Risk- och Sårbarhetsanalys
|
|
- Jan-Olof Göransson
- för 8 år sedan
- Visningar:
Transkript
1 tgerg Risk- och Sårbarhetsanalys Bedömning av behandling av personuppgifter i molntjänst för Utbildningsnämndens verksamheter Sektor utbildning, kultur- och fritid
2 1 Beskrivning av användning av molntjänst Office 365 Utbildningsnämnden ser flera fördelar med att kunna erhålla funktionalitet genom molntjänst. I kommunen finns ambitioner att skapa rätt förutsättningar, för att med stöd av IT underlätta och effektivisera samverkan, informationsdelning och kommunikation, såväl inom organisationen och med externa intressenter. Detta gäller för hela Utbildningsnämndens ansvarsområde. Genom att välja en molntjänst för Utbildningsnämndens ansvarsområde kommer personuppgifter för medarbetare och elever att behandlas i tjänsten. Den som använder sig av en tredje part, ett så kallat personuppgiftsbiträde, för behandling av personuppgifter ska därför: - Genomföra en laglighetskontroll utifrån reglerna i personuppgiftslagen (PuL), - Göra en risk- och sårbarhetsanalys samt, - Teckna tillhörande personuppgiftsbiträdesavtal med molntjänstleverantören. Utbildningsnämnden i Ale kommun är personuppgiftsansvarig för behandlingen av personuppgifter i molntjänsten. Molntjänsten levereras av Microsoft som därigenom har rollen som personuppgiftsbiträde. Sektor utbildning, kultur och fritid har gjort den samlade bedömningen att användandet av molntjänsten Office 365 efterlever de integritets- och säkerhetskrav som följer av PuL och att vi med tjänsten och på det sätt vi valt att använda den, inte kränker den enskilde elevens- och/eller medarbetarens personliga integritet. Viktiga komponenter i denna bedömning, som beskrivs närmare i det följande, har bl.a. varit att: 1. Molntjänsten levereras som en tjänst mellan Ale kommun och molntjänstleverantören via federation elever och medarbetare behöver inte skapa egna konsumentkonton eller tvingas ingå individuella relationer med externa parter. 2. Leverantören kan erbjuda tjänsten både som molntjänst samt som lokal installation vilket innebär en möjlighet att avsluta tjänst och hämta tillbaka data om behovet skulle uppstå i framtiden. T.ex. via reviderade risk- och sårbarhetsanalyser. 3. Tydlighet och full transparens erbjuds kring molntjänstens uppbyggnad, datahantering och certifieringar. 4. Personuppgiftsbiträdesavtalet samt de tillhörande EUs standardkontraktsklausulerna uppfyller kraven på att vara en tydlig och fullständig instruktion av oss som personuppgiftsansvarig till molntjänstleverantören som personuppgiftsbiträde.
3 1.1 Tjänster som skall användas i Office 365 Ale kommun har beslutat att använda Microsoft Office 365 för hantering av den information som genereras inom skolans verksamhet. Skolans verksamhet innefattar förskola, förskoleklass, fritidshem, grundskola, gymnasium, särskola och vuxenutbildning. Elever och medarbetare under Utbildningsnämnden, kommer att få tillgång till SharePoint Online och dokumentdelningstjänsten Skydrive Pro i Office 365, för lagring och redigering av dokument, bilder, film, och annat pedagogiskt arbetsmaterial. Samtliga användare kommer att få tillgång till onlinetjänsterna Lync Online. Eleverna får e-postkonto via tjänsten Exchange Online. Personal använder andra befintliga e-posttjänster. Förutom ovanstående beskrivning kommer skolverksamheten även att ha tillgång till det skoladministrativa systemet. Grundinformation om elever och medarbetare hämtas från skoladministrativt respektive personaladministrativt system för att skapa elev- och personalkonton i Office Tjänster och information som inte hanteras i Office 365 Tjänsten används inte för elevadministration, individuella utvecklingsplaner, omdömen eller liknande. 1.3 Information och kommunikation om valet av tjänst Information och instruktioner om molntjänsten kommer att lämnas till medarbetare, elever och vårdnadshavare. Informationen är framtagen och kommer att lämnas skriftligt i form av en tryckt informationsfolder till elev och vårdnadshavare. Medarbetare informeras via intranät och e-post. 2 Behandling av personuppgifter I Office 365 kommer Utbildningsnämnden behandla personuppgifter om elever och lärare. 2.1 Ändamål med behandlingen Office 365 kommer användas i Utbildningsnämnden i Ale Kommun för följande ändamål: Microsoft Office 365 är ett pedagogiskt arbetsverktyg som ska användas för digitalt samarbete i lärsituationen genom samarbeten lärare elev, lärare lärare och elev elev. Behandlingen av personuppgifter ska således enbart ske för att möjliggöra arbetsverktygen.
