Sikkerhetstiltak. ASF er forpliktet til å ivareta det ansvar for informasjonssikkerhet som tilligger databehandler i henhold til personopplysningslovens § 1, jf. personvernforordningen artikkel 32. ✓ Sikring av konfidensialitet; beskyttelse mot at uvedkommende får innsyn i opplysningene ✓ Sikring av integritet; beskyttelse mot utilsiktet endring av opplysningene ✓ Sikring av tilgjengelighet; sørge for at tilstrekkelige og relevante opplysninger er til stede ASF plikter for øvrig å etterkomme krav til databehandlingen som ellers følger av relevante lover og forskrifter. Databehandlingen vil i tillegg utføres i henhold til gjeldende systemdokumentasjon og øvrige rutinebeskrivelser for Altinn-tjenesten. Oppstiller aktuelle tjenester tilleggskrav til sikkerhet, skal det før tjenestene besluttes lagt inn i Altinn, avklares mellom ASF og tjenesteeier om ytterligere sikkerhetstiltak som tilfredsstiller disse kravene kan dekkes. Dokumentasjon på dette skal på forespørsel være tilgjengelig for <Tjenesteeier>, Datatilsynet og Personvernnemnda. Ved krav til behandling som ikke dekkes av gjeldende Altinn-løsning må endring eller videreutvikling behandles i Samarbeidsavtalens fora. ASF forplikter seg til aktivt å opprettholde en forståelse for relevante trusler og risiko, og å vedlikeholde tilstrekkelige sikkerhetstiltak ut fra et besluttet risikonivå. Tjenesteeier skal varsles dersom det oppstår vesentlige endringer i risikobildet. Overordnet oversikt over tiltak skal oppdateres i protokoll over behandlingsaktiviteter for Altinn-løsningen. Videre skal <Tjenesteeier> administrere tilganger som <Tjenesteeier>s egne ansatte/konsulenter har til informasjon i dokumentasjon om Altinn-løsningen og i servicedialogen mellom tjenesteeierne og ASF. Tilgangen skal være styrt i henhold til tjenstlig behov.
Sikkerhetstiltak. Bilendi skal iverksette alle tekniske og organisatoriske sikkerhetstiltak som kreves i henhold til artikkel 32 i EUs personvernerklæring eller andre gjeldende personvernlover. Sikkerhetsforanstaltningene som Bilendi implementerer er beskrevet i et eget «dokument for datasikkerhetsstrategi», og den nyeste versjonen skal sendes til Kunden på forespørsel.
Sikkerhetstiltak. 4.1 Under hensyntaken til vanlige driftsprosedyrer, kostnadene ved implementering og arten, omfanget, konteksten og formålet med behandling, skal Iron Mountain implementere hensiktsmessige og rimelige tekniske og organisatoriske tiltak for å beskytte konfidensialiteten, integriteten, og tilgjengeligheten av kundens personopplysninger og for å beskytte kundens personopplysninger mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse, skade, endring, eller offentliggjøring. Iron Mountains sikkerhetsstandarder er fastsatt i vedlegg 2 til denne DPA.
4.2 Det er kundens eget ansvar å vurdere om disse tekniske og organisatoriske tiltakene oppfyller kundens krav.
Sikkerhetstiltak. Som del av informasjonssikkerhetssystemet (Information Security Management System – ISMS) har Tietoevry retningslinjer for informasjon om sikkerhet og personvern, som kan deles med kunder på forespørsel. Tietoevry innehar en rekke sertifiseringer basert på internasjonale standarder, herunder ISO 27001, ISO 9001, ISO 20000 og ISO 14001. Tietoevry utfører hvert år en ekstern ISAE3402 revisjon som foretas av uavhengig tredjepart. Revisjonsrapporten er tilgjengelig for Tietoevrys kunder på forespørsel etter nærmere avtale. Partene kan avtale at det skal foretas en ISAE 3402 revisjon spesifikt for Kundens løsning der det er ønskelig fra Kundens side. Tietoevry gjennomfører følgende tiltak for å sikre at kravene i GDPR artikkel 32 imøtekommes: 1 Pseudonymisering og kryptering av personopplysninger Tietoevry benytter kryptering og/eller pseudonymisering der det er relevant for å øke personopplysningsssikkerheten. Krypterings- og pseudonymiserings-teknikker vil variere ut fra tjenester og risikovurdering. Nærmere informasjon om de enkelte tjenestene og pseudonymisering/ kryptering oppgis på forespørsel.
Sikkerhetstiltak. Databehandleren skal iverksette, implementere og opprettholde hensiktsmessige tekniske og organisatoriske sikkerhetstiltak for å verne personopplysningene.
6.1 Sikkerhetstiltakene databehandleren iverksetter, skal sikre det beskyttelsesnivået som kreves av gjeldende lov og personvernforordningen (når denne trer i kraft), og som ellers er hensiktsmessig med hensyn til tekniske muligheter, implementeringskostnader, særskilte risikoer knyttet til behandlingen av opplysningene samt i hvilken grad personopplysningene som behandles, er eller kan anses som sensitive.
6.2 Databehandleren er ansvarlig for å sikre at dennes virksomhet drives på en måte som også ellers sikrer tilstrekkelig personvern og informasjonssikkerhet.
6.3 Databehandleren skal sørge for at ansatte, konsulenter og andre personer som databehandleren er ansvarlig for, og som behandler eller har tilgang til personopplysninger, er bundet av en dertil egnet konfidensialitetsforpliktelse, og at disse er informert om at behandlingen av personopplysninger skal skje i samsvar med instruks fra behandlingsansvarlig.
