandlingssystemer og -tjenester c. evne – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen ad- gangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure ] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering evalue- ring af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.behandlings- sikkerhed] [Beskriv eventuelle krav vedrørende adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplys- ninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.C.3 Opbevaringsperiode/sletterutine

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige Dataansvarlige og databehandlerenDatabehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige Dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren Databehandleren – uafhængigt af den dataansvarlige Dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige Dataansvarlige stille den nødvendige information til rådighed for databehandleren Databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren Databehandleren bistå den dataansvarlige Dataansvarlige med vedkommendes overholdelse af den dataansvarliges Dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige Dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren Databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges Dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges Dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren Databehandleren allerede har gennemført, skal den dataansvarlige Dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer behand- lingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde til- fælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information informa- tion til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltningersikkerhedsforan- staltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. 4. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse gennem- førelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemførtgen- nemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og og 1 Henvisninger til ”medlemsstat” i disse Bestemmelser skal forstås som en henvisning til ”EØS medlemsstater”. alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, Sikkerhedsniveauet skal afspejle: [Beskriv – under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettighederfrihedsrettigheder – elementerne, gennemfører passende som er afgørende for sikkerhedsniveauet] [Eksempelvis] ”Behandlingen omfatter en større mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau.”] Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske foranstaltninger sikkerhedsforanstaltninger, der skal gennemføres for at sikre et beskyttelsesniveauetableret det nødvendige (og aftalte) sikkerhedsniveau. Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foranstaltninger, der passer som er aftalt med den Dataansvarlige: [Beskriv kravene til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering pseudonymisering og kryptering af personoplysninger b. evne ] [Beskriv kravene vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne –tjenester] [Beskriv kravene vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure ] [Beskriv kravene vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt behandlingssikkerheden] [Beskriv kravene vedrørende adgang til oplysningerne via internettet] [Beskriv kravene vedrørende beskyttelse af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information oplysninger under transmission] [Beskriv kravene vedrørende beskyttelse af oplysninger under opbevaring] [Beskriv kravene vedrørende fysisk sikring af lokaliteter, hvor der behandles oplysninger] [Beskriv kravene vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv kravene vedrørende logning] [Som supplement eller alternativ til rådighed for databehandleren som gør vedkommende ovenstående oplistning af sikkerhedsforanstaltninger vedrørende persondata, kan der henvises til sikkerhedskravene i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.Bilag 14 (Sikkerhed)]

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer behand- lingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde til- fælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere vur- dere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger foranstalt- ninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere identi- ficere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information informa- tion til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltningersikkerhedsforan- staltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse gennem- førelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemførtgen- nemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens Behandlingen involverer personoplysninger, og Databehandleren implementerer alle nødvendige foranstaltninger i forhold til GDPR artikel 32 fastslår32, idet at den dataansvarlige og databehandleren, under hensyntagen når der tages hensyn til det aktuelle tekniske faktiske niveau, implementeringsomkostningerne og karakteren af den pågældende behandlings karakterbehandling, omfang, sammenhæng kontekst og formål samt risiciene af varierende sandsynlighed risici for forskellige muligheder og alvor for af fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske skal der gennemføres et nødvendigt sikkerhedsniveau. Databehandleren er herefter berettiget og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne forpligtet til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende træffe beslutninger om de tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) niveau af datasikkerhed. Databehandleren skal dog – under alle omstændigheder og som databehandleren allerede minimum – dokumentere overholdelse af ISAE 3000-rammen eller lignende rammer, herunder implementere følgende foranstaltninger: ● Informationssikkerhedspolitik; herunder overordnede retningslinjer og krav til informationssikkerhed samt organisering af informationssikkerhed såsom oplysninger om virksomhedens informationssikkerhedsansvarlige ● Medarbejdersikkerhed; herunder baggrundstjek, gennemgang af straffeattest samt fortrolighedserklæringer/-erklæringer ● Adgangskontrol/styring; herunder begrænsning af adgang til data kun til dem, der har gennemført et arbejdsrelateret behov, så forpligtelser i henhold til forordningens artikel 32Aftalen kan opfyldes ● Kryptografi; Herunder