4 2.2 Typ av uppgifter Endast följande typer av personuppgifter kommer att behandlas i den aktuella molntjänsten: Endast personuppgifter om användaridentitet och liknande indirekta personuppgifter förekommer, t.ex. namn, klass, skola och liknande. IT-stödet kommer inte att användas för dokumentation om elevernas utveckling och omdömen. Personuppgiftsbiträdet kommer behandla personuppgifterna enbart för att utföra den molntjänst som Office 365 utgör. En beskrivning av omfattningen och ändamålet med denna behandling framgår av personuppgiftsbiträdesavtalet och behandlingen får bara ske enligt dessa instruktioner. 2.3 Tillåten behandling Personuppgifter behandlas av skolverksamheten för att kunna genomföra arbetsuppgifter, bland annat för pedagogiskt arbete, kommunikation och lagring av pedagogiskt material. Innehållet är av okänslig karaktär. Enligt 10 punkten d PuL, får detta ske utan individens eller vårdnadshavares samtycke. 2.4 Information till registrerade Information om den planerade behandlingen ska enligt 23 och 25 PuL lämnas och detta kommer att genomföras genom att ett informationsfolder delas ut till varje elev och dess vårdnadshavare. Information till medarbetare delas ut via e-post. Information kommer även att finnas på intranät, webbplats och andra kanaler. 2.5 Personuppgiftsbiträde Utbildningsnämnden kommer att använda sig av personuppgiftsbiträden. Microsoft Irland Operations Limited som molntjänstleverantör och licensgivare har rollen som personuppgiftsbiträde. Biträdet använder i sin tur ett begränsat antal namngivna kontrakterade underleverantörer. Utbildningsnämnden kan vid varje givet tillfälle underrätta sig om vilka underleverantörer som för tillfället deltar i behandlingen av personuppgifterna. Biträdet kommer behandla personuppgifterna enbart för att utföra den molntjänst som Office 365 utgör. En uttömmande beskrivning av omfattningen och ändamålet med denna behandling framgår av personuppgiftsbiträdesavtalet och behandlingen får bara ske enligt dessa instruktioner. 2.6 Överföring till tredje land De primära datacenter som används i molntjänsten finns inom EU. Data kan dock komma att överföras till tredje land. Se punkt 3.3 samt ( Även teknisk supportpersonal utanför EU kan behöva felsöka tjänsten.
