skabelon for databehandleraftaleR mellem FREDENSBORG KOMMUNE og it-leverandøreR

skabelon for databehandleraftaleR

mellem

FREDENSBORG KOMMUNE og it-leverandøreR

Indledning

Fredensborg Kommunes skabelon for databehandleraftale skal bruges i forbindelse med indgåelse af samarbejde med leverandører, hvor der er tale om behandling af personoplysninger.

Skabelonen skal altid bruges, når der skal indgås aftale om indkøb af IT-systemer og ydelser.
Dette er et krav i forhold til efterlevelse af Databeskyttelsesforordningen.

Det er Centerchefen som har ansvar for at sikre, at databehandleraftalen anvendes og for, at underskrive den. Se evt. procesbeskrivelsen ”Indgåelse af databehandleraftaler ved indkøb af nye IT-systemer, Tjenestekøb herunder varer og ydelser” på HosFrede.

Vejledning til brug af skabelonen

Tekst, der er sat i [ ] og markeret med grøn angiver, at der skal udfyldes med f.eks. en tidsangivelse.
Tekst skrevet med blåt er krav til indholdet i en databehandleraftale, som bliver gældende 25. maj 2018 i medfør af Databeskyttelsesforordningen. Datoen, hvor forordningen får virkning er indskrevet i nogle af bestemmelserne, der er skrevet med blåt. Hvis datoen fjernes, vil bestemmelsen gælde fra Aftalens indgåelse og vil derfor pålægge Leverandøren en ekstra forpligtelse, indtil forordningen får virkning. Hvis datoen bliver stående, vil bestemmelsen først gælde fra 25. maj 2018.
Tekst, der er skrevet i kursiv og sat i [ ], er vejledende tekst.

DATABEHANDLERAFTALE

Mellem

Fredensborg Kommune

Egevangen 3B

2980 Kokkedal

CVR. nr.: 29188335

(herefter ”Kommunen”)

[Leverandørens navn]

[adresse]

[postnr. og by]

CVR. nr.: [XXXX]

(herefter ”Leverandøren”)

er der indgået nedenstående databehandleraftale (herefter ”Aftalen”) om Leverandørens behandling af personoplysninger på vegne af Kommunen:

Generelt
1. Aftalen vedrører Leverandørens forpligtelse til at efterleve de sikkerhedskrav, som fremgår af Lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven) § 42, jf. § 41, stk. 3-5. Kravene er beskrevet i:

Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsbekendtgørelsen).

Vejledning nr. 37 af 02/04/2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsvejledningen).

Den 25. maj 2018 erstattes Persondataloven af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen) således, at Aftalens pkt. 1.1 (i) – (ii) herefter erstattes med Databeskyttelsesforordningen.

I Aftalen er indarbejdet de krav, som såvel Persondataloven som de kommende regler i Databeskyttelsesforordningen stiller til databehandleraftaler.

Leverandøren skal leve op til Fredensborgs Kommunes informationssikkerhedspolitik, som er baseret på ISO 27001:2017.

Leverandøren skal behandle personoplysninger i overensstemmelse med god databehandlingsskik, jf. de til enhver tid gældende regler og forskrifter for behandling af personoplysninger.

Leverandøren skal overholde Kommunens Informationssikkerhedspolitik og de sikkerhedsregler, som Kommunen har opstillet vedr. leverandører, databehandling, håndtering af data og informationer og sikkerhedsregler.
Disse vedlægges som bilag 4-5.

Formål
1. Leverandøren behandler i medfør af aftale med Kommunen [udfyldes af leverandøren med leverandørnavn og ydelsens navn] (herefter ”Hovedaftalen”) personoplysninger for Kommunen, hvor Leverandørens behandlinger og formålet med behandlingerne er beskrevet.
Kommunens rettigheder og forpligtelser
1. Kommunen er dataansvarlig for de personoplysninger, som Kommunen instruerer Leverandøren om at behandle. Kommunen har ansvaret for, at de personoplysninger, som Kommunen instruerer Leverandøren om at behandle, må behandles af Leverandøren, herunder at behandlingen er nødvendig og saglig i forhold til Kommunens opgavevaretagelse.

Kommunen har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen, jf. Aftalens pkt. 1.1 og 1.2.

Kommunen er forpligtet til at orientere Leverandøren i tilfælde af Kommunens eventuelle skærpede it-sikkerhedsregler og ved ændringer i Kommunens it-sikkerhedspolitik, jf. bilag 4-5. Opdateringer til bilag 4-5 findes på xxxxxxxxxxx.xx. Leverandøren er forpligtet til, at tilmelde sig abonnement på hjemmesidens nyheder vedr. opdaterede sikkerhedspolitikker og –regulativer.

Leverandørens forpligtelser
1. Leverandøren er databehandler for de personoplysninger, som Leverandøren behandler på vegne af Kommunen, jf. pkt. 6 og bilag 3. Leverandøren har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af lovgivningen, jf. Aftalens pkt. 1.1 og 1.2.
2. Leverandøren behandler alene de overladte personoplysninger efter instruks fra Kommunen, jf. pkt. 6 og bilag 3, og alene med henblik på opfyldelse af Hovedaftalen.

Leverandøren skal fra 25. maj 2018 løbende føre en fortegnelse over behandlingen af personoplysninger samt en fortegnelse over alle sikkerhedsbrud.

Leverandøren skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger, som beskrevet i Sikkerhedsbekendtgørelsen og Sikkerhedsvejledningen (frem til 25. maj 2018) og Databeskyttelsesforordningen (fra 25. maj 2018), jf. bilag 1 – Sikkerhed.
Leverandøren skal på opfordring fra Kommunen hjælpe med at opfylde Kommunens forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra borgere om indsigt i egne oplysninger, udlevering af borgerens oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af borgerens oplysninger, samt Kommunens forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud, fra 25. maj 2018 i medfør af Databeskyttelsesforordningens kap. III samt artikel 34.

Leverandøren skal fra 25. maj 2018 hjælpe Kommunen med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel 32-36.
Leverandøren garanterer fra 25. maj 2018 at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Leverandørens behandling af Kommunens personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

Leverandøren er forpligtet til at oplyse med præcise adresseangivelser, hvor Kommunens personoplysninger opbevares, jf. bilag 2 ’Oplysninger om lokationer og underleverandører’. Leverandøren skal ajourføre oplysningerne over for Kommunen ved enhver ændring.

Hvis Leverandøren er etableret i en anden EU-medlemsstat, skal Leverandøren frem til 25. maj 2018 ligeledes overholde de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat.

Underleverandør (underdatabehandler)
1. Ved underdatabehandler forstås en underleverandør, til hvem Leverandøren har overladt hele eller dele af den behandling, som Leverandøren foretager på vegne af Kommunen.

Leverandøren må ikke uden udtrykkelig skriftlig godkendelse fra Kommunen anvende andre underdatabehandlere end dem, der er angivet i bilag 2, herunder foretage udskiftning af disse, til at behandle de personoplysninger, som Kommunen har overladt til Leverandøren i medfør af Hovedaftalen.

Hvis Leverandøren overlader behandlingen af personoplysninger, som Kommunen er dataansvarlig for, til underdatabehandlere, skal Leverandøren indgå en skriftlig (under)databehandleraftale med underdatabehandleren.

Underdatabehandleraftalen, jf. pkt. 5.3, skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser, som Leverandøren er pålagt efter Aftalen, herunder, at underdatabehandleren fra 25. maj 2018 garanterer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger således, at underdatabehandlerens behandling opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

Når Leverandøren overlader behandlingen af personoplysninger, som Kommunen er dataansvarlig for, til underdatabehandlere, har Leverandøren over for Kommunen ansvaret for underdatabehandlernes overholdelse af disses forpligtelser, jf. pkt. 5.3.

Kommunen kan til enhver tid forlange dokumentation fra Leverandøren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Leverandøren anvender i forbindelse med opfyldelsen af sine forpligtelser over for Kommunen.

Al kommunikation mellem Kommunen og underdatabehandleren sker via Leverandøren.

Instrukser
1. Leverandørens behandling af personoplysninger på vegne af Kommunen sker udelukkende efter dokumenteret instruks, jf. bilag 3. Det er Leverandørens ansvar at sikre, at eventuelle underdatabehandlere, jf. pkt. 5.3, får tilsendt Kommunens instruks, jf. bilag 3.

Leverandøren giver fra 25. maj 2018 omgående besked til Kommunens IT-chef, hvis en instruks efter Leverandørens vurdering er i strid med lovgivningen, jf. pkt. 1.2.

Tekniske og organisatoriske sikkerhedsforanstaltninger
1. Leverandøren skal frem til 25. maj 2018, jf. bilag 1, træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger:

tilintetgøres, mistes, ændres eller forringes,
kommer til uvedkommendes kendskab eller misbruges, eller
i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.1 eller i strid med Kommunens uddybende it-sikkerhedsregler, jf. bilag 5.

Leverandøren skal fra 25. maj 2018, jf. bilag 1, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau.