6.4 Ved implementering av tekniske og organisatoriske sikkerhetstiltak skal databehandleren ta i betraktning den nyeste utviklingen, implementeringskostnader, arten av behandlingen av personopplysninger, omfang, sammenheng og formål, herunder risikoer for fysiske personers rettigheter og friheter med varierende alvorlighetsgrad og sannsynlighet, for å sikre et sikkerhetsnivå i samsvar med de aktuelle risikoene.
6.5 Databehandlerens implementering av sikkerhetstiltak skal omfatte, der dette er hensiktsmessig, pseudonymisering og kryptering av personopplysninger, muligheten til å fortløpende sikre konfidensialiteten, integriteten, tilgjengeligheten og robustheten til systemene og tjenestene for behandling av personopplysninger samt muligheten til å gjenopprette tilgjengeligheten av og tilgangen til personopplysningene innen rimelig tid hvis det forekommer fysiske eller tekniske sikkerhetshendelser, samt prosedyrer for regelmessig testing, undersøkelser og evaluering av hvor effektive sikkerhetstiltakene er.
6.6 Ved vurdering av sikkerhetstiltakenes egnethet skal man særlig vurdere risikoen for utilsiktet eller ulovlig ødeleggelse av, tap av, endring i eller uautorisert tilgang til personopplysninger.
Sikkerhetstiltak. 2.4.1. I samsvar med de identifiserte databehandlingsaktivitetene og, i samsvar med risikoanalysen utført av databehandleren, forplikter databehandleren seg til å implementere passende sikkerhetstiltak i samsvar med artikkel 32 GDPR.
2.4.2. Partene kan beslutte å spesifisere sikkerhetstiltakene som er implementert og avtalt av partene i et vedlegg til denne databeskyttelsesavtalen.
Sikkerhetstiltak. 5.1 Databehandleren forplikter seg til å implementere de nødvendige tekniske og organisatoriske tiltak som skal til for at sikkerheten ivaretas. Dette må gjøres med hensyn til det aktuelle tekniske nivået, implementeringskostnadene og databehandlingens karakter, omfang, sammenheng og formål, samt ta høyde for risikokalkulering av varierende grad og konsekvens for fysiske personers rettigheter.
5.2 Databehandleren skal også oppfylle eventuelle sikkerhetskrav formulert i Personvernlovgivningen, herunder sikkerhetskrav i det land, hvor Databehandleren er etablert.
5.3 Partene kan i løpet av Databehandleravtalen avtale endringer til allerede implementerte sikkerhetstiltak.
5.4 Databehandleren skal ved hjelp av passende tekniske og organisatoriske tiltak bistå den Behandlingsansvarlige slik at de oppfyller sine forpliktelser og kan besvare henvendelser om behandling av data i henhold til Personvernlovgivningen.
5.5 Databehandleren skal så raskt det er mulig underrette den Behandlingsansvarlige hvis de oppdager brudd på personopplysningssikkerheten. Videre skal Databehandleren bistå den Behandlingsansvarlige med å sikre overholdelse av den Behandlingsansvarliges forpliktelser til å (i) dokumentere alle brudd på personopplysningssikkerheten, (ii) melde eventuelle brudd på personopplysningssikkerheten til de(n) kompetente tilsynsmyndighetene(er) og (iii) underrette de registrerte om slike brudd på personopplysningssikkerheten, det hele i overensstemmelse med artikkel 33 og 34 i Xxxxxxxxxxxxxxxxxxxxxx.
Sikkerhetstiltak. Databehandler skal besørge følgende sikkerhetstiltak: Sikre kontinuerlig konfidensialitet, integritet, tilgjengelighet og stabilitet i behandlingssystemer og tjenester. Rutiner og systemer for å gjenopprette tilgjengelighet og tilgang til Personopplysninger innen rimelig tid i tilfelle av fysisk eller teknisk avbruddshendelse Rutiner for jevnlig testing, fastsetting og vurdering av effektiviteten til tekniske og organisatoriske tiltak rettet mot sikring av behandlingsprosesser.
Sikkerhetstiltak. ASF er forpliktet til å ivareta det ansvar for informasjonssikkerhet som tilligger databehandler i henhold til personopplysningslovens § 1, jf personvernforordningen artikkel 32. Informasjonssikkerhet omfatter: • Sikring av konfidensialitet; beskyttelse mot at uvedkommende får innsyn i opplysningene • Sikring av integritet; beskyttelse mot utilsiktet endring av opplysningene • Sikring av tilgjengelighet; sørge for at tilstrekkelige og relevante opplysninger er til stede ASF plikter for øvrig å etterkomme krav til databehandlingen som ellers følger av relevante lover og forskrifter. Databehandlingen vil i tillegg utføres i henhold til gjeldende systemdokumentasjon og øvrige rutinebeskrivelser for tjenesten. Dokumentasjon på dette skal på forespørsel være tilgjengelig for Tjenesteeier DPV, Datatilsynet og Personvernnemnda. Ved opphør av tjenesten DPV, vil ASF slette informasjon tilknyttet tjenesteeier DPV i Tjenesteeiers arkiv.
Sikkerhetstiltak. Vi er nøye med å bruke personvernprinsippene med hensikt og som standard, og implementere passende tekniske og organisatoriske tiltak for å begrense behandlingen av dataene dine maksimalt, i tillegg til å sørge for sikkerheten. Spesielt blir, og som standard, kun personopplysninger som er nødvendige for hvert enkelt formål, behandlet av oss, og tilgangen til personopplysningene dine er begrenset i forhold til det som kreves etter formålene som er detaljert under klausul 7 for denne erklæringen. Spesielt blir betalingstransaksjoner som er utført med dine betalingsdetaljer kryptert ved hjelp av SSL-teknologi.