5 3 Standardavtal Ale kommun har till huvudavtalet Microsoft Campus och School-avtal med tillhörande Enrollment for Education Solutions bilagt tilläggsavtalen EES18 vilket är personuppgiftsbiträdesavtalet och M100 vilket avser EUs standardkontraktsklausuler. 3.1 Avtalsstruktur EES18 Data Processing Agreement o Avtalet EES18 (Bilaga 1) är Microsofts Personuppgiftsbiträdesavtal för skolavtal, ett s.k. Data Processing Agreement. Detta avtal reglerar leveransen av tjänsten och hanteringen av innehåll i denna. Avtalet utgör en instruktion mellan Utbildningsnämnden som personuppgiftsansvarig och Microsoft som personuppgiftsbiträde. Avtalet undertecknas och kan bara ändras genom skriftliga tillägg som undertecknas av båda parter. Avtalet (och nedan angivna EU standardkontraktsklausuler) har företräde framför andra avtalshandlingar mellan parterna enligt avtalets punkt 7.c. I avtalet redovisas bl.a. att molntjänstleverantören inte får behandla personuppgifter för andra ändamål än dem som personuppgiftsbiträdet anlitats för, att biträdet är skyldig att tillämpa gällande lagstiftning när det gäller behandlingen av personuppgifter, hur molntjänstleverantören Microsoft reglerar åtkomst till sina datacenter, på vilket sätt Microsoft informerar om underleverantörer och förändringar av dessa m.m.
6 M100 EU Model Clauses o Avtalet M100 (Bilaga 2) avser EUs standardkontraktsklausuler mellan Ale kommun och Microsofts moderbolag utanför EU, även kallat EU Model Clauses. Dessa klausuler reglerar gränsöverskridande överföringar av personuppgifter mellan t.ex. Europa och tredje land och med EU Model Clauses så uppfylls EU:s dataskyddsdirektiv avseende just detta. EU:s dataskyddslagstiftning begränsar möjligheten att exportera personuppgifter från Europeiska ekonomiska samarbetsområdet. EU Model Clauses, är standardkontraktsklausuler som godkänts av Europeiska kommissionen och är ett rekommenderat sätt att legitimera överföring av personuppgifter utanför det Europeiska ekonomiska samarbetsområdet. Personuppgiftsbiträdesavtalet checklista 1 Ett personuppgiftsbiträdesavtal skall upprättas mellan kund och de som behandlar uppgifter för kunds räkning (personuppgiftsbiträden). Sker genom att personuppgiftsbiträdesavtalet i Bilaga 1 (EES18) undertecknas mellan kund som personuppgiftsansvarig och molnleverantören som personuppgiftsbiträde. Utöver detta tecknas även EUs standardkontraktsklausuler mellan kund och molnleverantörens moderbolag utanför EU (Bilaga 2) (M100). 2 Villkoren i personuppgiftsbiträdesavtalet skall vara urskiljbara från övriga villkor som gäller mellan parterna och de skall inte ensidigt kunna förändras av personuppgiftsbiträdet. Uppfylls genom Bilaga 1 som är urskiljbart, undertecknas och bara kan ändras genom ömsesidigt godkännande av parterna. 3 Personuppgiftsbiträdesavtalet: a) Skall föreskriva att personuppgiftsbiträdet är skyldigt att tillämpa svensk lagstiftning när det gäller behandlingen av personuppgifter Adresserat i avsnitt 2.a i Bilaga 1. b) Skall föreskriva att personuppgiftsbiträdet är skyldigt att vidta lämpliga säkerhetsåtgärder enligt 31 PuL c) Adresserat i avsnitt 5 i Bilaga 1. d) Skall föreskriva att personuppgiftsbiträden endast får behandla personuppgifter i enlighet med den personuppgiftsansvariges instruktioner och därmed säkerställa att personuppgiftsbiträdet inte behandlar personuppgifter för andra ändamål än dem som personuppgiftsbiträdet anlitats för Adresserat i avsnitten 2.b. och 4.a. i Bilaga 1. e) Skall säkerställa att den personuppgiftsansvarige har kännedom om vilka andra personuppgiftsbiträden som kan komma att behandla den personuppgiftsansvariges personuppgifter f) Uppfylls genom att en fullständig lista på Microsofts underleverantörer för O365 läggs till Microsofts Office 365 Trust Center d=en-us