Leverandøren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget, jf. pkt. 7.1 og 7.2, samt bilag 1.

Leverandøren samt dennes ansatte er underlagt forbud mod at skaffe sig oplysninger af enhver art, som ikke har betydning for udførelsen af den pågældendes opgaver.

Leverandøren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Kommunens personoplysninger, om Leverandørens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. pkt. 9..

Leverandøren er forpligtet til straks at underrette Kommunen om ethvert sikkerhedsbrud samt ved

enhver anmodning om videregivelse af personoplysninger omfattet af Aftalen fra en myndighed, medmindre orienteringen af Kommunen er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning,
anden manglende overholdelse af Leverandørens, samt eventuelle underdatabehandleres forpligtelser

uanset, om dette sker hos Leverandøren eller hos en underdatabehandler.

Leverandøren må ikke hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud, jf. pkt. 7.6, uden forudgående skriftlig aftale med Kommunen om indholdet af en sådan kommunikation, medmindre Leverandøren har en retlig forpligtelse til sådan kommunikation.

Overførsler til andre lande
1. Leverandørens overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloud løsning eller en underdatabehandler, skal ske i overensstemmelse med Kommunens instruks herfor, jf. bilag 3.

Hvis Kommunens personoplysninger overføres til en EU-medlemsstat, er det frem til 25. maj 2018 Leverandørens ansvar, at de til enhver tid gældende bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat, overholdes.

Leverandøren må ikke overføre eller tillade overførsel af personoplysninger til lande udenfor EU.

Tavshedspligt og fortrolighed
1. Leverandøren er - under og efter Hovedaftalens ophør - pålagt fuld tavshedspligt omkring alle oplysninger, denne bliver bekendt med gennem samarbejdet. Aftalen indebærer, at tavshedspligtsbestemmelserne i straffelovens §§ 152-152f, jf. straffelovens § 152a, finder anvendelse.

Leverandøren skal fra 25. maj 2018 sikre, at alle, der behandler oplysninger omfattet af Aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

Kontroller og erklæringer
1. Leverandøren er forpligtet til uden ugrundet ophold at give Kommunen nødvendige oplysninger til, at Kommunen til enhver tid kan sikre sig, at Leverandøren overholder de krav, der følger af denne Aftale.

Kommunen, en repræsentant for Kommunen eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision hos Leverandøren, se dokumentation, herunder logs, stille spørgsmål m.v. med henblik på at konstatere, at Leverandøren overholder de krav, der følger af denne Aftale.

Leverandøren skal én gang årligt vederlagsfrit til Kommunen fremsende en erklæring om overholdelse af denne Aftale. Erklæringen skal udarbejdes i overensstemmelse med ISAE 3402, og skal omfatte både Leverandørens og eventuelle underdatabehandleres databehandling. Den første erklæring skal foreligge 12 måneder efter Hovedaftalens indgåelse.

I tilfælde af, at Kommunen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter Leverandøren og Leverandørens underleverandører sig til uden yderligere omkostninger for Kommunen at stille tid og ressourcer til rådighed herfor.

Ændringer i Aftalen
1. Kommunen kan til enhver tid med et forudgående varsel på mindst 90 dage foretage ændringer i aftalen og instruksen, jf. bilag 3. Leverandøren skal ved sådanne ændringer uden ugrundet ophold sikre, at underdatabehandlerne tillige forpligtes af ændringerne.

I det omfang ændringer i lovgivningen, jf. pkt. 1.1 og 1.2, eller tilhørende praksis, giver anledning til dette, er Kommunen med et varsel på [minimum 30 dage og uden at dette medfører krav om betaling fra Leverandøren, berettiget til at foretage ændringer i Aftalen.

Sletning af data
1. Kommunen træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør af Hovedaftalen.

Kommunen skal senest 30 dage inden Hovedaftalens ophør skriftligt meddele Leverandøren, hvorvidt alle personoplysningerne skal slettes eller tilbageleveres til Kommunen. I det tilfælde, hvor personoplysningerne tilbageleveres til Kommunen, skal Leverandøren ligeledes slette eventuelle kopier. Leverandøren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever Kommunens meddelelse.

Leverandøren skal fremsende dokumentation for, at den påkrævede sletning, jf. pkt. 12.2, er foretaget.

Leverandøren skal foretage den påkrævede sletning, jf. pkt. 12.2, i henhold til en international standard, f.eks. NIST 800-88.

Misligholdelse og tvistigheder
1. Misligholdelse og tvistigheder er reguleret i Hovedaftalen.
Erstatning og forsikring
1. Erstatnings- og forsikringsspørgsmål er reguleret i Hovedaftalen.
Ikrafttræden og varighed
1. Aftalen indgås ved begge parters underskrift og løber indtil ophør af Hovedaftalen.

Formkrav

Aftalen skal foreligge skriftligt, herunder elektronisk, hos Kommunen og Leverandøren.

For Kommunen For Leverandøren

Dato Dato

_________________________ _________________________

Bilag:

Bilag 1 – Sikkerhed

Bilag 2 – Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere)

Bilag 3 – Instruks

Bilag 4 – Fredensborg Kommunes Informationssikkerhedspolitik

Bilag 5 – Informationssikkerhed Håndbog

Bilag 1 – Sikkerhed

Indledning

Dette bilag indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som Leverandøren i medfør af Aftalen har ansvar for at gennemføre, overholde og sikre overholdelse af hos dennes underdatabehandlere, som er angivet i bilag 2.

Sikkerhedskrav indtil 25. maj 2018

Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der opfylder kravene i Sikkerhedsbekendtgørelsen og tilhørende praksis.

Foranstaltningerne gennemføres for at undgå, at personoplysninger:

tilintetgøres, mistes, ændres eller forringes,
kommer til uvedkommendes kendskab eller misbruges,
eller i øvrigt behandles i strid med lovgivningen, jf. Aftalens pkt. 1.1

Generelle sikkerhedsforanstaltninger

[Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om interne sikkerhedsbestemmelser, instrukser, retningslinjer for Leverandørens tilsyn og ajourføring, instruktion, fysisk sikring samt sikkerhed ved reparation, service, kassation af medier mv.]

[Leverandøren udfylder]

Autorisation og adgangskontrol

[Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2, samt hvis relevant kap. 3, om autorisationer og adgangskontrol]

[Leverandøren udfylder]

Inddatamateriale som indeholder personoplysninger

[Her beskriver Leverandøren, hvis relevant, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om håndtering af inddatamateriale]

[Leverandøren udfylder]

Uddatamateriale som indeholder personoplysninger

[Her beskriver Leverandøren, hvis relevant, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om håndtering af uddatamateriale]

[Leverandøren udfylder]

Eksterne kommunikationsforbindelser

[Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om eksterne kommunikationsforbindelser. Hjælp til udfyldelse kan findes i Datatilsynets it-sikkerhedstekster: xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxxxxx/xx-xxxxxxxxxxxxxxxxx/]

[Leverandøren udfylder]

Kontrol med afviste adgangsforsøg

[Her beskriver Leverandøren, hvis relevant, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 3 om kontrol med afviste adgangsforsøg]

[Leverandøren udfylder]

Logning

[Her beskriver Leverandøren, hvis relevant, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 3 om logning]

[Leverandøren udfylder – fjern enten Ja eller Nej]

Hjemmearbejdspladser

Leverandørens behandling af personoplysninger sker helt eller delvist ved anvendelse af hjemmearbejdspladser [Leverandøren udfylder]:

Ja/Nej

[Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om retningslinjer for hjemmearbejdspladser mv.]

[Leverandøren udfylder]

Sikkerhedskrav fra 25. maj 2018

Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger, jf. Instruks (bilag 3), og som dermed opfylder Databeskyttelsesforordningens artikel 32.

Foranstaltningerne fastlægges ud fra overvejelser om:

1. Hvad der kan lade sig gøre rent teknisk

2. Implementeringsomkostningerne

3. Den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. Instruksen
(bilag 3)

4. Konsekvenserne for borgerne ved et sikkerhedsbrud

5. Den risiko, der er forbundet med behandlingerne, herunder risikoen for:

a) tilintetgørelse af oplysningerne

b) tab af oplysningerne

c) ændring af oplysningerne

d) uautoriseret videregivelse af oplysningerne

e) uautoriseret adgang til oplysningerne

[Leverandøren udfylder]

Bilag 2 – Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere)

Lokation(er) for behandlingen [Her opregner Leverandøren, de steder, hvor Kommunens personoplysninger opbevares/behandles.]

[Leverandøren udfylder]

Underdatabehandlere [Her angiver Leverandøren navn, adresse, cvr-nummer m.m. på underdatabehandlere, som er godkendt af Kommunen, jf. pkt. 5.2 i Aftalen.]

[Leverandøren udfylder, hvis der anvendes underdatabehandlere]

Bilag 3 – Instruks

Instruks

Kommunen instruerer hermed Leverandøren om at foretage behandling af Kommunens oplysninger til brug for [drift/levering] af [ydelser/løsning], jf. Hovedaftale [titel og dato eller anden entydig identifikation].