kryptering af data i overførsel ● Fysisk beskyttelse og miljøbeskyttelse; Herunder beskyttelse af fysiske adgangspunkter til databehandlerens lokationer ● Driftssikkerhed; herunder implementerede processer til håndtering af udviklings- og forandringsstyring, backup, logning samt overvågning af og beskyttelse mod tekniske sårbarheder ● Kommunikationssikkerhed; Herunder beskyttelse og opdeling af netværk samt etablerede sikre kommunikationsformer ● Anskaffelse, udvikling og vedligeholdelse af systemer; Herunder proces for sikker udvikling ● Underdatabehandlere; Herunder proces til sikring af, at underdatabehandlere lever op til de samme forpligtelser som beskrevet i denne databehandleraftale samt proces for løbende opfølgninger ● Håndtering af brud på informationssikkerheden; Inklusive ”incident response ”-proces, samt proces Side 16 af 17 for underretning af den dataansvarlige ● Informationssikkerhedsaspekter med nød-, alarm- og genetableringsstyring; Herunder implementeret Business Continuity Management Proces Hvis den dataansvarlige anmoder om data vedrørende sikkerhedsforanstaltninger, dokumentation eller andre former for data vedrørende, hvordan databehandleren behandler personoplysninger, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af sådanne data overstiger de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltningerstandarddata, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltningerhar afgivet til opfyldelse af gældende lovgivning om behandling af personoplysninger som databehandler, der skal gennemføresog dette medfører ekstra arbejde for databehandleren, i bilag C.er databehandleren berettiget til at kræve betaling af den dataansvarlige for dette ekstra arbejde.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. 1 Henvisninger til ”medlemsstat” i disse bestemmelser skal forstås som en henvisning til ”EØS-medlemsstater”. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger. b. evne Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester–tjenester. c. evne Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse. d. en En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1 Henvisninger til ”medlemsstat” i disse bestemmelse skal forstås som en henvisning til ”EØS medlemsstater”. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. a) Pseudonymisering og kryptering af personoplysninger b. evne b) Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne c) Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en d) En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandlerendatabe- handleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne implementeringsom- kostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder ret- tigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. 1 Henvisninger til ”medlemsstat” i disse bestemmelser skal forstås som en henvisning til ”EØS medlemsstater”. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder friheds- rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed ro- busthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger personop- lysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effekti- viteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhedbehand- lingssikkerhed. Afprøvning og vurdering i overensstemmelse med d. indgår blandt andet i Abakions årlige ISAE-revision. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige dataansvar- lige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør ud- gør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse over- holdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede alle- rede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens forord- ningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren da- tabehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1Sikkerhedsniveauet skal afspejle: Behandlingen omfatter en begrænset mængde personoplysninger, som ikke er omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor sikkerhedsniveauet skal tilrettelægges på denne baggrund. Databeskyttelsesforordningens artikel 32 fastslårDatabehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende hvilke tekniske og organisatoriske foranstaltninger sikkerhedsforanstaltninger, der skal gennemføres for at sikre etableret det nødvendige (og aftalte) sikkerhedsniveau. Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige: Databehandleren etablerer i samarbejde med underdatabehandlerne tilstrækkelige tekniske sikkerhedsforanstaltninger, som sikrer at data opbevares og overføres sikkert, herunder kryptering af datatrafik, segmentering af netværk og overvågning af servere. Disse evalueres løbende baseret på risikovurderingen. Servere og arbejdsstationer med adgang til personoplysninger anvender enten Linux eller Mac OSX som operativsystem, og holdes løbende opdateret. Databehandleren foretager interne kontroller af dennes ledelse. Medarbejdere uddannes i behandling af persondata i forbindelse med opstart, samt en gang årligt og tildeles kun adgang til kundedata såfremt de har et beskyttelsesniveauarbejdsbetinget behov hertil. Databehandleren udfører løbende sletteprocedurer, som sikrer at data ikke opbevares længere tid end der stå foreskrevet i Bestemmelserne. Der er ligeledes desuden udarbejdet vejledninger til de dataansvarlige til hvordan data kan slettes og anonymiseres i systemet. Databehandleren kontrollerer relevante underdatabehandlerne i forbindelse med regelmæssige kontroller og revisioner, hvor det bl.a. kontrolleres, om underdatabehandlerne lever op til databehandlerens egne og de dataansvarliges krav samt krav fra love, forordninger eller tilsynsorganisationer. Databehandleren foretager løbende awareness-træning hos medarbejdere for at sikre, at sikkerhedsbrud hurtigt kan identificeres hos databehandleren. I tilfælde af evt. sikkerhedsbrud, så som datalæk eller hacking, har databehandleren udarbejdet en sikkerhedsprocedure til håndtering af dette, som sikrer korrekt anmeldelse af bruddet til de dataansvarlige. Databehandleren får udarbejdet en årlig revionserklæring fra en uafhængig revisor baseret på ISAE-3000 standarden, eller en anden passende standard, der passer til på passende vis giver et retvisende billede af databehandlerens overholdelse af disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder Bestemmelser og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse beskyttelse af den dataansvarliges forpligtelse efter forordningens artikel 32personoplysninger. Databehandlerens konkrete sikkerhedsforanstaltninger vil yderligere fremgå af den årlige ISAE 3000-erklæring, ved bl.a. at stille den nødvendige information som vil blive stillet til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.på dennes anmodning.