7 Därutöver ges kunden enligt avsnitt 4.e. i Bilaga 1 rätt att få meddelanden om det läggs till underleverantörer och säga upp avtalet om de inte godkänner dessa. g) Skall säkerställa att den personuppgiftsansvarige på lämpligt sätt har möjlighet att följa upp att personuppgiftsbiträden lever upp till den personuppgiftsansvariges krav på personuppgiftsbehandlingen och verkligen vidtar lämpliga säkerhetsåtgärder Adresserat i avsnitt 5.b. (Certifications and audits) i Bilaga 1. h) Skall säkerställa att det finns tekniska och praktiska förutsättningar att utreda misstankar om att någon hos den personuppgiftsansvarige eller hos något personuppgiftsbiträde haft obehörig åtkomst till personuppgifterna Adresserat i avsnitten 5.a. (vi) (Domain: Access control) och 5.a. (vii) (Domain: Information security incident management) samt i avsnitt 6.(Security Incident Notification) i Bilaga 1. samt i) Skall säkerställa att parterna vet vilka åtgärder som ska vidtas vid avtalets upphörande så att personuppgiftsbiträdet inte har åtkomst till personuppgifterna därefter. Adresserat i avsnitt 2.c. i Bilaga 1. 4 Särskilda regler gäller för överföring av personuppgifter till ett land utanför EU-/EES -området. Om personuppgifter kommer att behandlas av personuppgiftsbiträden i ett land utanför EU/EES skall ansvarig se till att något av undantagen från förbudet mot överföring av data till tredje land kan tillämpas, till exempel de s.k. standardavtalsklausulerna eller anslutande till Safe Harbor-principerna, se punkt 3.3 Dels är molnleverantören ansluten till Safe Harbor-principerna och dels ingår tecknande av EUs standardkontraktsklausuler (Bilaga 2). 3.2 Underleverantörer och kontroll Personuppgiftsbiträdet kommer att anlita underleverantörer. Den personuppgiftsansvarige har kännedom om vilka andra personuppgiftsbiträden som kan komma att behandla den personuppgiftsansvariges personuppgifter. Den personuppgiftsansvarige kan säkerställa sin kontroll över behandlingen. Den personuppgiftsansvarige kan vid varje givet tillfälle underrätta sig om vilka underleverantörer som för tillfället deltar i behandlingen av personuppgifterna. En fullständig och uppdatera lista på Microsofts underleverantörer för Office 365 finns på Microsofts Office 365 Säkerhetscenter. ( d=en-us). Därutöver ges Ale kommun enligt avsnitt 4.e. i Bilaga 1 rätt att få meddelanden om det läggs till underleverantörer och säga upp avtalet om de inte godkänner dessa.
8 3.3 Tredjelandsöverföring Särskilda regler gäller för överföring av personuppgifter till ett land utanför EU-/EES -området. Om personuppgifter kommer att behandlas av personuppgiftsbiträden i ett land utanför EU/EES så åligger det Utbildningsnämnden i Ale kommun såsom personuppgiftsansvarig att se till att något av undantagen från förbudet mot överföring av data till tredje land kan tillämpas, till exempel de s.k. standardavtalsklausulerna eller anslutande till Safe Harbor-principerna. Utbildningsnämnden gör bedömningen att behandlingen av personuppgifter i Microsofts tjänst efterlever EU:s Direktiv 95/46/EC avseende skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Detta krav uppfylls genom tecknandet av EUs standardkontraktsklausuler (Bilaga 2) samt att Microsoft är ansluten till Safe Harbor-principerna. Listan över till Safe Harbor anslutna företag och just MS: Information från DI: Länk till USA:s handelskammare: Möjlighet till insyn och spårbarhet Utbildningsnämnden vill säkerställa att de som personuppgiftsansvarig på lämpligt sätt har möjlighet att följa upp att personuppgiftsbiträdet lever upp till den personuppgiftsansvariges krav på personuppgiftsbehandlingen och verkligen vidtar lämpliga säkerhetsåtgärder. Nämnden gör bedömningen att Microsoft Office 365 ger dem som personuppgiftsansvarig möjlighet och förutsättningar att efterleva detta. I avsnitt 5.b. i bilaga 1 så förbinder sig Microsoft att förvalta en säkerhetspolicy som efterlever ISO Utbildningsnämnden bedömer att den revision som görs regelbundet av tredje part uppfyller kommunens förväntningar och krav gällande kontroll i detta avseende. Nämnden har möjligheten att begära att få ta del av revisionsutlåtande för att på så sätt verifiera att Microsoft upprätthåller och efterlever de certifieringar som Microsoft säger sig ha. Nämnden gör vidare bedömningen att Microsoft tillhandahåller information om var geografiskt och i vilka datacenter biträdet hanterar personuppgifter och informationen samt vilka som har åtkomst till denna.