Leverandøren er ansvarlig for, at Kommunens instruks fremsendes til eventuelle underdatabehandlere.

Behandlingens formål

Behandling af Kommunens oplysninger sker i henhold til formålet i Hovedaftalen.

Leverandøren må ikke anvende oplysningerne til andre formål.

Oplysningerne må ikke behandles efter instruks fra andre end Kommunen.

Generel beskrivelse af behandlingen

[Her beskriver Kommunen udførligt de typer af behandling, som Leverandøren skal udføre, herunder processer, varigheden og karakteren af behandlingen.]

Typen af personoplysninger

Behandlingerne indeholder personoplysninger i de nedenfor afkrydsede kategorier. Leverandørens og eventuelle underdatabehandleres niveau for behandlingssikkerhed bør afspejle oplysningernes følsomhed, jf. bilag 1.

Almindelige personoplysninger (indtil 25. maj 2018, jf. Persondatalovens § 6, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 6)

[Fjern enten Ja eller Nej]

Ja/Nej Almindelige personoplysninger (f.eks. cpr-nummer, navn, adresse, e-mail, økonomiske forhold og billeder)

Følsomme personoplysninger (indtil 25. maj 2018, jf. Persondatalovens § 7, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 9):

Ja/Nej Biometriske data

Ja/Nej Racemæssig eller etnisk baggrund

Ja/Nej Politisk overbevisning

Ja/Nej Religiøs overbevisning

Ja/Nej Filosofisk overbevisning

Ja/Nej Fagforeningsmæssige tilhørsforhold

Ja/Nej Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v.

Ja/Nej Seksuelle forhold

Oplysninger om enkeltpersoners rent private forhold (indtil 25. maj 2018, jf. Persondatalovens § 8, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 6 og 9):

Ja/Nej Strafbare forhold

Ja/Nej Væsentlige sociale problemer

Andre rent private forhold, som ikke er nævnt ovenfor:

_____________________________________________________________________

Oplysninger om cpr-nummer (indtil 25. maj 2018, jf. Persondatalovens § 11, fra 25. maj 2018, eventuelt national lovgivning, jf. Databeskyttelsesforordningens artikel 87)

Ja/Nej CPR-numre

Kategorier af registrerede

Der behandles oplysninger om følgende kategorier af registrerede (f.eks. borgere, elever, kontanthjælpsmodtagere m.m.):

A) [Indsæt kategori af personer]

B) [Indsæt kategori af personer]

C) [Indsæt kategori af personer]

Tredjelande (ikke EU-medlemslande)

Leverandøren må overføre personoplysninger til følgende tredjelande:

[Kommunen udfylder]

Gyldigt overførselsgrundlag for overførslerne er:

[Udfyldes i forhold til hvilke(t) tredjeland(e), Kommunen har godkendt overførsel til]

Bilag 4 Informationssikkerhedspolitik for Fredensborg Kommune

Fredensborg Kommune

Politik for informationssikkerhed

version 1.2 23-11-2017

Informationssikkerhedspolitik

Sikkerhedspolitikken skal til enhver tid understøtte Fredensborg Kommunes værdigrundlag og vision samt strategiske mål.
Hensigten med sikkerhedspolitikken er endvidere, at tilkendegive over for alle, som har en relation til Kommunen, at anvendelse af informationer og informationssystemer er underkastet standarder og retningslinjer.
Fredensborg Kommune ønsker derfor at opretholde og løbende udbygge, et IT-sikkerhedsniveau på højde med de krav, som stilles i ISO 27001 og i Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, bekendtgørelse nr. 201 af 22. marts 2001 (Sikkerhedsbekendtgørelsen), samt på særligt veldefinerede områder, hvor der er specielle lovkrav, aftaleretslige forhold eller særlig risiko. ISO27001 er en international standard til styring af informationssikkerhed. ISO'en er valgt som afløser DS484 som kommunens sikkerhedsstandard efter DS484. Fastholdelse og udbygning af et højt sikkerhedsniveau er en væsentlig forudsætning for, at Fredensborg Kommune fremstår troværdig.
For at fastholde Fredensborg Kommunes troværdighed skal det sikres, at information behandles med fornøden fortrolighed, og at der sker fuldstændig, nøjagtig og rettidig behandling af godkendte transaktioner. IT-systemer betragtes, næstefter medarbejderne, som Fredensborg Kommunes mest kritiske ressource. Der lægges derfor vægt på driftssikkerhed, kvalitet, overholdelse af lovgivningskrav og på at systemerne er brugervenlige, dvs. uden unødigt besværlige sikkerhedsforanstaltninger. Der skal skabes et effektivt værn mod IT-sikkerhedsmæssige trusler, således at Fredensborg Kommunes image og medarbejdernes tryghed og arbejdsvilkår sikres bedst muligt. Beskyttelsen skal være vendt imod såvel naturgiven som tekniske og menneskeskabte trusler. Alle personer betragtes som værende mulig årsag til brud på sikkerheden; dvs. at ingen persongruppe skal være hævet over sikkerhedsbestemmelserne.
Målene er derfor at:

Opnå høj driftssikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab = TILGÆNGELIGHED
Opnå korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer = INTEGRITET og
Opnå fortrolig behandling, transmission og opbevaring af data = FORTROLIGHED.

Ovenstående mål skal konkretiseres i aftaler om service niveau i "Service Level Agreements" (SLAs) og kontrakter overfor samarbejdspartnere. Regler og retningslinjer fra informationssikkerhedspolitikken skal løbende indarbejdes i de relevante gældende regler Håndbog for Informationssikkerhed og på personalepolitikkens område. Sikkerhedskonceptet omfatter følgende:

En informationssikkerhedspolitik, der godkendes af byrådet på baggrund af indstilling fra Direktionen

En Informationssikkerhedshåndbog, der uddyber informationssikkerhedspolitikken, fastlægges af Styregruppen og
Sikkerhedsinstrukser og -procedurer, som formuleres af respektive ejere og afdelingsledere ud fra krav og retningslinjer i Informationssikkerhedshåndbog.

Politikken er gældende for alle Fredensborg Kommunes informationsrelaterede aktiviteter, uanset om disse udføres af ansatte i Kommunen eller af samarbejdspartnere. Informationssikkerhedspolitikken har gyldighed for alle ansatte i Fredensborg Kommune og i institutioner, hvor der er indgået driftsoverenskomst for al anvendelse af Fredensborg Kommunes informationsaktiver.

Organisation og ansvar
Byrådet har ansvaret for at godkende og vedligeholde informationssikkerhedspolitikken.

Direktionen har ansvaret for at fastlægge et passende sikkerhedsniveau for informationsaktiverne baseret på en overordnet risikovurdering.

Kommunaldirektøren er Fredensborg Kommunes øverste informationssikkerhedsansvarlige og har ansvaret for at udarbejde og føre tilsyn med informationssikkerhedspolitikken.

Herudover er der en række roller med ansvar og tilhørende myndighed, som er nærmere beskrevet i bilag 1 til denne politik.

Beredskabsplanlægning

Katastrofer søges undgået gennem en veltilrettelagt fysisk sikring og overvågning af bygninger, tekniske installationer og IT-udstyr. Omfanget af disse foranstaltninger besluttes ud fra en afvejning af risici i mod sikringsomkostninger og udmøntes i aftale om service niveau i SLA. I Fredensborg Kommunes beredskabsplan skal Kommunens og partnernes ansvar for sikkerhedskopiering og nødplaner entydigt præciseres. Beredskabsplanerne skal omfatte:

Skadebegrænsende tiltag
Etablering af temporære nødløsninger og
Genetablering af permanent løsning.

Beredskabsplanerne skal ajourføres og testes løbende mindst en gang om året.

Sanktionering Medarbejdere, der bryder de gældende informationssikkerheds-bestemmelser i Fredensborg Kommune, kan straffes disciplinært. De nærmere regler om dette fastsættes i overensstemmelse med den gældende personalepolitik

Ikrafttrædelse

Informationssikkerhedspolitikken er godkendt af Fredensborg Byråd den 29. august 2007. Bilag og Håndbog til Informationssikkerheds-politikken er løbende opdateret i forbindelse med organisatoriske ændringer.

Bilag 1 til Informationssikkerhedspolitik: Organisation og ansvar

Direktørområderne

Den enkelte Direktør har ansvar for at:

informationssikkerhedspolitikken og de regler, der er relevante for direktørens ansvarsområde, er kendte og efterleves
medarbejderne gennem uddannelse og udvikling opnår sikkerhedsbevidsthed om nødvendigheden af at overholde de sikkerhedsmæssige retningslinjer
der, efter behov, udarbejdes yderligere dokumentation vedr. sikkerhed for de enkelte afdelinger
der ved installation af nye systemer gennemføres en forudgående sikkerheds-/risikovurdering koordinere opklaringsarbejdet ved konstateret eller begrundet mistanke om sikkerhedsbrud. Resultatet rapporteres til Journalen og
retningslinjerne for ansættelse, introduktion, løbende vurdering, funktionsskift og afvikling af medarbejdere overholdes.

