Common use of Behandlingssikkerhed Clause in Contracts

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: [Beskriv elementer, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og kryptering af personoplysninger] [Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplysninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandleren.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: [Beskriv elementer, der Der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er kun i mindre grad tale om behandling af en stor mængde personoplysninger omfattet persondata, men i højere grad tale om behandling af databeskyttelsesforordningens artikel 9 om ”særlige kategorier data af personoplysninger”sikkerhedsmæssig betydning (tyveri o.l.), hvorfor der skal etableres et ”højt” sikkerhedsniveau”. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering : Personale hos databehandler med adgang til persondata, er alle godkendt af politiet, og kryptering er alle uddannet jævnfør lov om vagtvirksomhed. Herunder også regler om fortrolighed m.v. Ved teknisk hændelse eller nedbrud, sørger databehandler for omgående at iværksætte de nødvendige procedurer, for at genetablere normale drift. Databehandler sørger for jævnlig gennemgang af personoplysninger] [Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, afprøvning af teknisk udstyr og vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende . Alt adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse internettet foregår via sikker firewall. Data fra dataansvarlig til databehandler kan foregå med krypteret mail, hvis dataansvarlig ønsker dette. Den dataansvarlige tilsender krypteringsnøgle til databehandler. Data opbevares i de godkendte softwaresystemer til behandling af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk alarmer. Samt i sikret arkivdrev. Fysisk sikring af lokaliteterlokaliteter følger Politiets vejledning for Kontrolcentraler og Lov om vagtvirksom- hed. Dette kontrolleres af politiet eller af godkendt certificeringsorgan. Fjernopkobling til databehandlers udstyr, hvor der behandles personoplysninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine foregår gennem sikker firewall. Og benyttes kun til servicering og systemvedligeholdelse. Alt logning foretages jævnfør Politiets vejledning for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandlerenKontrolcentraler og Lov om vagtvirksomhed.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: [Beskriv elementerDatabeskyttelsesforordningens artikel 32 fastslår, der er afgørende at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”fysiske personers rettigheder og frihedsrettigheder, hvorfor der skal etableres et ”højt” sikkerhedsniveau”. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke gennemfører passende tekniske og organisatoriske sikkerhedsforanstaltningerforanstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal anvendes vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at skabe imødegå disse risici. Afhængig af deres relevans kan det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering omfatte: Pseudonymisering og kryptering af personoplysninger] [Beskriv eventuelle krav vedrørende evnen personoplysninger evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester] [Beskriv eventuelle krav vedrørende evnen -tjenester evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer hændelse en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse . Efter forordningens artikel 32 skal databehandleren – uafhængigt af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplysninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandleren.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at få oplysningerne slette eller tilbageleveret”.imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: [Beskriv elementer, der er afgørende for sikkerhedsniveauet] sikkerhedsniveauet Eksempelvis: ”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og kryptering af personoplysninger] [personoplysninger Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester] [tjenester Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [hændelse Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed] [behandlingssikkerhed Beskriv eventuelle krav vedrørende adgang til data via internettet] [internettet Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [transmitteres Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [opbevares Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplysninger] [personoplysninger Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [hjemme-/fjernarbejdspladser Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandleren.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: [Beskriv elementer, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om Det aktuelle risikoniveau forbundet med databehandlerens behandling af en stor mængde personoplysninger omfattet af personoplysningerne. I overensstemmelse med databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”32 er databehandleren forpligtet til at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes gennemføres for at skabe etableret det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningernesikkerhedsniveau. Databehandleren skal dog – i under alle tilfælde omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund dataansvarlige: • Have formelle procedurer for håndtering af den risikovurdering den dataansvarlige sikkerhedshændelser • Have rimelige restriktioner for fysisk adgang til personoplysninger. • Sørge for at dennes medarbejdere modtager tilstrækkelig uddannelse og instruktion for at sikre, at personoplysninger behandles i overensstemmelse med relevant lovgivning, denne databehandleraftale og databehandlerens politikker og procedurer herfor • Sikre at kun de personer, der er autoriserede dertil har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og adgang til de personoplysninger, der behandles i henhold til databehandleraftalen • Sikre kryptering af personoplysninger] [Beskriv eventuelle krav vedrørende evnen til drev hvorpå der opbevares personoplysninger • Sikre at sikre transmission af personoplysninger omfattet af behandlingen alene sker krypteret, enten ved end-to-end kryptering eller TLS-kryptering. • Sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer behandlingssystemerne og – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende -tjenesterne. • Fastlægge procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende behandlingssikkerheden. • Sikre rettidig genoprettelse af tilgængelighed og adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse personoplysningerne i tilfælde af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse en fysisk eller teknisk hændelse. • Sikre at der sker logning af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring enhver behandling af lokaliteter, hvor personoplysninger • Sikre at der behandles personoplysninger] [Beskriv eventuelle krav vedrørende anvendelse sker logning af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine alle afviste adgangsforsøg Databehandleren skal så vidt muligt – inden for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandleren.” eller ”Personoplysningerne opbevares hos databehandleren, indtil det nedenstående omfang og udstrækning – bistå den dataansvarlige anmoder i overensstemmelse med Bestemmelse 9.1 og 9.2 ved at gennemføre følgende tekniske og organisatoriske foranstaltninger: Databehandleren sender anmodninger og indsigelser fra registrerede mv. til den dataansvarlige med henblik på den dataansvarliges videre behandling, medmindre databehandleren er berettiget til at håndtere en sådan forespørgsel selv. Databehandleren skal efter anmodning fra den dataansvarlige bistå den Dataansvarlige med besvarelse af anmodningen og/eller indsigelsen. Databehandleren udarbejder procedurer for og underviser sine medarbejdere i at bistå den dataansvarlige med håndteringen af anmodninger om udøvelse af registreredes rettigheder. Databehandleren sikrer, at få oplysningerne slette eller tilbageleveret”it-systemer, der anvendes til behandling af personoplysninger, er indrettet sådan, at de muliggør håndtering af anmodninger om registreredes rettigheder, herunder at it- systemerne muliggør sletning og berigtigelse. Databehandleren udarbejder procedurer for håndteringen af sikkerhedsbrud, herunder for rettidig og tilstrækkelig underretning af den dataansvarlige. Databehandleren giver den dataansvarlige adgang til alle relevante oplysninger om sikkerhedsbruddet med henblik på den dataansvarliges vurdering af sikkerhedsbruddet samt eventuel anmeldelse til Datatilsynet og underretning af den/de berørte registrerede. Databehandleren forpligter sig til at reevaluere tilstrækkeligheden af de implementerede tekniske og organisatoriske foranstaltninger i tilfælde af sikkerhedsbrud. Databehandleren bistår den dataansvarlige med tilstrækkelige oplysninger om behandlingsaktiviteterne omfattet af denne databehandleraftale, med henblik den dataansvarliges udarbejdelse af en konsekvensanalyse. Hvor en sådan konsekvensanalyse fører til, at det er nødvendigt at høre den kompetente tilsynsmyndighed, bistår databehandleren den dataansvarlige med de oplysninger, der er nødvendige for, at den dataansvarlige kan opfylde denne forpligtelse.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: [Beskriv elementer, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling Behandlingen omfatter en større mængde af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens databeskyttelsesforordningen artikel 9 om ”særlige kategorier af personoplysninger”6, hvorfor der skal etableres et ”højt” højt sikkerhedsniveau”, hvilket svarer til det serviceniveau, der er beskrevet i Hosting- og driftskontrakt af den 2. december 2021. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes gennemføres for at skabe etableret det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningernesikkerhedsniveau. Databehandleren skal dog – i under alle tilfælde omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund af Dataansvarlige: C.3 Bistand til den risikovurdering Dataansvarlige Databehandleren skal så vidt muligt – inden for det nedenstående omfang og udstrækning – bistå den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering Dataansvarlige i overensstemmelse med Bestemmelse 9.1 og kryptering af personoplysninger] [Beskriv eventuelle krav vedrørende evnen til 9.2 ved at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de gennemføre følgende tekniske og organisatoriske foranstaltninger foranstaltninger: Organisatoriske foranstaltninger: ● Databehandler har udpeget en DPO. ● Databehandler har udpeget en Sikkerhedskomité til varetagelse af de overordnede retningslinjer, samt varetagelse af specifikke sikkerhedstiltag og -beslutninger. ● Databehandler sikre en funktionsadskillelse (SOD) i forhold til det tekniske og administrative personale, som sikre at ikke autoriseret personale har adgang til kundens it-løsning. ● Alt teknisk personale ved Databehandleren er sikkerhedsgodkendt ift. interne regler. ● Databehandler indhentes straffeattest for alle medarbejder ved ansættelse samt én gang om året, for specifikke medarbejdere ved Databehandleren. Dette gennemføres hvis det er påkrævet af Dataansvarlig. Databehandlerens medarbejdere som er oplyst om, at en handling har ændret indhold af deres straffeattest skal orientere Netic herom. ● Databehandleren anvender en fast on- og off-boarding process som sikre, at alle logiske og tekniske adgange lukkes rettidigt. ● Der er for visse ny ansættelser ved Databehandleren, en process for baggrundscheck af nye medarbejdere og ledere. ● Databehandler gennemfører træning af alle medarbejdere i generel it-sikkerhed samt hvorledes persondata skal behandles korrekt. Dette gennemføres ved ansættelsen, samt på gentaget træningsforløb ● Databehandler gennemføres årlige elektronisk awareness kampagner med fokus på generel sikkerhed, samt databeskyttelse. Tekniske foranstaltninger: ● Databehandler anvender antivirus på klient maskiner som anvendes til håndtering af kundens it-løsning ● Databehandler gennemfører logning i den udstrækning dette beskrives af kunden: Alle adgange til systemer logges med præcise informationer om tidspunkt og identifikation af, hvem der benyttede adgangen. Log information opsamles i 6 måneder til sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende informationen. ● Databehandlerens passwords opbevares i databehandlerens password vault. Password kan tilgås ud fra SOD princippet. ● Der anvendes kryptering i den udstrækning dette kræves af kunden: Kun legitime formål kan give adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse den enkeltes kunde systemer og data. Det sker udelukkende fra dedikeret, krypteret udstyr leveret af Netic, over en krypteret session, samt ved anvendelse