9 3.5 Tillgänglighet Utbildningsnämnden har ingått ett avtal med molntjänstleverantören för användandet av tjänsten Office 365. Molntjänstleverantören lovar tillgänglighet på 99,9% och erbjuder ett servicenivåavtal med ekonomisk garanti. För mer information gällande tillgänglighet: Servicenivåavtalet återfinns på: Säkerhet Gällande säkerhet så ska den personuppgiftsansvarige säkerställa att det finns tekniska och praktiska förutsättningar att skydda data samt ha möjlighet att utreda misstankar om att någon hos den personuppgiftsansvarige eller hos något personuppgiftsbiträde haft obehörig åtkomst till personuppgifterna. Utbildningsnämnden gör den samlade bedömningen att Microsoft har genomfört och tillhandahåller lämpliga tekniska och organisatoriska åtgärder och interna kontroller och rutiner i syfte att upprätta och förvalta ett kvalitativt informationssäkerhetsarbete. Med stöd av dessa gör vi bedömningen att nämndens data och personuppgifter kan skyddas mot oavsiktlig, otillåten eller olaglig åtkomst och förstörelse. Detta adresseras specifikt i avtalsbilagan (Bilaga 1) avsnitten 5.a. (vi) (Domain: Access control) och 5.a. (vii) (Domain: Information security incident management) samt i avsnitt 6.(Security Incident Notification). Ale kommun har vidtagit ett antal tekniska åtgärder tillsammans med den inbyggda infrastrukturen och arkitekturen för säkerhet som Office 365 erbjuder. Nedan sammanfattas några områden som vi har beaktat: Begränsad tillgång till den fysiska datahallen för endast auktoriserad personal Datahallen skyddas av ett flertal lager fysisk säkerhet, som biometriska läsare, rörelsesensorer, kameraövervakning och trygghetslarm All kommunikation i datacentret är krypterad, data krypteras i vila och vid kommunikation. Kryptering av data i vila sker med hjälp av BitLocker 256-bitars kryptering och med SSL/TLSkryptering vid överföring. All hantering av användarkonton sker hos Ale Kommun som sedan speglas upp till Office 365 Federeringsteknik används för att spegla användarkonton och förändringar av dessa Inga lösenord lagras i molnet En- och två faktors autentisering kan används för att säkerställa rättighetsbaserad filtrering och åtkomst Funktionerna skyddas av BKS system, idag uppsatt i Microsoft Active Directory Antivirus och antispamskydd finns inbyggd i tjänsten
10 Goda backup-möjligheter finns i tjänsten och tillgänglighet publiceras öppet och regleras via finansiellt uppbackade SLAs Redundans på flera skikt och lager infrastruktur, data och funktionalitet Möjlighet finns att skydda informationsobjekt specifikt genom certifikat och personlig nyckel (Rights Management Service) Ingen blandning av information och tjänster från de publika molntjänsterna motsvarande Outlook.com eller Skydrive.com sker Utbildningsnämnden gör en samlad bedömning att tjänsten Office 365 uppfyller krav på säkerhet och tillgänglighet som följer av PuL. Förutom information i de bilagda personuppgiftsbiträdesavtalen så grundar sig denna bedömning på: - Information som finns sammanställt på Microsoft Trust Center - Information i dokumentet Securing Microsoft Cloud Infrastructure - Information om tillgänglighet, enl. föregående avsnitt: samt