Der skal tilstræbes uafhængighed af enkeltpersoner gennem etablering af personbackup for de medarbejdere, der er alene om at dække specialer eller systemer af væsentlig betydning for Fredensborg Kommune. Som supplement hertil skal dokumentationen hørende til disse områder også holdes ajourført og evt. udbygges.

Styregruppen for Informationssikkerhed

Styregruppen er normgivende og fastsætter på grundlag af den vedtagne informationssikkerhedspolitik de principper/retningslinjer, der skal sikre opfyldelse af målene. Styregruppen behandler alle sikkerhedsspørgsmål af principiel karakter. Styregruppen udarbejder en årlig vurdering til den øverste sikkerhedsansvarlige af informationssikkerhedspolitikken og de tilknyttede sikkerheds retningslinjer, herunder at disse lever op til de eksterne forpligtelser udtrykt i lovgivning og kontrakter/aftaler. Styregruppen vurderer samtidig, om der er behov for fornyet risikovurdering/ konsekvensanalyse. Styregruppen kan ad hoc lade sig supplere med faglig assistance.

System-ejere

System-ejere, der er ansvarlig for det enkelte fagsystem, softwareprodukt o. lign. har ansvar for at:

der udarbejdes en kravspecifikation, som tager eksplicit hensyn til sikkerhedsmæssige forhold forud for enhver systemudvikling/-ændring/-anskaffelse
der udarbejdes en risikovurdering i henhold til kravene hertil
retningslinjerne følges ved enhver ændring af systemet
der ved idriftsætning af systemet foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene, og at disse er i overensstemmelse med de principielle krav hertil
autorisere adgangen til systemet i henhold til retningslinjerne herfor og
foretage opfølgning og rapportering af sikkerhedsbrud til Styregruppen.

I de situationer, hvor der ikke er funktionsadskillelse (autorisation/ administration), kompenseres med andre sikkerhedsforanstaltninger, som udmøntes i retningslinjerne og konkret i regler og procedurer for systemadministrationen.

Data ejere

Data ejeren har ansvar for at:

der udarbejdes en risikovurdering i henhold til kravene hertil (for systemtilknyttede data i samarbejde med system-ejeren)
der inden indrapportering af data i systemer foreligger konkrete regler og procedurer for regulering og
administration af adgangsforholdene, og at disse er i overensstemmelse med de principielle krav hertil
autorisere adgangen til data i henhold til retningslinjerne herfor og
foretage opfølgning og rapportering af sikkerhedsbrud til Styregruppen.

Ejere af fysiske aktiver

Alle fysiske aktiver får udpeget/tildelt en ejer. Såfremt aktivet er omfattet af en aftale om ekstern drift (hosting), tages der hensyn hertil i aftalegrundlaget med samarbejdspartneren, f.eks. ved at pålægge samarbejdspartneren at foretage forskellige former for kontrol og opfølgning, og rapportere herom.
Ejeren af det fysiske aktiv har ansvar for at:

der udarbejdes en kravspecifikation ved placering, indretning, forandring m.v. som tager eksplicit hensyn til sikkerhedsmæssige forhold
der udarbejdes en risikovurdering i henhold til kravene hertil
der ved ibrugtagning af lokaler/udstyr foreligger konkrete regler og procedurer for regulering og administration
af adgangsforholdene, og at disse er i overensstemmelse med de principielle krav hertil
autorisere adgangen til lokalerne/ udstyret i henhold til retningslinjerne herfor og foretage opfølgning og rapportering af sikkerhedsbrud til Styregruppen.

Medarbejdere

Funktionsadskillelse er det bærende kontrolprincip på såvel person- som organisationsplanet. Hvor dette ikke er praktisk eller økonomisk hensigtsmæssigt, skal kompenserende kontroller indføres. Den enkelte medarbejder har ansvar for at:

overholde informationssikkerhedspolitikken konkretiseret i God Administrativ Praksis og de regler, der er relevante for den enkeltes arbejdsopgaver og
rapportere om eventuelle sikkerhedsbrud eller mistanke herom til nærmeste leder og til Styregruppen.

Samarbejdspartnere

Samarbejdspartnere har en meget væsentlig del af ansvaret for at det valgte sikkerhedsniveau etableres og opretholdes. Samarbejdspartnerne har ansvar for at:

Fredensborg Kommunes informationssikkerhedspolitik og de regler, der er relevante for deres ansvarsområde, er kendte og efterleves, mest hensigtsmæssigt ved at egne sikkerhedspolitikker og regler til enhver tid afspejler krav fra Fredensborg Kommune
medarbejderne gennem uddannelse og udvikling opnår sikkerhedsbevidsthed om nødvendigheden af at overholde de sikkerhedsmæssige retningslinjer, herunder tiltrædelseserklæringen
der, efter behov, udarbejdes yderligere dokumentation vedr. sikkerhed for samarbejdspartnerens område
der ved installation af nye og modifikation af eksisterende interne systemer og komponenter med
påvirkningsmulighed til Fredensborg Kommunes informationsaktiver gennemføres en forudgående risiko/sikkerhedsvurdering og
koordinere opklaringsarbejdet ved konstateret eller begrundet mistanke om sikkerhedsbrud. Hændelsen og resultatet rapporteres via egen sikkerhedsorganisation til Journalen.

ISO 27000X

ISO27001 er en international standard til styring af informationssikkerhed. ISO27000-serien består af en række standarder med indbyrdes relationer. Nogle af disse standarder opstiller krav (normative), mens andre er vejledende i forhold til forskellige aspekter af implementering af et ledelsessystem for informationssikkerhed. Det er ikke alle disse standarder, der er udkommet, og der kommer stadig nye til.

Normative og vejledende krav

ISO27001 er en normativ standard – det vil sige, at den stiller krav – i en serie af standarder kaldet 27000familien af standarder. Den anden normative standard er ISO27006. I familien indgår der udover de to normative standarder en række standarder med retningslinjer for, hvordan en organisation kan implementere og overholde de normative standarder. Nedenfor er en oversigt over de vigtigste standarder i 2700X-familien:

ISO27001

Indeholder normative krav til, hvorledes et informationssikkerhedsledelsessystem skal implementeres og vedligehold ISO27002 Indeholder en liste af alment anerkendte retningslinjer for kontroller, der kan bruges som hjælp ved udvælgelsen og implementeringen af de kontroller, der er nødvendige for at opnå passende informationssikkerhed i en given organisation

ISO27003

Indeholder retningslinjer for implementering af ISO/IEC 27001

ISO27004

Indeholder retningslinjer for, hvordan man kan måle effektiviteten af et informationssikkerhedsledelsessystem

ISO27005

Indeholder retningslinjer for risikovurdering og -styring

ISO27006

Indeholder normative krav til organisationer, der skal certificere andre organisationer efter ISO/IEC 27001

ISO27007

Indeholder retningslinjer for, hvordan man kan udføre revision af et informationssikkerhedsledelsessystem

Hvorfor ISO27001?

Der er flere grunde til valget af ISO27001 som sikkerhedsstandard:

standarden tager udgangspunkt i den enkelte kommunes risikoprofil og lægger op til, at der implementeres netop de sikkerhedsforanstaltninger og kontrolprocedurer, der er passende for den enkelte institution,
ISO27001-standarden lægger stor vægt på ledelsens engagement og bevidste stillingtagen til hvilke procedurer, der skal indføres og hvordan,
Standarden indeholder en liste af mulige kontroller, der kan indføres for at opnå et passende sikkerhedsniveau, men den lægger vægt på, at listen ikke er udtømmende, så der kan være organisationer, der skal implementere flere eller andre kontroller. Det fordrer en vis grad af modenhed i den organisation, der anvender ISO27001, men giver også mulighed for løbende tilpasning i takt med ændringer i organisationen, teknologi og trusselsbilledet,
Den internationale standard har en fleksibilitet i forhold til, at den kan anvendes sammen med andre rammeværk for informationssikkerhed som f.eks. CoBit eller ISF standard of good practice,
ISO27001 er en international standard, hvilket letter samarbejdet med andre lande og i højere grad sikrer den nødvendige vedligeholdelse af standarden. Vedligeholdelse af ISO-standarder varetages af internationalt sammensatte ekspertgrupper, der med jævne mellemrum vurderer behovet for revision,
Standard sikrer ensartede sikkerhedsprocesser.

BILAG 5 Informationssikkerhed Håndbog

Informationssikkerhed håndbog

Version: 1.8

Publiceret: 09-11-2017

Øverst på formularen

5 Informationssikkerhedspolitikker

5.1 Retningslinjer for styring af informationssikkerhed

5.1.1 Politikker for informationssikkerhed

Offentliggørelse af sikkerhedspolitik

Informationssikkerhedspolitikken skal offentliggøres og kommunikeres til alle relevante interessenter, herunder alle medarbejdere.

Godkendelse af sikkerhedspolitik

Informationssikkerhedspolitikken skal godkendes Byrådet.