af 2-faktor adgang. Derudover skal alle databærende forbindelser til/fra Netic, som bærer fortrolige, personhenførbare eller følsomme data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse krypteres stærkt med tidssvarende teknologier. ● Der anvendes 2-faktor autentifikation og VPN i forbindelse med anvendele af datafjernarbejdsplads ved Databehandleren ● Kundens løsning er beskyttet i Databehandlerens datacenter med fysisk beskyttelse, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring i form af lokalitetertyverialarm, hvor der behandles personoplysninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares brandalarm og -varsling, samt UPS og klimaanlæg. Beskrevet i [angiv tidsperiode eller hændelse]punkt C5 ● Databehandler har udarbejdet generel kriseberedskabsprocess, hvorefter de slettes hos databehandlerensom testes minimum årligt. ● Der udarbejdes jf. C7 en ISAE3402 og -3000 erklæring som på forlangende fremsendes til Dataansvarlige.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: [Beskriv elementer, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” højt sikkerhedsniveau”. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og kryptering Brugernavne, adgangskoder, fysiske adresser, bemærkningsfelter samt CPR numre er som minimum krypteret i databasen. Backup af personoplysninger] [Beskriv eventuelle krav vedrørende evnen data foretages én gang i døgnet. Backup’en opbevares i tre dage. Før udgivelse af nye funktioner, bliver der foretaget en backup, der gemmes til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende næste udgivelse. Kursusdeltagere har adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af egne data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af datahvis produktet ”DoCAS Deltager” er tilkøbt. Adgangen er beskyttet med brugernavn og password. Administrative ansatte hos dataansvarlige kan tilføje og fjerne denne adgang for deltagerne. Undervisere har adgang til kursusinformationer og personinformationer, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteterhvis produktet ”DoCAS Underviser” er tilkøbt. Adgangen er beskyttet med brugernavn og password. Administrative ansatte hos dataansvarlige kan tilføje og fjerne denne adgang for underviserne. I alle tilfælde tilgås over en sikker forbindelse og trafik til websites er beskyttet med SSL certifikat. Data opbevares på beskyttede servere, hvor der behandles dagligt laves backups af databaser samt filsystemer. Se mere ovenfor. I forbindelse med hjemme/fjernarbejdspladser sikrer databehandler forbindelse til arbejdspladsen via VPN. Der bliver logget udtræk af data indeholdende personoplysninger] [Beskriv eventuelle krav vedrørende anvendelse , når disse udtræk ikke sker på baggrund af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode automatiske handlinger, der ikke videresender til eksterne behandlere (ikke inklusive dataansvarlig ), eller hændelse]når data læses af brugere under administrativ behandling af kursusdata. Der logges et ID tilhørende brugeren og ID på personoplysninger, hvorefter de slettes hos databehandlerender er blevet læst, samt hvilket DoCAS produkt, som brugeren har brugt til at lave dataudtræk.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: • [Beskriv elementer, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens databeskyttelses- forordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltningerforanstaltnin- ger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og kryptering af personoplysninger] [Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed tilgæn- gelighed og robusthed af behandlingssystemer og – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen adgan- gen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering evalue- ring af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhedbehandlingssik- kerhed] [Beskriv eventuelle krav vedrørende adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplysningerpersonoplys- ninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandlerenda- tabehandleren.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle:  [Beskriv elementer, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens databeskyttel- sesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres etable- res et ”højt” sikkerhedsniveau”. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltningerforanstaltnin- ger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og kryptering af personoplysninger] [Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed tilgæn- gelighed og robusthed af behandlingssystemer og – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen ad- gangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering evalue- ring af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhedbehandlings- sikkerhed] [Beskriv eventuelle krav vedrørende adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplysningerpersonoplys- ninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandleren.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: [Beskriv elementer, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der ikke er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der ikke er krav om at der skal etableres et ”højt” sikkerhedsniveau”. • Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalteaf- talte) sikkerhedsniveau omkring oplysningerne. • Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering • Adgang til Bizsys / Saldi sker gennem krypterede kanaler • Brugeradgang sker gennem https, med certifikat udstedt af DigiCert Inc. • Det kan opnås adgang når klienten har kendskab til navn på regnskab, brugernavn og kryptering adgangskode. Alle 3 parametre er versalfølsomme. • Der kan endvidere gives https / json adgang via API. Denne adgang gives til autoriserede IP numre og kræver korrekt navn på regnskab, brugernavn & API nøgle. • Systemadgang sker gennem ssh, og gives kun til autoriseret personel. Der er kun adgang fra autori- serede IP numre. • Data behandles og opbevares på servere som er udbudt af personoplysninger] [Beskriv eventuelle krav vedrørende evnen Sentia A/S og KikkenBorg Data Service ApS, med hvem der foreligger databahandleraftale. Disse er ansvarlige i forhold til at sikre vedvarende vedva- rende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester] [Beskriv eventuelle krav vedrørende evnen , samt sikring mod uautoriseret fysisk / teknisk adgang. • Saldi ApS sikrer den nødvendige funktionalitet i forhold til rettidigt at genoprette tilgængeligheden sporbarhed i søgninger på persondata og dataansvarliges behov for anonymisering af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplysninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandlerenpersondata.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: [Beskriv elementerUnder hensyntagen til den store mængde persondata klassificeret under persondataforordningens (GDPR) artikel 6, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling af en stor mængde følsomme personoplysninger omfattet a GDPR artikel 9, informationer om straffedomme eller lovovertrædelser omfattet af databeskyttelsesforordningens GDPR artikel 9 om ”særlige kategorier af personoplysninger”10, anses at behandlingen udgør en høj risiko for datasubjektet, hvorfor der skal etableres et ”højt” sikkerhedsniveau”. Databehandleren er herefter berettiget tilsvarende højt niveau for behandlings- og forpligtet til at træffe beslutninger om, hvilke tekniske datasikkerhed anlægges af databehandler og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningernedennes underdatabehandlere. Databehandleren skal dog – i under alle tilfælde omstændigheder og som minimum – gennemføre følgende foranstaltningerforan- staltninger: • Sikre, at data opbevares krypteret i overensstemmelse med best-practice for data, som er aftalt med kan indeholde fortrolige eller følsomme informationer, som minimum krypteret til AES256 eller til- svarende krypteringsstandard, samt at krypterede data og krypteringsnøgler opbevares, såle- des at kundens rimelige bekymringer ift. international lovgivning så vidt muligt imødekommes. • Sikre, at kommunikation mellem tjenesten og slutbruger krypteres og foregår via SSL eller en tilsvarende sikret forbindelse som i rimelig grad beskytter den dataansvarlige (dataansvarliges personinforma- tioner. • Sikre, at data som opbevares i løsningen, kun kan tilgås af verificerede slutbrugere og ikke kan komme uvedkommende til kendskab. • Sikre, at data kan genskabes efter tekniske eller fysiske hændelser. • Sikre, at den dataansvarliges adgang kun ændres på baggrund af den risikovurdering skriftlig instruktion eller på baggrund af skriftlig godkendelse fra kundens kontaktperson, samt at ændringer logges, såle- des at den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering kan se, hvis indholdet af løsningen er ændret og kryptering af hvem. • Sikre, at adgang til databaser fra udviklings- og support teams kun logges og i videst muligt omfang begrænses adgang til krypterede personoplysninger] [Beskriv eventuelle krav vedrørende evnen , samt at adgang i løsningens back-end i videst muligt omfang følger industriens minimumsstandarder. • Sikre, at underdatabehandler tager fornødne sikkerhedstiltag til at sikre vedvarende fortrolighedforhindre og begrænse ek- sekvering af malware eller lignende kode, integritetjfr. best-practice i form af fx kodevalidering, tilgængelighed penetra- tionstesting, software patching og robusthed af behandlingssystemer og – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvninghardware patching, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplysninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandlerenmv.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: [Beskriv elementerBehandlingen omfatter en begrænset mængde personoplysninger, der som ikke er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der sikkerhedsniveauet skal etableres et ”højt” sikkerhedsniveau”tilrettelægges på denne baggrund. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes gennemføres for at skabe etableret det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningernesikkerhedsniveau. Databehandleren skal dog – i under alle tilfælde omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige: Databehandleren etablerer i samarbejde med underdatabehandlerne tilstrækkelige tekniske sikkerhedsforanstaltninger, som sikrer at data opbevares og overføres sikkert, herunder kryptering af datatrafik, segmentering af netværk og overvågning af servere. Disse evalueres løbende baseret på risikovurderingen. Servere og arbejdsstationer med adgang til personoplysninger anvender enten Linux eller Mac OSX som operativsystem, og holdes løbende opdateret. Databehandleren foretager interne kontroller af dennes ledelse. Medarbejdere uddannes i behandling af persondata i forbindelse med opstart, samt en gang årligt og tildeles kun adgang til kundedata såfremt de har et arbejdsbetinget behov hertil. Databehandleren udfører løbende sletteprocedurer, som sikrer at data ikke opbevares længere tid end der stå foreskrevet i Bestemmelserne. Der er ligeledes desuden udarbejdet vejledninger til de dataansvarlige (til hvordan data kan slettes og anonymiseres i systemet. Databehandleren kontrollerer relevante underdatabehandlerne i forbindelse med regelmæssige kontroller og revisioner, hvor det bl.a. kontrolleres, om underdatabehandlerne lever op til databehandlerens egne og de dataansvarliges krav samt krav fra love, forordninger eller tilsynsorganisationer. Databehandleren foretager løbende awareness-træning hos medarbejdere for at sikre, at sikkerhedsbrud hurtigt kan identificeres hos databehandleren. I tilfælde af evt. sikkerhedsbrud, så som datalæk eller hacking, har databehandleren udarbejdet en sikkerhedsprocedure til håndtering af dette, som sikrer korrekt anmeldelse af bruddet til de dataansvarlige. Databehandleren får udarbejdet en årlig revionserklæring fra en uafhængig revisor baseret på baggrund ISAE-3000 standarden, eller en anden passende standard, der på passende vis giver et retvisende billede af databehandlerens overholdelse af disse Bestemmelser og beskyttelse af den risikovurdering dataansvarliges personoplysninger. Databehandlerens konkrete sikkerhedsforanstaltninger vil yderligere fremgå af den årlige ISAE 3000-erklæring, som vil blive stillet til rådighed for den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og kryptering af personoplysninger] [Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplysninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandlerenpå dennes anmodning.