information om tillgänglighet som öppet publiceras på - Information i dokumentet Standard Response to Request For Information-O365-Security- Privacy_v2.pdf I den fastslås att Microsoft är certifierad enligt ISO/IEC och som är ett kvalitetsledningssystem avseende informationssäkerhet. Mer information: (se bilaga 3.6) 3.7 Hantering av data För Utbildningsnämnden är det av särskild vikt att personuppgiftsbiträden endast får behandla personuppgifter i enlighet med dess instruktioner och därmed säkerställa att personuppgiftsbiträdet inte behandlar personuppgifter för andra ändamål än dem som personuppgiftsbiträdet anlitats för. Speciellt viktigt i detta sammanhang är att personuppgifter och information som lagras i tjänsten inte kan användas i syfte för att vidareutveckla tjänsten eller rikta marknadsföring till tjänstens brukare då dessa är minderåriga och inte valt att använda tjänsten själva. Det är viktigt att det tydligt framgår av avtalstexter eller på annat sätt hur information används och vem som äger informationen. Nämnden har gjort en samlad bedömning att Microsofts molntjänst Office 365 uppfyller dessa fundamentalt grundläggande och ställda krav. Nämnden har baserat sin bedömning på information som finns i avtal EES18 (Avtalsbilaga 1) och den information som redovisas via Microsoft Trust Center. I Bilaga 1, avsnittet 2.b tydliggörs explicit hur kunddata används och i vilka syften. I samma bilaga punkt 4.a står att läsa:
11 Intent of the Parties. For the Office 365 Services, Customer is the data controller and Microsoft is a data processor acting on Customer s behalf. As data processor, Microsoft will only act upon Customer s instructions. This Office 365 DPA and the Enrollment (including the terms and conditions incorporated by reference therein) are Customer s complete and final instructions to Microsoft for the processing of Customer Data. Any additional or alternate instructions must be agreed to according to the process for amending Customer s Enrollment. Bedömning görs att information lagrade i tjänsten eller personuppgifter kopplade till tjänsten, inte används för marknadsföring, direktreklam eller för att analysera och förbättra tjänsterna eller andra erbjudanden. (se tabell nedan) Utbildningsnämnden värdesätter tydlighet i hur data hanteras för efterlevnad. Det ska finnas tekniska möjligheter till backup av enskilda dokument och epost som eventuellt raderas av misstag ska vara möjligt att återställa. Om information raderas av misstag ska det vara möjligt att återta sådana dokument. Utbildningsnämnden kan konstatera att behov och krav adresseras och efterlevs i tjänsterna i Office 365. Förutom att data inom ett Data Center speglas flera gånger så speglas också data över till ett sekundärt Data Center som kan tas i bruk i händelse av att det skulle behövas. Utöver denna inbyggda redundans av data så finns det i respektive tjänst möjligheter att återta information. I Exchange Online så finns det tydligt beskrivet hur länge data lagras och hur data kan återställas. I SharePoint Online och SkyDrive Pro finns möjligheter att synkronisera data lokalt samt möjligheter att återta dokument och information på ett flertal nivåer.