6 Organisering af informationssikkerhed

6.1 Intern organisering

6.1.1 Roller og ansvarsområder for informationssikkerhed

Ejerskab

Alle informationsaktiver skal have udpeget en ejer (systemejer).

Koordination af informationssikkerheden

Ansvaret for koordination af sikkerheden på tværs i kommunen varetages af Center for Ejendomme og Intern Service under ansvar for Økonomiudvalget.

Sikkerhedsorganisation

Center for Ejendomme og Intern Service har ansvar for at sikre, at strategien for informationssikkerhed er synlig, koordineret og i overensstemmelse med kommunens mål og visioner.

Center for Ejendomme og Intern Service skal:

udarbejde og vedligeholde retningslinjer indeholdende sikkerhedsprincipper for informationsanvendelsen
udarbejde relevante sikkerhedskrav, der operationaliserer informationssikkerhedspolitikken
foretage opfølgning og rapportering af sikkerhedsbrud
behandle dispensationsansøgninger for begrundede afvigelser i forhold til retningslinjerne , og rapportere disse
holde sig ajour med den generelle udvikling på det sikkerhedsmæssige område
koordinerer relevante initiativer med de øvrige aktører i Kommunen
udarbejde skabeloner for databehandleraftaler.

Ledelsens rolle

Ledelsen skal støtte kommunens informationssikkerhed ved at udlægge klare retningslinjer, udvise synligt engagement samt sikre en præcis placering af ansvar.

Persondata-ansvarlig

Center for Ejendomme og Intern Service er overordnet persondataansvarlig

6.1.2 Funktionsadskillelse

Sikring af forretningskritiske systemer

Forretningskritiske systemer skal beskyttes ved hjælp af funktionsadskillelse, således at risikoen for misbrug af privilegier minimeres.

Adgang til produktionsdata

Produktionsdata må kun tilgås af autoriseret personale.

6.2 Mobilt udstyr og fjernarbejdspladser

6.2.1 Politik for mobilt udstyr

Ejere af data på mobile enheder

Brugere af kommunens bærbare pc'er og andre mobile dataenheder såsom smartphone, tablets og håndholdte er ansvarlige for at beskytte de data, der behandles på disse, samt enhederne selv.

Adgang til mobilt udstyr

Mobilt udstyr skal beskyttes med adgangskode.

Opsyn med mobile enheder

Mobile enheder skal altid låses inde, når disse ikke er i brug.

Adgang til data på bærbare pc'er skal beskyttes med en login-adgangskode. Udstyr med klassificerede informationer skal anvende harddisk-kryptering.

Mobile enheders tilslutning til andre netværk

Det er tilladt at forbinde mobilt udstyr til andre netværk såfremt der benyttes firewall på enheden.

6.2.2 Fjernarbejdspladser

Adgang fra fjernarbejdspladser

Adgang gives kun til brugere, der er autentificerede med brugernavn og adgangskode samt enten en personlig digital nøgle eller en fysisk token.

7 Personalesikkerhed

7.1 Før ansættelsen

7.1.2 Ansættelsesvilkår og -betingelser

Aftaler om informationsudveksling

Ved udveksling af information og software imellem kommunen og evt. tredjepart, skal der foreligge en aftale herom.

Aftale om ansættelse

Lederen er ansvarlig for i forbindelse med ansættelse at informere om kommunens og medarbejderens ansvar og forpligtelser vedrørende informationssikkerhed. Herunder informere til medarbejderen om de behandlingen af deres personoplysninger i forbindelse med ansættelsen.

7.2 Under ansættelsen

7.2.1 Ledelsesansvar

Det er ledelsens ansvar at alle medarbejdere:

opnår et opmærksomhedsniveau i spørgsmål vedrørende informationssikkerhed, der er i overensstemmelse med deres roller og ansvar i kommunen.

7.2.2 Bevidsthed om, uddannelse og træning i informationssikkerhed

Uddannelse i informationssikkerhedspolitikken

Alle medarbejdere skal læse kommunens informationssikkerhedspolitik.

Kommunens informationssikkerhedspolitik kan tilgås fra FRED/Værktøjer.

7.2.3 Sanktioner

Overtrædelse af sikkerhedsretningslinjerne

Det er ledelsens ansvar, at sanktioner for brud på kommunens politikker, regler eller retningslinjer håndhæves konsekvent og i overensstemmelse med gældende lovgivning.

8 Styring af aktiver

8.1 Ansvar for aktiver

8.1.1 Fortegnelse over aktiver

Registrering af it-udstyr

Alt it-udstyr skal registreres med ejer, kontaktinformation, formål med anvendelsen, serienummer og placering.

8.1.3 Accepteret brug af aktiver

Misbrugsbeskyttelse af it-udstyr

Anvendelse af it-udstyr til uautoriserede formål må ikke finde sted uden ledelsens tilladelse.

8.2 Klassifikation af information

8.2.3 Håndtering af aktiver

Fortrolige data på mobile enheder

Der må opbevares fortrolige data på mobile enheder, såfremt disse data beskyttes med et produkt, der er godkendt af Center for Digitalisering og IT.

8.3 Mediehåndtering

8.3.1 Styring af bærbare medier

Brug af bærbare medier til fortrolige data

Manglende kryptering tillades, hvis medierne, der benyttes til transport af fortrolige data, under transporten er overvåget af betroede personer.

Brug af datamedier

Benyttelse af bærbare datamedier skal være forretningsmæssigt begrundet.

Virusscanning af mobile datamedier

Kommunens antivirus-løsning scanner automatisk ethvert nyt medie. Brugeren behøver ikke at foretage sig noget, medmindre it-systemet giver en specifik advarsel eller opfordring.

9 Adgangsstyring

9.1 Forretningsmæssige krav til adgangsstyring

9.1.1 Politik for adgangsstyring

Begrænset adgang til informationer

Brugere og medarbejdere med supportfunktioner må kun få adgang til systemfunktioner og informationer, hvis dette er forretningsmæssigt begrundet.

Adgangsbegrænsning til informationer

Fagsystemer skal have adgangskontrol implementeret for at hindre uautoriseret adgang til data og funktionalitet jvf. politik defineret af de enkelte applikationsejere. Detailopsætning og specificering afhænger af form og indhold af data, dokumenteret i risikoanalysen af systemet.

9.1.2 Adgang til netværk og netværkstjenester

Accepteret brug af informationsaktiver

Systemejere skal lave retningslinjer for accepteret brug af kommunens informationsaktiver.

Dataejere skal lave retningslinjer for accepteret brug af kommunens informationsaktiver.

Center for Ejendomme og Intern Service skal løbende overvåge internetforbindelser med henblik på at detektere elektroniske angreb. Logfiler skal gennemgås regelmæssigt og mindst 3 måneders historik skal opbevares.

Autentificering ved adgang til netværket

Adgangen til det Fredensborg Kommunes netværk fra andre lokationer end kommunens skal være adgangskodebeskyttet.

Retningslinjer for brug af netværkstjenester

Brugere skal kun have adgang til de tjenester, de er autoriseret til at benytte.

Forbindelse til fremmede trådløse netværk

Brugere må forbinde deres mobile udstyr til fremmede trådløse netværk.

9.2 Administration af brugeradgang

9.2.1 Brugerregistrering og -afmelding

I forbindelse med oprettelsen som it-bruger i kommunen skal medarbejderen informeres om de systemer den pågældende medarbejder registreres bliver autoriseret til for at kunne udføre de arbejdsopgaver der er fastsat af den pågældende leder.

9.2.2 Tildeling af brugeradgang

Gennemgang af brugerprofiler

Alle brugerprofiler skal gennemgås mindst en gang årligt for at identificere inaktive profiler eller tilsvarende, der skal fjernes eller ændres.

Systemer til styring af adgangskoder

Så vidt muligt skal der benyttes it-systemer, der automatisk kan styre de krav, der findes til adgangskoder.

9.2.4 Styring af hemmelig autentifikationsinformation om brugere

Overdragelse af adgangskode

Adgangskoder må overdrages på e-post til Ledelsen eller en af ledelsen bemyndiget.

9.2.6 Inddragelse eller justering af adgangsrettigheder

Returnering af aktiver ved aftrædelse

Medarbejderen skal aflevere alle udleverede kommunes aktiver ved samarbejdets ophør til nærmeste leder.

Inddragelse af privilegier ved fratrædelse

Proceduren for inddragelse af privilegier skal indeholde en liste over funktioner og personer, der skal informeres i forbindelse med fratrædelsen.

Adgangsrettigheder skal inddrages i forbindelse med en medarbejders fratrædelse eller afskedigelse.

Der skal forefindes en liste over fratrådte medarbejdere for de seneste seks måneder.

Brugerprofiler for konsulenter og deltidsansatte

Personer, som er ansat eller har konsulentaftale, må oprettes som brugere.

Vikarer og timelønnede må oprettes som brugere. Ophører ansættelses- eller vikaraftalen, skal brugerprofilen øjeblikkeligt nedlægges.