Behandlingssikkerhed. 1Databehandleren er berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og orga- nisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databeskyttelsesforordningens artikel 32 fastslårDatabehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltnin- ger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): - EQ Work® Arbejdsmiljøsiden er placeret med Wildcard SSL-certifikat og inkluderer krypte- ring af systemet - Databehandler har iværksat og opretholder organisatoriske, administrative og it-tekniske foranstaltninger, som forhindrer, at den dataansvarlige og databehandlerende behandlede data hændeligt eller ulovligt tilintetgø- res, under hensyntagen fortabes, forringes, kommer til det aktuelle tekniske niveauuvedkommendes kendskab, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering misbruges eller i øvrigt be- handles i strid med lov om behandling af personoplysninger b. evne . - Databehandler tilsikrer at dennes medarbejdere er pålagt tavshedspligt i relation til be- handlingen af person-data, herunder ikke-følsomme personoplysninger, som disse får ad- gang til i forbi med databehandlingen. - Databehandler kan lade databehandlingen ske helt eller delvist fra hjemmearbejdspladser eller fra lokaler, som Databehandler ikke fast driver virksomhed fra, men er forpligtet til at sikre vedvarende fortrolighedkryptering af persondata-kommunikation via åbne net. - Data opbevares i Microsoft Azure i Nordeuropa. Databehandler kan ikke diktere opbeva- ringen af data. - Databehandler må ikke gemme data i større systematisk omfang, integritetsom medfører at person- datalovens §41 stk. 4 (”Krigsreglen”) kan finde anvendelse. - Dataansvarlig indestår for, tilgængelighed at denne lovligt kan behandle de oplysninger, som dataansvarlig giver databehandler instruks til at behandle. - Dataansvarlig forpligtiger sig til at udøve god databehandlingsskik, herunder at dataansvar- lig sikrer eget udstyr og robusthed infrastruktur på en sådan måde, at dette ikke udgør en risiko for databehandlers overholdelse af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden dennes forpligtelser. Eksempel – afhængig af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til hvad der le- veres: Dette omfatter blandet andet sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt dataansvarlig’ netværk, slutpunkts beskyt- telse af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør enheder med antivirus og gennemføre foranstaltninger firewalls, struktureret og sikker håndtering af brugerkonti og adgange, sikring af backups og afprøvning af mulighed for at imødegå disse risicigendanne data. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand - Dataansvarlig er pligtig til at identificere og vurdere sådanne risici. 3evt. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32tredjeparter der optræder på dataansvarlig’ vegne, ved bl.aefter- lever de samme forpligtelser som dataansvarlig. Dataansvarlig er pligtig til at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltningersikre, at der ikke foretages indgreb eller operationer, som databehandleren allerede har gennemført i henhold til forordningens artikel 32kan kompromittere eller besværliggøre Da- tabehandler’ databehandling, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.uden forudgående godkendelse fra databehandler.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige Dataansvarlige og databehandlerenDatabehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige Dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren Databehandleren – uafhængigt af den dataansvarlige – Dataansvarlige –også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige Dataansvarlige stille den nødvendige information til rådighed for databehandleren Databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren Databehandleren bistå den dataansvarlige Dataansvarlige med vedkommendes overholdelse af den dataansvarliges Dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige Dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren Databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges Dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges Dataansvarliges vurdering – –kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren Databehandleren allerede har gennemført, skal den dataansvarlige Dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings be- handlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske orga- nisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans re- levans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer behandlings- systemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske tekni- ske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger foran- staltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltningersikkerhedsforanstaltnin- ger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse gennemfø- relse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemførtgennem- ført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, databe- handleren - under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne implementeringsom- kostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder ret- tigheder og frihedsrettigheder, gennemfører frihedsrettigheder - skal gennemføre passende tekniske og organisatoriske organisatori- ske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder friheds- rettigheder, som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det dette omfatte: a. Pseudonymisering pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed ro- busthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger personop- lysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effekti- viteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhedbehand- lingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige dataansvar- lige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør ud- gør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren databehandleren, som gør vedkommende i stand til at identificere og vurdere sådanne så- danne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse over- holdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede alle- rede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens forord- ningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver kræ- ver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren data- behandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige Dataansvarlige og databehandlerenDatabehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige Dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester−tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren Databehandleren – uafhængigt af den dataansvarlige Dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige Dataansvarlige stille den nødvendige information til rådighed for databehandleren Databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren Databehandleren bistå den dataansvarlige Dataansvarlige med vedkommendes overholdelse af den dataansvarliges Dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige Dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren Databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges Dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges Dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren Databehandleren allerede har gennemført, skal den dataansvarlige Dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og og 1 Henvisninger til ”medlemsstat” i disse bestemmelse skal forstås som en henvisning til ”EØS medlemsstater”. alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen hen- syntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger foranstalt- ninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen be- handlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer behandlingssy- stemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information infor- mation til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges data- ansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed rå- dighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1Sikkerhedsniveauet skal afspejle:  [Beskriv elementer, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttel- sesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etable- res et ”højt” sikkerhedsniveau”. Databeskyttelsesforordningens artikel 32 fastslårDatabehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende hvilke tekniske og organisatoriske foranstaltninger sikkerhedsforanstaltninger, der skal anvendes for at sikre et beskyttelsesniveauskabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltnin- ger, der passer til disse risici. Den som er aftalt med den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig (på baggrund af deres relevans kan det omfatte: a. Pseudonymisering den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og kryptering af personoplysninger b. evne ] [Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed tilgæn- gelighed og robusthed af behandlingssystemer og -tjenester c. evne – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen ad- gangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure ] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering evalue- ring af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.behandlings- sikkerhed] [Beskriv eventuelle krav vedrørende adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplys- ninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.C.3 Opbevaringsperiode/sletterutine

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder frihedsrettigheder, som behandlingen udgør udgør, og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. : Pseudonymisering og kryptering af personoplysninger b. personoplysninger evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. -tjenester evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. hændelse en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder rettigheder, som behandlingen udgør udgør, og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren databehandleren, som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandlerendatabe- handleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne implementeringsom- kostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder ret- tigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige Denne forpligtigelse pålægges underdatabehandleren i samme omfang som databehandle- ren selv i medfør af denne underdatabehandleraftale, som forskrevet i databeskyttel- sesforordningens art. 28 stk. 4. Databehandleren skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder friheds- rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed ro- busthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger personop- lysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effekti- viteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhedbehand- lingssikkerhed. 2. Efter forordningens artikel 32 Underdatabehandleren skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre på samme vis implementere passende foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende Disse foranstaltninger er specificeret i stand til at identificere og vurdere sådanne risici.Bilag C. 3. Derudover skal underdatabehandleren bistå databehandleren bistå den dataansvarlige med vedkommendes bistand til den dataansvarliges overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige databehandleren vedrørende de tekniske og organisatoriske sikkerhedsforanstaltningersikkerhedsforanstaltnin- ger, som databehandleren underdatabehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse overhol- delse af sin forpligtelse efter forordningens artikel 32. Disse informationer stilles til rådighed for databehandleren, således at denne kan overbringe sådan til den data- ansvarlige. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger for- anstaltninger end de foranstaltninger, som databehandleren underdatabehandleren allerede har gennemførtgen- nemført, skal den dataansvarlige databehandleren angive de yderligere foranstaltninger, der skal gennemføresgen- nemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandlerendata- behandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne implemente- ringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng sam- menhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske fysi- ske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder fri- hedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed ro- busthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger per- sonoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten ef- fektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige dataan- svarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen behand- lingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information infor- mation til rådighed for databehandleren som gør vedkommende i stand til at identificere iden- tificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren da- tabehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende varie- rende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører gen- nemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveaubeskyttelses- niveau, der passer til disse risici. 1 Henvisninger til ”medlemsstat” i disse bestemmelse skal forstås som en henvisning til ”EØS medlemsstater”. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder frihedsrettighe- der som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig Af- hængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger personoplysnin- ger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.behandlingssikker- hed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre gennem- føre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige nød- vendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske organisa- toriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges dataansvarli- ges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandlerendata- behandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne implemente- ringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng sam- menhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske fysi- ske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder fri- hedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger. b. evne Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed ro- busthed af behandlingssystemer og -tjenester. c. evne Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger per- sonoplysninger i tilfælde af en fysisk eller teknisk hændelse. d. en En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten ef- fektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige dataan- svarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen behandlin- gen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik hen- blik på denne vurdering skal den dataansvarlige stille den nødvendige information informa- tion til rådighed for databehandleren som gør vedkommende i stand til at identificere identifi- cere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren data- behandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.Bilag C. Version 1.8.2023 Side 5/17

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32, jf. Bilag C. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. 4. Hvis imødegåelse Parterne er enige om, at de afgivne garantier er tilstrækkelige på tidspunktet for indgåelsen af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.denne Databehandleraftale.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslårSikkerhedsniveauet skal afspejle: Eftersom underdatabehandlerens levering af e-mail marketings- og automationsplatformen muliggør, at den dataansvarlige underdatabehandleren kan uploade og databehandlerenpå anden vis tilføje generelt personoplys- ninger, under hensyntagen til det aktuelle tekniske niveauvil underdatabehandleren potentielt behandle en ukendt mængde af personoplysnin- ger og ukendte kategorier af personoplysninger og datasubjekter. Derfor har underdatabehandleren valgt at implementere et generelt sikkerhedsniveau afspej- lende, implementeringsomkostningerne at der kan ske behandling af en ukendt mængde personoplysninger og den pågældende behandlings karakter, omfang, sammenhæng af alle former for kategorier af personoplysninger og formål samt risiciene af varierende sandsynlighed datasubjekter. Underdatabehandleren er herefter berettiget og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne forpligtet til at sikre vedvarende fortrolighedtræffe beslutninger om, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau. Underdatabehandleren skal dog – under alle omstændigheder og som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici minimum – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de gennemføre følgende foranstaltninger, som databehandleren allerede er aftalt med databehandleren: Underdatabehandlerenen skal opretholde fysiske sikringsforanstaltninger til sikring af lokalite- ter, som anvendes til behandling af personoplysninger, herunder opbevaring af personoplys- ninger omfattet af underdatabehandleraftalen mod uvedkommendes adgang og manipulation. Skal have passende tekniske foranstaltninger til at begrænse risikoen for enhver uautori- seret adgang til lokaler, hvor der behandles persondata. Underatabehandleren skal des- uden, hvor det er nødvendigt, evaluere og forbedre effektiviteten af sådanne forholdsreg- ler Sikrer at niveauet for den fysiske sikkerhed til enhver tid være er afstemt med det aktuelle trusselbillede samt den følsomhed og mængde af persondata som underdatabehandler- aftalen omfatter Underdatabehandleren har gennemførtpassende tekniske foranstaltninger til at beskytte systemer og net- værk, skal den dataansvarlige angive de yderligere herunder beskytte data under transmission og adgang via internettet, samt til at be- grænse risikoen for uautoriseret adgang og/eller installering af skadelig kode. Underdatabehandleren anvender passende krypteringsteknologier og andre tilsvarende for- anstaltninger i overensstemmelse med kravene i lovgivningen, godkendte standarder for kryp- tering af klassificeret information samt god databehandlingsskik. I det omfang det er et krav i medfør af gældende national og international lovgivning, standar- der vedrørende kryptering af klassificeret information eller god databehandlingsskik anvender databehandler krypteringsteknologier og andre tilsvarende foranstaltninger, der skal gennemføres, i bilag C..