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: [Beskriv elementer, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske orga- nisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltningerforanstaltnin- ger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering - EQ Work® Arbejdsmiljøsiden er placeret med Wildcard SSL-certifikat og kryptering inkluderer krypte- ring af systemet - Databehandler har iværksat og opretholder organisatoriske, administrative og it-tekniske foranstaltninger, som forhindrer, at de behandlede data hændeligt eller ulovligt tilintetgø- res, fortabes, forringes, kommer til uvedkommendes kendskab, misbruges eller i øvrigt be- handles i strid med lov om behandling af personoplysninger] [Beskriv eventuelle krav vedrørende evnen . - Databehandler tilsikrer at dennes medarbejdere er pålagt tavshedspligt i relation til be- handlingen af person-data, herunder ikke-følsomme personoplysninger, som disse får ad- gang til i forbi med databehandlingen. - Databehandler kan lade databehandlingen ske helt eller delvist fra hjemmearbejdspladser eller fra lokaler, som Databehandler ikke fast driver virksomhed fra, men er forpligtet til at sikre vedvarende fortrolighedkryptering af persondata-kommunikation via åbne net. - Data opbevares i Microsoft Azure i Nordeuropa. Databehandler kan ikke diktere opbeva- ringen af data. - Databehandler må ikke gemme data i større systematisk omfang, integritetsom medfører at person- datalovens §41 stk. 4 (”Krigsreglen”) kan finde anvendelse. - Dataansvarlig indestår for, tilgængelighed at denne lovligt kan behandle de oplysninger, som dataansvarlig giver databehandler instruks til at behandle. - Dataansvarlig forpligtiger sig til at udøve god databehandlingsskik, herunder at dataansvar- lig sikrer eget udstyr og robusthed infrastruktur på en sådan måde, at dette ikke udgør en risiko for databehandlers overholdelse af behandlingssystemer og dennes forpligtelser. Eksempel – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden afhængig af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til hvad der le- veres: Dette omfatter blandet andet sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse dataansvarlig’ netværk, slutpunkts beskyt- telse af dataenheder med antivirus og firewalls, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse struktureret og sikker håndtering af databrugerkonti og adgange, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteterbackups og afprøvning af mulighed for at gendanne data. - Dataansvarlig er pligtig til at evt. tredjeparter der optræder på dataansvarlig’ vegne, hvor efter- lever de samme forpligtelser som dataansvarlig. Dataansvarlig er pligtig til at sikre, at der behandles personoplysninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode ikke foretages indgreb eller hændelse]operationer, hvorefter de slettes hos databehandlerensom kan kompromittere eller besværliggøre Da- tabehandler’ databehandling, uden forudgående godkendelse fra databehandler.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejleScenit tilstræber, at Tereba har en oppetid på 99%. Oppetid omfatter ikke nedetid på grund af udefrakommende faktorer såsom nedbrud på internetforbindelser, eksterne webservere og vars- lede software-opdateringer. Fejl og mangler på den dataansvarliges internetopkobling eller pro- blemer med browser eller lignende er Scenit uvedkommende. Databehandler overvåger dagligt Tereba, og observerer eventuelle fejl og mangler. Det er dog den dataansvarliges eget ansvar, at alle data i Tereba-profilen er korrekte og opdaterede. Alle databehandlers medarbejdere har kendskab til håndtering af persondata. IT-udstyr og - programmer er sikret med individuelle koder og passwords, som ændres jf. Intern procedure. Databehandler tester nye funktioner i Tereba i forbindelse med opdateringer, så de er klar inden dataansvarlige indtaster sine data. Der tages backup af ændrede data hvert døgn. Tabte data vil således kunne føres tilbage til et tidspunkt før et eventuelt servernedbrud. Frembringelse af data fra backup sker på den dataan- svarliges egen regning. Der tages dog det forbehold, at det trods for dette kan være muligt, at den dataansvarliges informationer ikke kan reetableres efter systemnedbrud. • Der tages internbackup af data ved underdatabehandler ITide A/S dagligt. • Der tages eksternbackup af data ved underdatabehandler Mico: [Beskriv elementer1 gang ugentligt og d. 1. januar hvert år tages der backup et år tilbage • 1. gang årligt, der ved sæsonafslutning, evaluerer databehandler dataindsamlingen. Databehandler træffer de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt kommer til uved- kommende kendskab eller misbrug. Databehandler er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling forpligtiget til hurtigst muligt at rette væsentlige funktionsfejl, men Scenit yder ingen garanti for, at driften af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”Tereba vil være uden afbrydelser og fejl. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau sikker- hedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde Logning af aktiviteter sker på virksomhedsprofilniveau, og som minimum – gennemføre følgende foranstaltningerdatabehandler kan derfor ikke overvå- ge, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og kryptering af personoplysninger] [Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i hvem der benytter profilen. I tilfælde af force majeure er ingen af partnerne ansvarlige overfor hinanden. Ved force majeure forstås fx krig og mobilisering, borgerluge uroligheder, naturkatastrofer, strejke og lockout, ilde- brand, beskadigelse af produktionsapparat, virus og hacking samt andre forhold uden for en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplysninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandlerenparts kontrol.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: • [Beskriv elementer, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens databeskyttel- sesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres etable- res et ”højt” sikkerhedsniveau”. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltningerforanstaltnin- ger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og kryptering af personoplysninger] [Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed tilgæn- gelighed og robusthed af behandlingssystemer og – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen ad- gangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering evalue- ring af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhedbehandlings- sikkerhed] [Beskriv eventuelle krav vedrørende adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplysningerpersonoplys- ninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandlerenda- tabehandleren.