Tekniske og organisatoriske sikkerhedsforanstaltninger. 7.1 Leverandøren skal, jf. bilag 1, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau.
7.2 Leverandøren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget, jf. pkt. 7.1 samt bilag 1.
7.3 Leverandøren samt dennes ansatte er underlagt forbud mod at skaffe sig oplysninger af enhver art, som ikke har betydning for udførelsen af den pågældendes opgaver.
7.4 Leverandøren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Kommunens personoplysninger, om Leverandørens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. pkt 9.
7.5 Leverandøren er forpligtet til straks at underrette Kommunen om ethvert brud på persondatasikkerheden uanset, om dette sker hos Leverandøren eller hos en underdatabehandler.
7.6 Leverandøren må ikke hverken offentligt eller til tredjeparter kommunikere om brud på persondatasikkerheden, jf. pkt 7.5, uden forudgående skriftlig aftale med Kommunen om indholdet af en sådan kommunikation, medmindre Leverandøren har en retlig forpligtelse til sådan kommunikation.
Tekniske og organisatoriske sikkerhedsforanstaltninger. 7.1 Databehandleren skal frem til 25. maj 2018 træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger:
(i) kommer til uvedkommendes kendskab eller misbruges, eller
(ii) i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.1.
7.2 Databehandleren skal fra 25. maj 2018 iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau.
7.3 Databehandleren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget, jf. pkt. 7.1 og 7.2.
7.4 Databehandleren samt dennes ansatte er underlagt forbud mod at skaffe sig oplysninger af enhver art, som ikke har betydning for udførelsen af den pågældendes opgaver.
7.5 Databehandleren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Den dataansvarliges personoplysninger, om Databehandleren forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. pkt. 9.
7.6 Databehandleren er forpligtet til straks at underrette Den dataansvarlige om ethvert sikkerhedsbrud uanset, om dette sker hos Databehandleren eller hos en underdatabehandler.
7.7 Databehandleren må ikke hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud, jf. pkt 7.6, uden forudgående skriftlig aftale med Den dataansvarlige om indholdet af en sådan kommunikation, medmindre Databehandleren har en retlig forpligtelse til sådan kommunikation.
Tekniske og organisatoriske sikkerhedsforanstaltninger. 6.1 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
6.2 Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed
6.3 Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag 1.
6.4 Databehandleren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandling af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed iagttages.
6.5 Databehandleren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af den Dataansvarliges personoplysninger, om Databehandlerens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. punkt 11 samt bilag 1 Databehandlerinstruks.
Tekniske og organisatoriske sikkerhedsforanstaltninger. 8.1. Leverandøren skal frem til 25. maj 2018, jf. bilag 1, træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger:
(i) tilintetgøres, mistes, ændres eller forringes,
(ii) kommer til uvedkommendes kendskab eller misbruges, eller
(iii) i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.1 eller i strid med Xxxxxxx uddybende it-sikkerhedsregler, jf. bilag 6.
8.2. Leverandøren skal fra 25. maj 2018, jf. bilag 1, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau.
8.3. Leverandøren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget.
8.4. Leverandøren samt dennes ansatte er underlagt forbud mod at skaffe sig oplysninger af enhver art, som ikke har betydning for udførelsen af den pågældendes opgaver.
8.5. Leverandøren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Kundens personoplysninger, om Leverandørens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. pkt 9.
8.6. Leverandøren er forpligtet til straks at underrette Xxxxxx om ethvert sikkerhedsbrud samt ved
(i) enhver anmodning om videregivelse af personoplysninger omfattet af Aftalen fra en myndighed, medmindre orienteringen af Kunden er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning,
(ii) anden manglende overholdelse af Leverandørens, samt eventuelle underdatabehandleres forpligtelse uanset, om dette sker hos Leverandøren eller hos en underdatabehandler.
8.7. Leverandøren må ikke hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud, jf. pkt 7.6, uden forudgående skriftlig orientering af Kunden om indholdet af en sådan kommunikation, medmindre Leverandøren har en retlig forpligtelse til sådan kommunikation.
Tekniske og organisatoriske sikkerhedsforanstaltninger. Pseudonymisering og kryptering af oplysninger
Tekniske og organisatoriske sikkerhedsforanstaltninger. 2.1 Leverandøren træffer de nedenfor beskrevne tekniske og organisatoriske sikkerhedsforanstaltninger i forbindelse med behandlingen af personoplysningerne beskrevet i dette bilag.
2.2 Leverandøren behandler personoplysningerne i overensstemmelse med nærværende Databehandleraftale og de bestemmelser i henholdsvis persondataloven og databeskyttelsesforordningen, der er gældende for databehandlere.