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer behand- lingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske tek- niske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere vur- dere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger foranstaltnin- ger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere identifi- cere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information informa- tion til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltningersikkerhedsforan- staltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens for- ordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse gennem- førelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemførtgen- nemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C..

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det dette omfatte: a. Pseudonymisering og eller kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk fysiske eller teknisk hændelsetekniske hændelser. d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige datansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse forpligtelser efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter eller forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakterkarak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed sand- synlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder rettighe- der og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger foran- staltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt ±uafhængigt af den dataansvarlige – også ±også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes vedkom- mendes overholdelse af den dataansvarliges forpligtelse efter forordningens forordnin- gens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltningersikker- hedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig nød- vendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens for- ordningens artikel 32. Hvis imødegåelse af de identificerede risici – ± efter den dataansvarliges vurdering – kræver ±kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføresgennemfø- res, i bilag C.

Behandlingssikkerhed. 1Sikkerhedsniveauet skal afspejle: Det aktuelle risikoniveau forbundet med databehandlerens behandling af personoplysningerne. Databeskyttelsesforordningens I overensstemmelse med databeskyttelsesforordningens artikel 32 fastslår, er databehandleren forpligtet til at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører implementere passende tekniske og organisatoriske foranstaltninger sikkerhedsforanstaltninger. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at sikre et beskyttelsesniveauetableret det nødvendige (og aftalte) sikkerhedsniveau. Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige: • Have formelle procedurer for håndtering af sikkerhedshændelser • Have rimelige restriktioner for fysisk adgang til personoplysninger. • Sørge for at dennes medarbejdere modtager tilstrækkelig uddannelse og instruktion for at sikre, at personoplysninger behandles i overensstemmelse med relevant lovgivning, denne databehandleraftale og databehandlerens politikker og procedurer herfor • Sikre at kun de personer, der passer er autoriserede dertil har adgang til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og de personoplysninger, der behandles i henhold til databehandleraftalen • Sikre kryptering af personoplysninger b. evne til drev hvorpå der opbevares personoplysninger • Sikre at sikre transmission af personoplysninger omfattet af behandlingen alene sker krypteret, enten ved end-to-end kryptering eller TLS-kryptering. • Sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer behandlingssystemerne og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure -tjenesterne. • Fastlægge procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2behandlingssikkerheden. Efter forordningens artikel 32 • Sikre rettidig genoprettelse af tilgængelighed og adgang til personoplysningerne i tilfælde af en fysisk eller teknisk hændelse. • Sikre at der sker logning af enhver behandling af personoplysninger • Sikre at der sker logning af alle afviste adgangsforsøg Databehandleren skal databehandleren så vidt muligt – uafhængigt af inden for det nedenstående omfang og udstrækning – bistå den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør i overensstemmelse med Bestemmelse 9.1 og 9.2 ved at gennemføre foranstaltninger for at imødegå disse risicifølgende tekniske og organisatoriske foranstaltninger: Databehandleren sender anmodninger og indsigelser fra registrerede mv. Med til den dataansvarlige med henblik på denne vurdering den dataansvarliges videre behandling, medmindre databehandleren er berettiget til at håndtere en sådan forespørgsel selv. Databehandleren skal efter anmodning fra den dataansvarlige stille bistå den nødvendige information til rådighed Dataansvarlige med besvarelse af anmodningen og/eller indsigelsen. Databehandleren udarbejder procedurer for databehandleren som gør vedkommende og underviser sine medarbejdere i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse håndteringen af anmodninger om udøvelse af registreredes rettigheder. Databehandleren sikrer, at it-systemer, der anvendes til behandling af personoplysninger, er indrettet sådan, at de muliggør håndtering af anmodninger om registreredes rettigheder, herunder at it- systemerne muliggør sletning og berigtigelse. Databehandleren udarbejder procedurer for håndteringen af sikkerhedsbrud, herunder for rettidig og tilstrækkelig underretning af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.adataansvarlige. at