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: [Beskriv elementer, der Det er afgørende for sikkerhedsniveauet] Eksempelvis: ”At , at der er tale om behandling af sædvanlige personoplysninger, som påføres fakturaer. Oplysningernes natur og almindelige udbredelse taler dermed for en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 sikkerhedsrisiko, som er 3 på en skala fra 1-5. Det skyldes, at det navnlig drejer sig om ”særlige kategorier af almin- delige personoplysninger”, hvorfor som kun for privat karakter for den dataansvarliges privatkunder. Det faktum, at der skal etableres et ”højt” sikkerhedsniveau”udsendes rykkerskrivelser for ubetalte regninger, afslører ikke betalingsev- nen hos datasubjekterne og derfor betragtes oplysninger om rykkere ikke som særligt fortro- lige, hvilket kunne have medført en anden risikovurdering. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes gennemføres for at skabe etableret det nødvendige nød- vendige (og aftalte) sikkerhedsniveau omkring oplysningernesikkerhedsniveau. Databehandleren skal dog – i under alle tilfælde omstændigheder og som minimum – gennemføre følgende føl- gende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund dataansvarlige: [BESKRIV KRAVENE TIL PSEUDONYMISERING OG KRYPTERING AF PERSONOPLYS- NINGER] Ingen pseudonymiseringskrav er aftalt, som følge af den risikovurdering den dataansvarlige har foretaget): databehandlingens karakter som be- skrevet ovenfor. [Beskriv eventuelle krav vedrørende pseudonymisering og kryptering BESKRIV KRAVENE VEDRØRENDE EVNEN TIL AT SIKRE VEDVARENDE FORTROLIG- HED, INTEGRITET, TILGÆNGELIGHED OG ROBUSTHED AF BEHANDLINGSSYSTEMER OG –TJENESTER] Databehandlerens systemer er beskyttet af personoplysninger] [Beskriv eventuelle krav vedrørende evnen til følgende tekniske sikkerhedsforanstaltninger for at sikre vedvarende varetage kravene i GDPR angående fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – –tjenester: Kryptering (https:/) Netværkssegmentering Backup Systemovervågning Intern rettighedsstyring [BESKRIV KRAVENE VEDRØRENDE EVNEN TIL RETTIDIGT AT GENOPRETTE TILGÆN- GELIGHEDEN AF OG ADGANGEN TIL PERSONOPLYSNINGER I TILFÆLDE AF EN FY- SISK ELLER TEKNISK HÆNDELSE] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af Minimum én gang om året gennemfører databehandleren ved selvauditering eller ekstern bi- stand en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske organisatori- ske foranstaltninger til sikring af behandlingssikkerhedbehandlingssikkerheden. [BESKRIV KRAVENE VEDRØRENDE ADGANG TIL OPLYSNINGERNE VIA INTERNETTET] [Beskriv eventuelle krav vedrørende Enhver adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplysninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine systemet for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandleren.” eller ”Personoplysningerne opbevares hos databehandleren, indtil databehandleren og den dataansvarlige anmoder om kræver adgangs- kode. Ved oprettelse af brugerprofiler benyttes Captcha for at få oplysningerne slette forhindre adgang til robotter. [BESKRIV KRAVENE VEDRØRENDE BESKYTTELSE AF OPLYSNINGER UNDER TRANS- MISSION] Databehandleren beskytter personoplysninger via kryptering under transmission. [BESKRIV KRAVENE VEDRØRENDE BESKYTTELSE AF OPLYSNINGER UNDER OPBE- VARING] Alle databehandlerens medarbejdere er underlagt fortrolighed via ansættelsesaftalen med databehandleren. Alle databehandlerens medarbejdere skal benytte sikkerhedsgodkendt IT-udstyr med brug af personlig adgangskode. [BESKRIV KRAVENE VEDRØRENDE FYSISK SIKRING AF LOKALITETER, HVOR DER BE- HANDLES OPLYSNINGER] De fysiske rammer hos databehandleren er beskyttet ved aflåsning. [BESKRIV KRAVENE VEDRØRENDE ANVENDELSE AF HJEMME-/FJERNARBEJDSPLAD- SER] Databehandleren følger interne procedurer for behandling af personoplysninger ved hjælp af fjern- eller tilbageleveret”hjemmearbejdspladser. Databehandleren benytter VPN-adgang til fjernadgang. [BESKRIV KRAVENE VEDRØRENDE LOGNING] Ingen logningskrav er aftalt, som følge af databehandlingens karakter som beskrevet oven- for.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: [Beskriv elementerer fastsat ud fra en vurdering af, at der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om en lav risiko forbundet med den konkrete behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier Databehandleraftalen, jf. den af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”af den Dataansvarlige gennemførte risikovurdering. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, sikkerhedsforanstaltninger der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige Dataansvarlige (på baggrund af den risikovurdering risikovurdering, den dataansvarlige Dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering Leverandøren skal fastlægge et sæt politikker for informationssikkerhed i relation til opfyldelse af Hovedaftalen, som skal gennemgås med planlagte mellemrum og kryptering af om nødvendigt årligt. A.5.1.1 Leverandøren skal sikre, at rettigheder og ansvar tilpasses og/eller tilbagekaldes i overensstemmelse med klart definerede procedurer i forbindelse med interne reorganisationer, ansættelsesændringer og opsigelser. A.6.1.1 Leverandøren skal udpege personer med ansvar for specifikke sikkerhedsopgaver, herunder udpege en sikkerhedsansvarlig. A.6.1.1 Leverandøren skal sikre, at Leverandørens medarbejdere kun har adgang til de personoplysninger] [Beskriv eventuelle krav vedrørende evnen , som de specifikt er autoriseret til at benytte i relation til opfyldelse af Hovedaftalen og den til enhver tid gældende risikovurdering. A.9.1.2 Leverandøren skal identificere de informationsaktiver (hardware, software, og netværk), der anvendes til opfyldelse af Hovedaftalen, og udarbejde og vedligeholde en oversigt over disse informationsaktiver med planlagte mellemrum og om nødvendigt årligt. A.8.1.1 Leverandøren skal anvende dokumenterede driftsprocedurer, herunder ændringsprocedurer, i it-systemer der anvendes i forbindelse med opfyldelse af Hovedaftalen. Leverandøren skal endvidere regelmæssigt overvåge disse procedurer. A.12.1.1 Leverandøren skal adskille udviklings-, test- og driftsmiljøer i relation til opfyldelse af Hovedaftalen for at nedsætte risikoen for uautoriseret adgang til eller ændringer af