Fastansatte medarbejdere og langtidskonsulenter mv. kan tildeles faste rettigheder og profiler til adgang til kommunens netværk. Rettigheder og adgang gives af sikkerhedschefen i samråd med systemejerne.

Registrering af brugere

Brugere skal have unikt brugernavn og bruger-ID.

Ledelsen skal autorisere brugeradgang.

Der skal ske en verifikation af, at rettighedsniveauet er i overensstemmelse kommunens generelle sikkerhedsretningslinjer.

Systemejer skal vedligeholde brugerfortegnelser for systemet.

Center for Ejendomme og Intern Service skal vedligeholde fortegnelser over, hvordan bruger-ID eller rettigheder fjernes eller ændres ved ophør eller ændring af brugeres jobfunktion.

Center for Ejendomme og Intern Service skal vedligeholde fortegnelser over, hvordan brugere eller brugeres rettigheder fjernes eller ændres ved ophør eller ændring af brugeres jobfunktion for de centralt autoriserede programmer.

Systemejere skal godkende brugere og systemadministratorers adgangsrettigheder.

Systemejer skal vedligeholde fortegnelser over, hvordan brugere eller brugeres rettigheder fjernes eller ændres ved ophør eller ændring af brugeres jobfunktion for de decentralt autoriserede programmer.

Medarbejderes omplacering

Ved omplacering af medarbejdere skal alle rettigheder for pågældende bruger revurderes.

Retningslinier for adgangsstyring

Systemejere har det overordnede ansvar for at etablere og vedligeholde procedurer adgangsstyring for hvert system.

9.3 Brugernes ansvar

9.3.1 Brug af adgangskode til kommunens it-udstyr

Krav til længde af adgangskode

Adgangskoder skal indeholde mindst 8 tegn.

Krav til indhold af adgangskode

Adgangskoder skal indeholde kombinationer fra mindst tre af følgende kategorier: store bogstaver, små bogstaver, tal eller specialtegn.

Krav til skift af adgangskode

Adgangskoder skal skiftes efter højest 180 dage.

Valg af sikre adgangskoder

En bruger må ikke kunne vælge en adgangskode, der er identisk med én af de tre senest benyttede adgangskoder.

Genbrug af adgangskode

Adgangskoder må gerne genbruges på interne og eksterne systemer.

Adgangskoder er strengt personlige

Adgangskoder er strengt personlige og må ikke deles med andre eller overdrages til andre.

9.4 Styring af system- og applikationsadgang

9.4.2 Procedurer for sikker log-on

Automatiske afbrydelser

Funktioner i et informationsbehandlingssystem, der ikke har været aktivt i et fastlagt tidsrum, skal automatisk afbrydes.

Begrænset netværkstid

Brugersystemer med særlig høj risiko må kun benyttes inden for normal arbejdstid, hvis der ikke er et forretningsbetinget behov for udvidet adgangstid.

Sikker log-on

Systemadgang skal beskyttes af en sikker log-on-procedure.

10 Kryptografi

10.1 Kryptografiske kontroller

10.1.1 Politik for anvendelse af kryptografi

Brug af kryptering i forbindelse med opbevaring af data

Ingen krav

11 Fysisk sikring og miljøsikring

11.1 Sikre områder

11.1.1 Fysisk perimetersikring

Gæsters adgang

Gæster må gå frit rundt i borgerområderne.

Gæster må kun færdes udenfor borgerområdet, når de er ledsaget af en medarbejder.

Adgangskort til håndværkere og andet midlertidigt personale

Håndværkere, reparatører, teknikere og andre gæster, der får udleveret midlertidige adgangskort, skal bære disse synligt.

Udlån af adgangskort

Adgangskort må udlånes til håndværkere, teknikere og andre efter retningslinjer fastsat af Center for Kommunale Ejendomme og Arealer

Adgang til maskinstuer og it-klargøringsrum

Adgangen skal beskyttes med kodelås, og koden må kun kendes af sikkerhedsgodkendte medarbejdere.

Offentlige områder

Kommunens offentligt tilgængelige områder skal overvåges.

Brug af personlige adgangskort

Medarbejdere skal benytte adgangskort ved adgang uden for normal arbejdstid.

Adgangskort er personlige, skal opbevares forsvarligt, og må ikke overlades til andre.

Alle medarbejdere skal bære synligt identifikationskort, når de er på rådhuset. Ledelsen fastsætter i øvrigt reglerne for brug af ID kort. ID-kortene er personlige og må ikke overdrages til tredjepart.

11.1.5 Arbejde i sikre områder

Aflåsning af lokaler og bygninger

Alle døre og vinduer med adgang til/fra bygningerne skal lukkes og låses ved arbejdstids ophør. Døre til sikrede lokationer i bygningerne skal ligeledes aflåses. Sidste medarbejder der forlader et område er ansvarlig for sikring af dette

11.2 Udstyr

11.2.1 Placering og beskyttelse af udstyr

Adgang til serverrum og hovedkrydsfelter

Adgang til serverrum og hovedkrydsfelter tillades kun ved overvåget adgang af medarbejdere fra Center for Digitalisering og IT.

Adgang for serviceleverandører

Serviceleverandører må kun få adgang til sikre områder, når dette er påkrævet.

Sikring af kontorer, lokaler og udstyr

Ledelsen må sikre en passende fysisk sikring af kontorer, rum og udstyr.

11.2.5 Fjernelse af aktiver

Fjernelse af udstyr fra kommunen

Ledelsen skal godkende enhver flytning af medier fra et sikkert område.

11.2.6 Sikring af udstyr og aktiver uden for organisationen

Fortrolige informationer i offentlige rum f.eks. borgerzonen

Fortrolige informationer må ikke efterlades uden opsyn i offentligt tilgængelige rum, f.eks. borgerzonen på rådhuset.

Der skal udvises forsigtighed ved omtale af fortrolige informationer i offentlige rum, f.eks. borgerzonen på rådhuset.

11.2.7 Sikker bortskaffelse eller genbrug af udstyr

Bortskaffelse eller genbrug af udstyr

Når udstyr bortskaffes eller genbruges, skal kritiske/følsomme informationer og licensbelagte systemer fjernes eller overskrives.

Bortskaffelse og genbrug af medier

Alle datamedier, f.eks. harddiske, disketter, cd'er, dvd'er, bånd og hukommelsesenheder skal sikkerhedsslettes eller destrueres inden bortskaffelse.

11.2.8 Brugerudstyr uden opsyn

Placering af udstyr

Udstyr, der benyttes til at behandle kritiske/følsomme informationer, skal placeres så informationerne ikke kan ses af uvedkommende.

11.2.9 Politik for ryddeligt skrivebord og blank skærm

Opbevaring af fysiske dokumenter

Fortrolige dokumenter skal opbevares i aflåst skab eller skuffe.

Dokumenter med personhenførbare oplysninger skal opbevares i aflåst skab eller skuffe efter arbejdstid.

Dokumenter må gerne ligge fremme, såfremt kontorlokaler er aflåste.

Dokumenter med personhenførbare oplysninger må ikke ligge med forsiden opad, når skrivebordet forlades.

Brug af adgangskodebeskyttet pauseskærm

Brugere skal aktivere adgangskodebeskyttet skærmlås, når arbejdsstationen forlades.

Adgangskodebeskyttet skærmlås aktiveres på pc-arbejdspladser efter 30 minutters inaktivitet.

12 Driftssikkerhed

12.1 Driftsprocedurer og ansvarsområder

12.1.1 Dokumenterede driftsprocedurer

Driftsafviklingsprocedurer

Driftsafviklingsprocedurer for forretningskritiske systemer skal være dokumenterede, ajourførte og tilgængelige for driftsafviklingspersonalet og andre med et arbejdsbetinget behov.

Driftsansvar

Center for Digitalisering og IT er ansvarlig for drift og administration af fælles it-systemer samt disses sikkerhed. Dette inkluderer efterlevelse af sikkerhedspolitikker, regler og procedurer.

De-aktivering af beskyttelsesmekanismer

Det er under ingen omstændigheder tilladt at deaktivere eller omgå kommunens beskyttelsesmekanismer, herunder antivirus-produkter.

12.2 Beskyttelse mod malware

12.2.1 Kontroller mod malware

Antivirus-programmer

Antivirus-programmer skal være installeret på mobile og hjemmearbejdspladser.

Kontrol af antivirus på arbejdsstationer

Medarbejdere skal løbende kontrollere, at antivirus er aktivt på deres Windows-baserede laptop, og at datafilerne ikke er over en uge gamle.

Medarbejdere kan antage, at antivirus fungerer på den stationære arbejds-pc. Det er Center for Ejendomme og Intern Service ansvar at kontrollere korrekt funktion.

Antivirus-produkter på arbejdsstationer

Center for Digitalisering og IT skal sikre, at der er installeret aktive antivirus-produkter på samtlige computere i kommunen, og at disse opdateres højst et døgn efter leverandørens opdateringer.

Medarbejdere skal selv sikre, at der er installeret aktive antivirus-produkter på deres bærebare computere i kommunen og at disse opdateres minimum ugentligt.

