Common use of Tekniske og organisatoriske sikkerhedsforanstaltninger Clause in Contracts

Tekniske og organisatoriske sikkerhedsforanstaltninger. 6.1 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 6.2 Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed 6.3 Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag 1. 6.4 Databehandleren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandling af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed iagttages. 6.5 Databehandleren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af den Dataansvarliges personoplysninger, om Databehandlerens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. punkt 11 samt bilag 1 Databehandlerinstruks.

Tekniske og organisatoriske sikkerhedsforanstaltninger. 6.1 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. 6.2 Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: : a. Pseudonymisering og kryptering af personoplysninger personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed 6.3 Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag 1. 6.4 Databehandleren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandling af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed iagttages. 6.5 Databehandleren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af den Dataansvarliges personoplysninger, om Databehandlerens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. punkt 11 samt bilag 1 Databehandlerinstruks.

Tekniske og organisatoriske sikkerhedsforanstaltninger. 6.1 Databehandleren iværksætter alle foranstaltningerDatabehandler skal, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne implemente- ringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder ret- tigheder og frihedsrettigheder skal gennemføres frihedsrettigheder, gennemføre passende tekniske og organisatoriske foranstaltninger foran- staltninger for at sikre et sikkerhedsniveaubl.a. at forhindre • hændelig eller ulovlig tilintetgørelse, der passer til disse risici.tab, ændring • uautoriseret videregivelse, adgang eller misbrug • anden ulovlig behandling, jf. sikkerhedsbilag vedlagt som Appendiks 3 6.2 Ovenstående forpligtelse indebærerDatabehandler skal kunne påvise over for Dataansvarlig, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af Databehandler har de for- nødne tekniske og organisatoriske foranstaltninger til sikring sikkerhedsforanstaltninger. Parterne er enige om, at de afgivne garantier anført i appendiks 3 er tilstrækkelige på tidspunktet for indgåelsen af behandlingssikkerheddenne Databehandleraftale. 6.3 Databehandleren skal Uden ugrundet ophold og senest 24 timer efter, at Databehandler bliver bekendt med et sikkerhedsbrud, underretter Databehandler skriftligt Dataansvarlig. Denne orientering indeholder som minimum, og så vidt det er muligt i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte lyset af hændelsens karakter, føl- gende: 1) oplysninger om arten af det sikkerhedsniveau og de foranstaltningerkonstaterede sikkerhedsbrud, 2) hvilke kategorier af registrerede, som er specificeret nærmere omfattet, 3) omtrentligt berørt antal registrerede, herunder kate- gorier af omfattede personoplysninger og antal, samt hvilke eliminerende og/eller miti- gerende foranstaltninger Databehandler har truffet i denne aftales Bilag 1anledning af det konstaterede sik- kerhedsbrud. 6.4 Databehandleren Fortegnelserne skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer efter skriftlig anmodning stilles til rådighed for behandling af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed iagttagesden Dataansvarlige eller tilsynsmyndighederne. 6.5 Databehandleren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af den Dataansvarliges personoplysninger, om Databehandlerens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. punkt 11 samt bilag 1 Databehandlerinstruks.

Tekniske og organisatoriske sikkerhedsforanstaltninger. 6.1 3.1.1 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.ahar ansvaret for at gennemføre fornødne (a) tekniske og (b) organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. fremgår, at der Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og implementeringsomkostningerne, den pågældende behandlings karakter, omfang, sammenhæng sammensætning og formål samt formål, risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske frihedsrettigheder, og organisatoriske foranstaltninger for at sikre et sikkerhedsniveaui øvrigt behandles i strid med lovgivningen, der passer til disse risicijf. pkt. 1.2 og 1.3. 6.2 Ovenstående forpligtelse indebærer3.1.2 Sikkerhedsbekendtgørelsen (bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, at databehandleren som behandles for den offentlige forvaltning, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001) skal foretage en risikovurderingtillige overholdes, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad såfremt der er relevant, være tale om følgende foranstaltninger: a. Pseudonymisering og kryptering af personoplysninger b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed 6.3 Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag 1. 6.4 Databehandleren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandling af personoplysninger med henblik på for den offentlige forvaltning. 3.1.3 Databehandleren er altid berettiget til at sikreimplementere alternative sikkerhedsforanstaltninger under forudsætning af, at de fornødne sådanne sikkerhedsforanstaltninger til stadighed iagttagessom minimum opfylder eller giver større sikkerhed. Databehandleren kan ikke uden den Dataansvarliges skriftlige forudgående godkendelse foretage forringelse af sikkerhedsforholdene. 6.5 3.1.4 Såfremt det i pkt. 3.1.3 anførte fører til skærpede sikkerhedsforanstaltninger i forhold til det allerede aftalte mellem Parterne i medfør af denne Databehandleraftale, implementerer Databehandleren, så vidt det er muligt, sådanne foranstaltninger, forudsat at Databehandleren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af den Dataansvarliges personoplysninger, om Databehandlerens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighedmodtager betaling herfor, jf. punkt 11 samt bilag 1 Databehandlerinstrukspkt. 3.1.5. 3.1.5 Omkostninger forbundet med sådan implementering af foranstaltninger, jf. pkt. 3.1.4, afholdes af den Dataansvarlige og er således Databehandleren uvedkommende. Databehandleren er endvidere berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid, som sådan implementering måtte medføre for Databehandleren, ligesom den Dataansvarlige hæfter for eventuel betaling til underdatabehandleren.