stille den nødvendige information til rådighed for Databehandleren giver den dataansvarlige vedrørende adgang til alle relevante oplysninger om sikkerhedsbruddet med henblik på den dataansvarliges vurdering af sikkerhedsbruddet samt eventuel anmeldelse til Datatilsynet og underretning af den/de berørte registrerede. Databehandleren forpligter sig til at reevaluere tilstrækkeligheden af de implementerede tekniske og organisatoriske sikkerhedsforanstaltningerforanstaltninger i tilfælde af sikkerhedsbrud. Databehandleren bistår den dataansvarlige med tilstrækkelige oplysninger om behandlingsaktiviteterne omfattet af denne databehandleraftale, som med henblik den dataansvarliges udarbejdelse af en konsekvensanalyse. Hvor en sådan konsekvensanalyse fører til, at det er nødvendigt at høre den kompetente tilsynsmyndighed, bistår databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden informationden dataansvarlige med de oplysninger, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltningernødvendige for, som databehandleren allerede har gennemført, skal at den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.kan opfylde denne forpligtelse.

Behandlingssikkerhed. Penneo dokumentnøgle: IDZSF-WKET5-3GAML-M7HKT-G07CK-TUAMS 1. Databeskyttelsesforordningens Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32 fastslår32, hvoraf det bl.a. fremgår, at den dataansvarlige og databehandleren, der under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakterkarak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører frihedsrettigheder skal gennemføres passende tekniske tekni- ske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveausikkerhedsniveau, der passer til disse dis- se risici. 2. Den dataansvarlige Ovenstående forpligtelse indebærer, at databehandleren skal vurdere risiciene for fysiske personers rettigheder foretage en risikovurdering, og frihedsrettigheder som behandlingen udgør og herefter gennemføre foranstaltninger for at imødegå disse identificerede risici. Afhængig af deres relevans Der kan det omfatteher- under bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. evne Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester– tjenester c. evne Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger personoplys- ninger i tilfælde af en fysisk eller teknisk hændelse d. en En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effektivite- ten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici.behandlingssik- kerhed 3. Derudover Databehandleren skal databehandleren bistå den dataansvarlige i forbindelse med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarlige angive de dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere foranstaltninger, der skal gennemføres, i bilag C.sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bi- lag D.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende varie- rende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører gen- nemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveaubeskyttelsesni- veau, der passer til disse risici. 1 Henvisninger til ”medlemsstat” i disse bestemmelser skal forstås som en henvisning til ”EØS-medlemsstater”. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder frihedsrettighe- der som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig Af- hængig af deres relevans kan det omfatte: a. Pseudonymisering pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger personoplysnin- ger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre gennem- føre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige da- taansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende ved- kommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige nød- vendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske organisa- toriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges dataansvarli- ges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige Dataansvarlige og databehandlerenDatabehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. 2. Den dataansvarlige Dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 23. Efter forordningens artikel 32 skal databehandleren Databehandleren – uafhængigt af den dataansvarlige Dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige Dataansvarlige stille den nødvendige information til rådighed for databehandleren Databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 34. Derudover skal databehandleren Databehandleren bistå den dataansvarlige Dataansvarlige med vedkommendes overholdelse af den dataansvarliges Dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige Dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren Databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges Dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges Dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren Databehandleren allerede har gennemført, skal den dataansvarlige Dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C. 5. Parternes regulering/aftale om vederlæggelse eller lignende i forbindelse med den Dataansvarliges eller Databehandlerens efterfølgende krav om etablering af yderligere sikkerhedsforanstaltninger skal ske i henhold til de angivne timepriser i Parternes Hovedaftale eller af denne Aftales Bilag D.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under un- der hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende pågæl- dende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed sand- synlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer be- handlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for- anstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltningersikker- hedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse gen- nemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføresgennem- føres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. 