Adware

Center for Digitalisering og IT skal sikre, at der regelmæssigt scannes for adware på alle arbejdsstationer.

12.3 Backup

12.3.1 Backup af information

Backup af systemer
Der foretages backup af kommunens it-systemer.

12.4 Logning og overvågning

12.4.1 Hændelseslogning

Logning i systemer med personoplysninger
I systemer, der behandler personoplysning skal der ske logning og kontrol efter sikkerhedsbekendtgørelsens regler

Logning fortegnelse over logninger der fortages
Der udarbejdes en oversigt over de logning der fortages i de it-systemer som medarbejdere benytter.

12.4.2 Beskyttelse af logoplysninger

Overvågning af internet-brug

Den enkelte medarbejders anvendelse af internettet bliver logget.

12.5 Styring af driftssoftware

12.5.1 Softwareinstallation på driftssystemer

Krav til indstillinger af internet-browser

Internet browsere skal opsættes jævnfør informationssikkerhedspolitikken.

Installation af programmer på arbejdsstationer

Brugere må kun installere programmer på kommunens arbejdsstationer, hvis Center for Ejendomme og Intern Service har godkendt installationen.

Forbudte og tilladte programmer

Center for Ejendomme og Intern Service skal altid spørges inden et program/system indkøbes/installeres

12.6 Sårbarhedsstyring

12.6.1 Styring af tekniske sårbarheder

Rettelser til operativsystemer

Center for Ejendomme og Intern Service skal mindst hver uge vurdere tilgængelige sikkerhedsrettelser, f.eks. patches eller hot-fixes til anvendte operativsystemer. Udrulning/installation på relevante systemer skal foretages senest en uge efter vurdering og positiv funktions- og kompatibilitetstest.

12.6.2 Begrænsninger på softwareinstallation

Sikkerhedsindstillinger i web-browser

Der må kun anvendes godkendte webbrowsere. Brugerne må ikke forsøge at omgå eller bryde sikringsforanstaltningerne.

Administration af arbejdsstationer

Generelt må administrative adgangskoder ikke gives til de arbejdsstationer der anvendes i organisationen. Dispensation gives af Center for Digitalisering og IT.

13 Kommunikationssikkerhed

13.1 Styring af netværkssikkerhed

13.1.1 Netværksstyring

Adgang til netværket

Netadgang og systemadgang begrænses ved brug af godkendte firewalls.

Adgang til data på kommunens netværk

Adgang til data på kommunens netværk er begrænset til informationer klassificeret i følgende klasser: uklassificeret, internt brug og fortroligt.

Ved fjernadgang til data på kommunens netværk, må der ikke gemmes data på lokale harddiske eller andre eksterne medier.

Adgang til applikationer på kommunens netværk

Der gives kun adgang til applikationer på internt netværk, som er godkendt af Center for Ejendomme og Intern Service.

Sikkerhedskontroller for fjernopkoblet udstyr

Mobile enheder skal sikres med antivirus, firewall og adgangskontrolsystemer. Disse foranstaltninger skal opdateres løbende.

Hjemmearbejdspladser

Tillades når sikkerhedspolitikken i øvrigt overholdes.

Opbevaring af fortrolige informationer på privat udstyr

Medarbejdere, der opbevarer fortrolige informationer på privat udstyr, skal bruge sikkerhedsgodkendt teknologi for at sikre, at andre ikke kan få uberettiget adgang til disse data.

Sikring af netværk

Center for Ejendomme og Intern Service har det overordnede ansvar for at beskytte kommunens netværk.

Installation af netværksudstyr

Det er ikke tilladt at installere netværksudstyr uden forudgående aftale med Center for Ejendomme og Intern Service.

Tilslutning af udstyr til netværk

Det er tilladt, at ansatte kobler udstyr til netværket efter aftale med Center for Ejendomme og Intern Service. Udstyret må ikke forstyrre driften, og Center for Ejendomme og Intern Service kan kræve det frakoblet.

Personlige firewalls

Alle arbejdsstationer skal benytte firewalls.

Installation og brug af modem

Center for Digitalisering og IT skal godkende alle installationer af modem og tilsvarende udstyr til datakommunikation.

Installation af trådløst udstyr

Medarbejdere må installere og bruge udstyr, forudsat at Center for Digitalisering og IT har godkendt det.

Ansvar for internetforbindelser

Det overordnede ansvar for internetforbindelserne ligger hos Center for Ejendomme og Intern Service.

Adgang til trådløse netværk for gæster

Gæster, hvis identitet er kendt, må tilslutte eget udstyr til gæstenettet, forudsat at udstyret ikke generer andre systemer.

Brug af trådløse lokalnetværk

Brug af trådløse netværk tillades.

13.1.2 Sikring af netværkstjenester

Afvikling af programmer i forbindelse med internetsurfing

Det er tilladt at afvikle browserbaserede programmer, f.eks. netbank-programmer, forudsat at sikkerhedspolitikken i øvrigt overholdes.

Internetbaserede tjenester

Det er tilladt at bruge internettjenester, der ikke er beskrevet i sikkerhedspolitikken, såfremt dette ikke indebærer forøgede sikkerhedsrisici.

Adgang til surfing på internettet

Internetadgangen må benyttes til internet browsing - privat brug i begrænset omfang accepteres i overensstemmelse med informationssikkerhedspolitikken, forudsat at det ikke blokerer for arbejdsrelateret brug af internettet.

Medarbejderes private brug af internetadgang

Kommunens internetadgang må også anvendes til private formål, såfremt informationssikkerhedspolitikken i øvrigt overholdes, og såfremt arbejdsrelateret brug ikke generes på nogen måde.

Streaming via internet

Det er ikke tilladt at anvende kommunens netværk til tung og vedvarende trafik, som eksempelvis radio- og tv-tjenester eller film, medmindre det er fagligt relevant.

Download af filer fra internettet

Filer må downloades fra internettet i begrænset arbejdsmæssigt omfang.

Download af programmer fra internettet

Regel under udarbejdelse.

Brug af kryptering i forbindelse med dataudveksling

Det kræves, at e-post og data, der indeholder fortrolige informationer, altid er krypteret under transmission.

Spam-e-post beskyttelse

Kommunen bortfiltrerer e-post der opfylder kommunens kriterier for spam-e-post.

Medarbejderne skal udvise forsigtighed med deres brugeridentitet i forbindelse med videregivelse af eksempelvis e-postadresser, samt i forbindelse med modtagelsen af uønskede e-post.

Fjernstyring og administration

Det er tilladt at benytte værktøjer til fjernadministration, hvis der foreligger sikkerhedsgodkendelse af produktet.

Trådløse netværk for gæster

Kommunen tilbyder trådløs netværkstjeneste til gæster.

Gæsters brug af kommunens trådløse netværk

Gæster får adgang til gæstenettet ved hjælp af en delt adgangskode.

13.2 Informationsoverførsel

13.2.1 Politikker og procedurer for informationsoverførsel

Udlevering af fortrolige informationer og oplysninger

Fortrolig information må ikke videregives til tredjepart i nogen form, uden godkendelse af dette fra system eller dataejeren. Dette gælder især for følsom information, samt personhenførbare oplysninger givet til organisationen.

Elektroniske dokumenter

Elektroniske kopier af dokumenter, f.eks. indscannede dokumenter og faxer, med fortrolige eller følsomme informationer, må kun behandles og lagres på passende it-udstyr.

Procedurer for informationsudveksling

Styregruppen har ansvaret for, at der foreligger retningslinjer og procedurer for enhver form for informationsudveksling, både fysisk og elektronisk.

Udskrivning

Printere, som benyttes til udskrivning af fortrolige informationer skal placeres i lokaler, der ikke er generelt tilgængelige.

13.2.3 Elektroniske meddelelser

Brug af messenger-programmer

Det er ikke tilladt at bruge messenger-programmer arbejdsmæssigt, f.eks. Microsoft Messenger eller Yahoo Messenger på kommunes netværk.

Social Engineering

Medarbejdere skal, når de behandler fortrolige informationer, være passende opmærksomme på begrebet "social engineering" dvs. kunsten at aflure fortrolige informationer uden at blive opdaget. F.eks. kan denne form for bedrag udføres via e-post, telefon og/eller messenger-programmer.

Ejerskab til e-post

Alle e-post betragtes som kommunens ejendom.

Vedhæftede filer

Center for Ejendomme og Intern Service blokere for filtyper som vurderes farlige eller uhensigtsmæssige.

Det er tilladt at benytte vedhæftede filer ved brug af e-post systemet.

Sagsbehandling og journalisering af e-post

Modtaget og afsendt e-post skal journaliseres og behandles efter samme principper som gælder for almindelig brevpost og fax.

Sikker e-post

E-post med følsomt indhold, der skal sendes udenfor kommunens netvæk, skal sendes som sikker e-post efter gældende regler. Dette gælder især for fortrolig eller følsom persondata.

Opbevaring og sletning af e-post

E-post, der indeholder personhenførbare oplysninger, skal slettes efter 30 dage fra Outlook.