driftsmiljøet, hvori der behandles personoplysninger. Såfremt der ikke må testes på personoplysninger, skal dette fremgå specifikt af databehandleraftalen. A.12.1.4 Leverandøren skal fastlægge internt ledelsesansvar og procedurer for at sikre vedvarende fortrolighedhurtig, integriteteffektiv og planmæssig håndtering, tilgængelighed herunder af passende ledelseskanaler, af informationssikkerhedsbrud (herunder brud på persondatasikkerhed) relateret til opfyldelse af Hovedaftalen, så hurtigt som muligt. A.16.1.2 Leverandøren skal sikre, at alle medarbejdere og robusthed samarbejdsparter opretholder informationssikkerhed i overensstemmelse med organisationens fastlagte politikker og procedurer. A.7.2.1 Leverandøren skal sikre, at Leverandørens medarbejdere er tilstrækkeligt informeret om sikkerhedsforanstaltninger i de dele af behandlingssystemer it-systemet, der er relevante for deres jobfunktion, og – tjenester] [Beskriv eventuelle krav vedrørende evnen omfattet af Hovedaftalen. A.7.2.2 Leverandøren skal fastlægge, dokumentere og vedligeholde en politik for adgangsstyring i relation til rettidigt kontraktens opfyldelse i overensstemmelse med den til enhver tid gældende persondatamæssige risikovurdering. A.9.1.1 Leverandøren skal minimere brugen af fælleskonti i relation til Hovedaftalen. Såfremt brugen af fælleskonti er nødvendig, skal Leverandøren sikre, at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde alle brugere af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvninggiven fælleskonto er autoriseret til at benytte de oplysninger, vurdering fælleskontoen giver adgang til. A.9.4.4 Leverandøren skal sikre, i de tilfælde hvor applikationen ikke er beskyttet af forsvarets netværk (FIIN), at der implementeres en adgangskontrolmekanisme, der giver adgang til it-systemet. Der skal i den forbindelse som minimum anvendes en kombination med brugernavn/adgangskode. A.9.4.3 Leverandøren skal definere og evaluering dokumentere en adgangskodepolitik. Adgangskodepolitikken skal som minimum indeholde oplysning om adgangskoders længde, kompleksitet, gyldighedsperiode samt antal acceptable mislykkede loginforsøg. A.9.1.1 Leverandøren skal sikre, at logning udføres, opbevares og gennemgås regelmæssigt. Logning skal omfatte registrering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende brugeraktivitet, adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse (læse, ændre og slette), undtagelser, fejl og informationssikkerhedshændelser i relation til opfyldelsen af Hovedaftalen. A.12.4.1 Leverandøren skal beskytte logningsfaciliteter og logoplysninger i relation til Hovedaftalen mod manipulation og uautoriseret adgang. A.12.4.2 Leverandøren skal sikre, at urene i alle relevante informationsbehandlingssystemer, der anvendes i relation til Hovedaftalen, er synkroniseret til en enkelt referencetidskilde. A.12.4.4 Leverandøren skal i relation til Hovedaftalens opfyldelse sikre, at databaseservere og applikationsservere konfigureres, således at de kører ved hjælp af en separat konto med minimale operativsystemprivilegier for at fungere korrekt. A.12.5.1 Leverandøren skal sikre, at brugere ikke har adgang til at ændre i eksisterende sikkerhedsinstallationer, medmindre dette er aftalt i Hovedaftalen. A.12.2.1 Leverandøren skal sikre, at anti-virus applikationer konfigureres med fast interval. A.12.2.1 Leverandøren skal sikre, at systemet har sessions time-outs, når brugeren har været inaktiv i en nærmere fastlagt periode. N/A Leverandøren skal sikre, at kritiske sikkerhedsopdateringer udgivet af operativsystemudvikleren installeres regelmæssigt. A.12.5.1 Leverandøren sikrer, at fjernadgang til den pågældende it-service er beskyttet af kryptering. A.13.1.1 Leverandøren skal sikre, at der i overensstemmelse med dokumenterede procedurer udføres backup af information, programmel og system-images, der anvendes i relation til Hovedaftalen. A12.3.1 Leverandøren skal sikre, at backup gives et passende niveau af fysisk beskyttelse, der er i overensstemmelse med det niveau, der anvendes på de originale data. N/A Leverandøren skal sikre, hvor at der tages en inkrementel backup en gang dagligt, og at denne kontrolleres. N/A Leverandøren skal implementere en politik og understøttende sikkerhedsforanstaltninger til styring af de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse risici, der opstår ved anvendelse af datamobilt udstyr i forbindelse med opfyldelse af den Hovedaftalen. A.6.2.1 Leverandøren skal sikre, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring at mobilt udstyr, der giver adgang til it-systemet i relation til opfyldelsen af lokaliteterden Hovedaftalen, hvor er forhåndsregistreret og forhåndsgodkendt. A.6.2.1 Leverandøren skal sikre, at mobilt udstyr, der anvendes i relation til opfyldelse af Hovedaftalen er underlagt samme niveau af adgangskontrolprocedurer (til systemer, hvori der behandles personoplysninger] [Beskriv eventuelle ) som andre arbejdsstationer m.v., der anvendes i relation til opfyldelse af Hovedaftalen. A.6.2.1 Leverandøren skal fastlægge og anvende regler i overensstemmelse med best practice for udvikling af programmel, som Leverandøren anvender til opfyldelse af Hovedaftalen. A.14.2.1 Leverandøren skal sikre, at sikkerhedsrelaterede krav vedrørende anvendelse indgår i kravene til nye informationssystemer eller forbedringer af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine eksisterende informationssystemer, som Leverandøren anvender i relation til opfyldelse af Hovedaftalen. A.14.1.1 Leverandøren skal sikre, at standarder for databehandleren] Eksempelvis: ”Personoplysningerne opbevares sikker kodning følges i [angiv tidsperiode eller hændelse]forbindelse med opfyldelse af Hovedaftalen. A.14.2.1 Leverandøren skal etablere godkendelsestestprogrammer og relaterede kriterier for nye informationssystemer, hvorefter de slettes hos databehandleren.” eller ”opgraderinger og nye versioner af programmel, som Leverandøren anvender i relation til opfyldelse af Hovedaftalen. A.14.2.9 Leverandøren skal bortskaffe medier, der har været anvendt til opfyldelse af Hovedaftalen, når der ikke længere er brug for dem, på forsvarlig vis og i overensstemmelse med formelle procedurer. A.8.3.2 Leverandøren skal beskytte fysiske områder i relation til opfyldelse af Hovedaftalen med passende adgangskontrol for at sikre, at kun autoriseret personale kan få adgang. A.11.1.2 Personoplysningerne opbevares hos databehandlerenDatabehandleren, indtil den dataansvarlige Dataansvarlige anmoder om at få oplysningerne slette slettet eller tilbageleveret”, eller der sker aflevering til Rigsarkivet efter arkivlovens bestemmelser.