2.3 Ansatte hos Leverandøren, der er beskæftiget med behandling af personoplysninger under Databehandleraftalen, er underlagt tavshedspligt. Alene personale, som autoriseres hertil, må have adgang til de personoplysninger, der behandles under Databehandleraftalen. Såfremt det følger af Databehandleraftalen, at særlige sikkerhedsgodkendelser er påkrævet for personale, der er beskæftiget med behandling af Kundens personoplysninger, skal Leverandøren sikre, at disse godkendelser tilvejebringes.
2.4 Leverandøren skal sikre, at Leverandørens medarbejdere modtager tilstrækkelig uddannelse og instruktioner.
2.5 Leverandøren har restriktioner for fysisk adgang. Områder, hvor der sker behandling af personoplysninger - hvad enten dette er manuelt eller elektronisk – er ved adgangskontrolmekanismer adskilt fra områder, hvortil der er generel adgang. Sådanne adgangskontrolmekanismer kan eksempelvis omfatte systemer til fysisk adgangskontrol, låse, personsluser, sikkerhedspersonale og overvågningsudstyr.
2.6 Leverandøren har begrænsninger på adgangsrettigheder til personoplysninger og et system til adgangskontrol. Adgang til personoplysninger er begrænset til medarbejdere, og hvor det er relevant, andre leverandører, med et arbejdsbetinget behov og tildeles efter forudgående godkendelse fra Leverandøren. Adgang tilbagekaldes, når brugeren ikke længere opfylder kriterierne for at have adgang. Leverandøren varetager autorisation for Leverandørens medarbejdere og, i det omfang det er særskilt aftalt i Databehandleraftalen eller i Hovedaftalen, for Kundens medarbejdere.
2.6.1 Adgangsrettigheder gennemgås periodisk.
2.6.2 Leverandøren anvender passende logiske autentifikationsmekanismer, eksempelvis adgangskoder, biometri eller lignende. De anvendte autentifikationsmekanismer lever op til, hvad der kan opfattes som god skik på området (eksempelvis krav til adgangskoders længde og kompleksitet).
2.7 Leverandøren har passende tekniske foranstaltninger til at begrænse risikoen for uautoriseret adgang og/eller installering af skadelig kode. Sådanne foranstaltninger kan omfatte, firewal...
Tekniske og organisatoriske sikkerhedsforanstaltninger. 4.1.1 Databehandleren skal, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemføre fornødne tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau.
4.1.2 Databehandleren garanterer overfor den Dataansvarlige, at Databehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.
Tekniske og organisatoriske sikkerhedsforanstaltninger. 5.1.1 Databehandleren skal iværksætte og implementere passende tekniske og organisatoriske foranstaltninger, til at opnå et sikkerhedsniveau der passer til de risici der er involveret i behandlingsaktiviteterne udført af Databehandleren på vegne af den Dataansvarlige.
5.1.2 Sikkerhedsforanstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne, den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
5.1.3 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underkastet en passende lovpligtig tavshedspligt.
Tekniske og organisatoriske sikkerhedsforanstaltninger. Leverandøren skal som minimum træffe de nedenfor beskrevne tekniske og organisatoriske sikkerhedsforanstaltninger i forbindelse med behandlingen af personoplysninger på vegne af den dataansvarlige. Såfremt mere omfattende tekniske og organisatoriske sikkerhedsforanstaltninger er nødvendige for at sikre efterlevelse af databehandleraftalens afsnit, skal sådanne mere omfattende foranstaltninger altid træffes i samråd med institutionen.
Tekniske og organisatoriske sikkerhedsforanstaltninger. 7.1 Leverandøren skal frem til 25. maj 2018, jf. bilag 1, træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger:
(i) tilintetgøres, mistes, ændres eller forringes,
(ii) kommer til uvedkommendes kendskab eller misbruges, eller
(iii) i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.1.
7.2 Leverandøren skal, jf. bilag 1, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau.
7.3 Leverandøren samt dennes ansatte er underlagt forbud mod at skaffe sig oplysninger af enhver art, som ikke har betydning for udførelsen af den pågældendes opgaver.
7.4 Leverandøren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Kommunens personoplysninger, om Leverandørens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. pkt 9.
7.5 Leverandøren er forpligtet til straks at underrette Kommunen om ethvert sikkerhedsbrud uanset, om dette sker hos Leverandøren eller hos en underdatabehandler.
7.6 Leverandøren må ikke hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud, jf. pkt 7.5, uden forudgående skriftlig aftale med Kommunen om indholdet af en sådan kommunikation, medmindre Leverandøren har en retlig forpligtelse til sådan kommunikation.