Phishing og bedrageri

Uanset at kommunen udfører indholdsscanning af alt e-post, skal brugere skal være opmærksomme på "phishing" og "social engineering", der f.eks. kan betyde, at de kan modtage tilsyneladende oprigtige e-post, der forsøger at franarre personlige eller fortrolige oplysninger eller forsøger at få brugeren til at foretage uønskede handlinger.

Medarbejderes private brug af e-post

Medarbejdere skal markere private e-post med teksten 'privat' i emne-feltet, eller alternativt gemme private e-post i en folder hvor teksten 'privat' indgår i folderens navn.

Fredensborg Kommune forbeholder sig ret til at skaffe sig adgang til data og e-post for medarbejdere, hvis dette sker af drifts- eller sikkerhedshensyn. Kommunen vil så vidt muligt forsøge at undgå at åbne eventuel privat e-post-korrespondance.

Det er acceptabelt at benytte e-post til private beskeder i rimeligt og begrænset omfang.

Fredensborg Kommune tillader ikke, at medarbejdere anvender kryptering til at sende privat e-post.

Brug af preview funktion til åbning af e-post

E-post må gerne vises i preview funktion.

Informationsudveksling med eksterne parter

Messenger-programmer må kun bruges til at udveksle informationer, der enten er klassificerede til eksternt brug eller er uklassificerede.

Afsendere og modtagere

Messenger-kommunikation må udelukkende anvendes til private formål og må ikke anvendes i forbindelse med udførelse af ens hverv.

Overvågning

Center for Ejendomme og Intern Service skal overvåge og logge al brug af messenger-programmer.

13.2.4 fortroligheds- og hemmeligholdelsesaftaler

Indhold af fortrolighedserklæringerne

Regel under udarbejdelse.

Fortrolighedserklæring ved ansættelse

Alle medarbejdere skal underskrive tavshedserklæring senest ved ansættelsestidspunktet. Tavshedserklæringen er en del af ansættelseskontrakten. Reglerne for den offentlige forvaltning er gældende.

14 Anskaffelse, udvikling og vedligeholdelse af systemer

14.1 Sikkerhedskrav til informationssystemer

14.1.1 Analyse og specifikation af informationssikkerhedskrav

Anskaffelsesprocedurer

Det skal sikres, at nyanskaffelser ikke giver anledning til konflikt med eksisterende krav i sikkerhedspolitikken.

Anskaffelser må ikke give anledning til forøget risiko for sikkerhedshændelser, medmindre ledelsen accepterer den øgede risiko.

Ethvert nyt system skal risikovurderes inden ibrugtagning.

Anskaffelse og installation af nyt informationsbehandlingsudstyr og -systemer skal igennem en godkendelsesprocedure.

14.1.3 Beskyttelse af handelsapplikationer og -tjenester

Offentlig tilgængelig information

Det er Center for Ejendomme og Intern Service ansvar at offentlig tilgængelig information, f.eks. på kommunens web-server(e), er passende beskyttet mod uautoriserede ændringer.

14.2 Sikkerhed i udviklings- og hjælpeprocesser

14.2.5 Principper for udvikling af sikre systemer

Sikkerhedskrav til informationsbehandlingssystemer

Kommunens ønsker til nye såvel som bestående systemer skal indeholde krav til sikkerheden med udgangspunkt i en risikovurdering.

Anskaffelser

Center for Ejendomme og Intern Service skal tilse, at kun kendt og sikkert udstyr eller software, med et defineret formål, anskaffes og sættes i drift.

Udstyr og software må kun indkøbes fra leverandører som Center for Ejendomme og Intern Service vurderer som seriøse og som må forventes ikke at krænke tredjeparts ophavsret.

16 Styring af informationssikkerhedsbrud

16.1 Styring af informationssikkerhedsbrud og forbedringer

16.1.1 Ansvar og procedurer

Information om sikkerhedshændelser

Kommunen skal på faktuel vis informere berørte parter internt samt eksternt om eventuelle sikkerhedshændelser. Sikkerhedschefen skal godkende alle eksterne meddelelser.

Overvågning af tilgængelighed

Center for Ejendomme og Intern Service skal løbende overvåge alle forretningskritiske it-systemer og regelmæssigt dokumentere systemernes tilgængelighed.

16.1.2 Rapportering af informationssikkerhedshændelser

Rapportering af virusangreb

Hvis der observeres virus eller mistanke om virus, skal det omgående rapporteres til HelpDesk.

16.1.3 Rapportering af informationssikkerhedssvagheder

Rapportering af programfejl

Xxxxxxx, der observerer programfejl, som de ikke har oplevet før, skal rapportere dette via Helpdesk.

Rapportering af formodede sikkerhedshændelser

Ved konstatering af brud eller formodede brud på it-sikringsforanstaltninger skal rapportering straks ske til HelpDesk.

Ved konstatering af brud eller formodede brud på it-sikringsforanstaltninger skal rapportering straks ske til Center for Politik og Strategi.

16.1.6 Erfaring fra informationssikkerhedsbrud

At lære af sikkerhedsnedbrud

Center for Ejendomme og Intern Service skal etablere et system, der kan kvantificere og overvåge typer, omfang og omkostninger ved håndteringen af sikkerhedsbrud.

Kontrol og opfølgning på sikkerhedsbrud

Brud på sikkerheden, uautoriseret adgang og forsøg på uautoriseret adgang til systemer, informationer og data skal registreres.

16.1.7 Indsamling af beviser

Kontakt med relevante myndigheder

Center for Ejendomme og Intern Service varetager kontakten til Datatilsynet.

17 Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring

17.1 Informationssikkerhedskontinuitet

17.1.1 Planlægning af informationssikkerhedskontinuitet

Center for Politik og Organisation skal udarbejde og vedligeholde en tværorganisatorisk beredskabsstyringsproces, som skal behandle de krav til informationssikkerhed, der er nødvendige for kommunens fortsatte drift.

17.1.2 Implementering af informationssikkerhedskontinuitet

Beredskabsplaner for kommunekritiske funktioner

Systemejerne er ansvarlige for, at passende beredskabsplaner udarbejdes og vedligeholdes for de enkelte systemer med det formål at minimere nedbrud og udgifter som følge af sikkerhedshændelser.

Beredskabsplan

Beredskabsplan skal foreligge for alle forretningskritiske systemer

Evakuering af medarbejdere

Evakuering signaleres med sirene. Alle medarbejdere skal gå ud af nærmeste udgang og afvente yderligere instrukser.

18 Overensstemmelse

18.1 Overensstemmelse med lov- og kontraktkrav

18.1.1 Identifikation af gældende lovgivning og kontraktkrav

Opbevaring og behandling af personoplysninger

Lov om behandling af personoplysninger gælder ved enhver opbevaring og behandling af persondata.

Sporbarhed

Behandling af personrelaterede informationer logges automatisk, således at det er muligt for en revisor at kontrollere hvem, der har arbejdet med hvilke informationer på hvilke tidspunkter.

Kontrol af overholdelse af persondatalovgivning

Den persondata-ansvarlige skal kontrollere overholdelse af persondatalovgivning.

Dansk bekendtgørelse 528

Vejledning til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning gælder.

Identifikation af relevant lovgivning

Ledelsen er ansvarlig for, at alle eksterne sikkerhedskrav samt kommunens håndtering af disse klarlægges, dokumenteres og løbende vedligeholdes.

18.1.3 Beskyttelse af registreringer

Lagring og adgangsrettigheder til systemdokumentation

Systemdokumentation opbevares i mindst 5 år.

18.2 Gennemgang af informationssikkerhed

18.2.1 Uafhængig gennemgang af informationssikkerhed

Opfølgning på implementering af sikkerhedspolitikken

Mindst en gang årligt skal der udføres systematisk opfølgning på overholdelse af informationssikkerhedspolitikken i hele organisationen. Resultatet skal rapporteres til øverste ledelse.

Rådhuset • Egeva ngen 3 B • DK-2980 Kokkedal • Telefon 00 00 00 00 • xxxxxxxxxxx@xxxxxxxxxxx.xx • xxx.xxxxxxxxxxx.xx
Version 1.0 – april 2018

Document Metadata

Table of Contents

skabelon for databehandleraftaleR mellem FREDENSBORG KOMMUNE og it-leverandøreR

Document Metadata

skabelon for databehandleraftaleR mellem FREDENSBORG KOMMUNE og it-leverandøreR

Generelt

Formål

Kommunens rettigheder og forpligtelser

Leverandørens forpligtelser

Underleverandør (underdatabehandler)

Instrukser

Tekniske og organisatoriske sikkerhedsforanstaltninger

Overførsler til andre lande

Tavshedspligt og fortrolighed

Kontroller og erklæringer

Ændringer i Aftalen

Sletning af data

Misligholdelse og tvistigheder

Erstatning og forsikring

Ikrafttræden og varighed

Indledning

Sikkerhedskrav indtil 25. maj 2018

Sikkerhedskrav fra 25. maj 2018

Document Metadata