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: [Beskriv elementerEftersom underdatabehandlerens levering af e-mail marketings- og automationsplatformen muliggør, at underdatabehandleren kan uploade og på anden vis tilføje generelt personoplys- ninger, vil underdatabehandleren potentielt behandle en ukendt mængde af personoplysnin- ger og ukendte kategorier af personoplysninger og datasubjekter. Derfor har underdatabehandleren valgt at implementere et generelt sikkerhedsniveau afspej- lende, at der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At der er tale om kan ske behandling af en stor ukendt mængde personoplysninger omfattet og af databeskyttelsesforordningens artikel 9 om ”særlige alle former for kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”personoplysninger og datasubjekter. Databehandleren Underdatabehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes gennemføres for at skabe etableret det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningernesikkerhedsniveau. Databehandleren Underdatabehandleren skal dog – i under alle tilfælde omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og kryptering af personoplysninger] [Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger databehandleren: Underdatabehandlerenen skal opretholde fysiske sikringsforanstaltninger til sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende lokalite- ter, som anvendes til behandling af personoplysninger, herunder opbevaring af personoplys- ninger omfattet af underdatabehandleraftalen mod uvedkommendes adgang og manipulation. Skal have passende tekniske foranstaltninger til at begrænse risikoen for enhver uautori- seret adgang til data via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteterlokaler, hvor der behandles personoplysninger] [Beskriv eventuelle persondata. Underatabehandleren skal des- uden, hvor det er nødvendigt, evaluere og forbedre effektiviteten af sådanne forholdsreg- ler Sikrer at niveauet for den fysiske sikkerhed til enhver tid være er afstemt med det aktuelle trusselbillede samt den følsomhed og mængde af persondata som underdatabehandler- aftalen omfatter Underdatabehandleren har passende tekniske foranstaltninger til at beskytte systemer og net- værk, herunder beskytte data under transmission og adgang via internettet, samt til at be- grænse risikoen for uautoriseret adgang og/eller installering af skadelig kode. Underdatabehandleren anvender passende krypteringsteknologier og andre tilsvarende for- anstaltninger i overensstemmelse med kravene i lovgivningen, godkendte standarder for kryp- tering af klassificeret information samt god databehandlingsskik. I det omfang det er et krav i medfør af gældende national og international lovgivning, standar- der vedrørende anvendelse kryptering af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”Personoplysningerne opbevares i [angiv tidsperiode klassificeret information eller hændelse], hvorefter de slettes hos databehandlerengod databehandlingsskik anvender databehandler krypteringsteknologier og andre tilsvarende foranstaltninger.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.

Behandlingssikkerhed. Sikkerhedsniveauet skal afspejle: [Beskriv elementerafspejle en høj risiko for datasubjekternes rettigheder og frihedsrettigheder, der er afgørende for sikkerhedsniveauet] Eksempelvis: ”At da der er tale om behandling af en stor mængde et stort datasæt, hvor der ud over almindelige personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”også behandles som eksempel CPR-nummer samt fagforeningsmæssigt tilhørsforhold samt meget private oplysninger som RKI-status. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne. Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget): [Beskriv eventuelle krav vedrørende pseudonymisering og • Evt. personoplysninger, der udelukkende anvendes statistisk eller til test/udvikling, i videst muligt omfang er enten anonymiseret eller pseudonymiseret. F.eks. logfiler ældre end 30 dage eller hvis der downloades en kopi af personoplysningerne til test/udviklingsarbejde. • Anvende stærk kryptering af personoplysninger] [Beskriv eventuelle krav vedrørende evnen alle lagermedier hvorpå personoplysninger placeres permanent eller midlertidigt, herunder på lokale arbejdsstationer og evt. flytbare medier. • Tage ethvert rimeligt skridt til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – –tjenester] [Beskriv eventuelle krav vedrørende evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse] [Beskriv eventuelle krav vedrørende . • Udarbejde procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed] [Beskriv eventuelle krav vedrørende adgang behandlingssikkerhed samt løbende vedligeholde disse procedurer. • Fremsende den del af databehandlerens Artikel 30 fortegnelse der vedrører databehandlingen på vegne af den dataansvarlige til den dataansvarliges kontaktperson. • I videst muligt omfang undgå behandling af personoplysninger i papirform. • Logge adgange til personoplysninger og løbende foretage stikprøvevis overvågning mod misbrug forudsætter at den dataansvarlige har klassificeret data i etrack1 via internettet] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de transmitteres] [Beskriv eventuelle krav vedrørende beskyttelse af data, hvor de opbevares] [Beskriv eventuelle krav vedrørende fysisk sikring af lokaliteter, hvor der behandles personoplysninger] [Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser] [Beskriv eventuelle krav vedrørende logning] Opbevaringsperiode/sletterutine [Angiv eventuel opbevaringsperiode/sletterutine for databehandleren] Eksempelvis: ”det indbyggede klassificeringsværktøj i etrack1 således at Indicia kan identificerede personoplysninger Personoplysningerne opbevares som udgangspunkt udelukkende hos den dataansvarliges databehandler og enhver opbevaring hos databehandleren eller dennes underdatabehandlere skal begrænses til et absolut minimum, både i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandleren.” eller ”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.omfang og opbevaringsperiode - fastsat anonymiseringsindstillingen i etrack1 administrations modul og i henhold til det aftalte i hovedaftalen