1 Henvisninger til ”medlemsstat” i disse Bestemmelser skal forstås som en henvisning til ”EØS medlemsstater”. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 16.1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene og konsekvenserne af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene og konsekvenserne for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risicirisici og konsekvenser. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 26.2. Efter forordningens artikel 32 skal databehandleren – - uafhængigt af den dataansvarlige – - også vurdere risiciene og konsekvenserne for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risicirisici og konsekvenser. Med henblik på denne Vurderingen af disse risici og konsekvenser for fysiske personers rettigheder i databehandlerens standard selvbetjeningssystem foretages overordnet af databehandleren ud fra det generelle brug af selvbetjeningssystemet. Vurderingen tager derfor ikke udgangspunkt i den dataansvarliges individuelle forhold. Databehandlerens overordnede vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende af sikkerhedsniveauet findes i stand til at identificere og vurdere sådanne risicibilag C.2. 36.3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af Den dataansvarlige skal vurdere om de foranstaltninger databehandleren har gennemført er tilstrækkelige i forhold til den dataansvarliges identificerede risici – efter og konsekvenser ved brugen af databehandlerens standard selvbetjeningssystem. Behandlingssikkerheden er beskrevet nærmere i bilag C.2, som også indeholder en liste med de foranstaltninger databehandleren som minimum skal gennemføre. Kræver den dataansvarliges vurdering – kræver gennemførelse af identificerede risici og konsekvenser yderligere foranstaltninger end drøfter databehandleren gerne muligheden for at gennemføre foranstaltningerne, hvis de foranstaltninger, som databehandleren allerede har gennemført, skal passer ind i den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.overordnede vurdering af risiciene og konsekvenserne for fysiske personers rettigheder og dermed er til gavn for alle databehandlerens kunder.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakterkarak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed sand- synlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et passende beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder rettighe- der og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger foran- staltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes vedkom- mendes overholdelse af den dataansvarliges forpligtelse efter forordningens forordnin- gens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltningersikker- hedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig nød- vendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens for- ordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføresgennemfø- res, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde til- fælde af en fysisk eller teknisk hændelse d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – risici, efter den dataansvarliges vurdering – vurdering, kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. 1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige Kommunen og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger og 1 Henvisninger til ”medlemsstat” i disse bestemmelser skal forstås som en henvisning til ”EØS medlemsstater”. ger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige Kommunen skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder frihedsrettighe- der som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte: a. Pseudonymisering og kryptering af personoplysninger. b. evne Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed ro- busthed af behandlingssystemer behandlingssystemer- og -tjenestertjenester. c. evne Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger personop- lysninger i tilfælde af en fysisk eller teknisk hændelse. d. en En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten effek- tiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhedbe- handlingssikkerhed. 2. Efter forordningens Databeskyttelsesforordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige Kommunen – også vurdere risiciene for fysiske personers rettigheder som behandlingen behandlin- gen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige Kommunen stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 3. Derudover skal databehandleren bistå den dataansvarlige Kommunen med vedkommendes overholdelse af den dataansvarliges Kommunens forpligtelse efter forordningens Databeskyttelsesforordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige Kommunen vedrørende de tekniske tekni- ske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens Databeskyttelsesforordningens artikel 32, og al anden informationinfor- mation, der er nødvendig for den dataansvarliges Kommunens overholdelse af sin forpligtelse efter forordningens Data- beskyttelsesforordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges Kommunens vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren databe- handleren allerede har gennemført, skal den dataansvarlige Kommunen angive de yderligere foranstaltningerforanstalt- ninger, der skal gennemføres, i bilag Bilag C.