12 3.8 Raderande av uppgifter Vid en uppsägning eller avslut av molntjänsten ges Utbildningsnämnden ett val att antingen beordra Microsoft att radera uppgifterna eller ha kvar dem under en retentionsperiod om minst 90 dagar för att möjliggöra ett kopierande och återtagande av uppgifterna. Utbildningsnämnden kommer att kunna tillse att uppgifterna raderas hos molntjänstleverantören inom en period om längst 180 dagar. Ale kommun och Microsoft arbetar gemensamt med att ta fram en guide för hur parterna skall agera vid radering vid avslut av molntjänsten. 3.9 Avslut av tjänst I förhållandet mellan Utbildningsnämnden som ansvarig och molntjänstleverantören som biträde är det viktigt att parterna vet vilka åtgärder som ska vidtas vid avtalets upphörande så att personuppgiftsbiträdet inte har åtkomst till personuppgifterna därefter. Utöver vad som sägs i punkten 3.8 ovan om radering av uppgifter så utgör Microsofts avtalsupplägg med en rörlighet och flexibilitet mellan molntjänster och klassisk mjukvara på lokala servrar en garant för att Utbildningsnämnden löpande skall kunna anpassa sitt upplägg efter ändrade risker och sårbarhet. Leverantören kan erbjuda tjänsten både som molntjänst samt som lokal installation vilket innebär en möjlighet att hämta tillbaka både tjänst och data om behovet skulle uppstå i framtiden. T.ex. via reviderade risk- och sårbarhetsanalyser.
13 4 Risk- och sårbarhetsanalys Följande tabell tar upp risker och bedömer dess konsekvens och sannorlikhet med avseende på personuppgiftsbehandlingen i aktuella tjänster. Benämning risk 1 Beskrivning Elevers arbetsmaterial i skolan går förlorad pga. systemfel av det inträffade Omarbete, förseningar mm. leder till att användare tappar förtroende för tjänsten. X Benämning risk 2 Beskrivning Obehörig får del av personuppgifter och arbetsmaterial av Oönskad spridning av informationen. det inträffade Störningar i det pedagogiska arbetet. Osäkerhet när det gäller användares aktivitet om det finns oklarhet i identifieringen. Kan leda till att användare tappar förtroende för tjänsten. X Benämning risk 3 Beskrivning Leverantören visar sig inte kunna etablera eller upprätthålla tillräcklig informationssäkerhet av det inträffade Förlust av anseende för kommunen. Krav i lag och/eller förordning kan inte uppfyllas. Kan framtvinga hävning av avtal och/eller byte av leverantör. Risk för informationsförlust. X
14 Benämning risk 4 Beskrivning Personal hos leverantör läser elevernas e-post av det inträffade Obehörig får del av information av privat karaktär. Kan leda till att användare tappar förtroende för tjänsten. X Benämning risk 5 Beskrivning Leverantören går i konkurs, köps upp av intressent som inte respekterar ingånget avtal eller att tjänsten avvecklas. av Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust och/eller det inträffade ekonomisk förlust för kommunen. Nedlagt arbete går till spillo, förseningar i produktionen, medarbetar tappar förtroende för sin arbetsmiljö. x Benämning risk 6 Beskrivning Medarbetares arbetsmaterial i skolan går förlorad pga. systemfel av det inträffade Omarbete, förseningar mm. leder till att användare tappar förtroende för tjänsten. x Benämning risk 7 Beskrivning Leverantören förmår inte upprätthålla tillgängligheten på tjänsten av det inträffade Störningar i lärandet, användarna tappar förtroende för sin arbetsmiljö. Ekonomiska konsekvenser vid förlorad arbetstid. X
15 Benämning risk 8 Beskrivning Virus eller annan fientlig kod kan via tjänsten hota kommunens övriga IT-miljö. av det inträffade Störningar i IT-leveransen. Ekonomiska konsekvenser. x Benämning risk 9 Beskrivning Information och personuppgifter raderas inte efter att elever har slutat i verksamheten av det inträffade Tjänsterna kan fortsätta användas trots att eleven inte tillhör skolan. Intern information kan spridas till utomstående. Personuppgifter kan bevaras längre än vad som är motiverat från verksamhetens behov. x Benämning risk 10 Beskrivning Leverantören behandlar personuppgifterna för egna ändamål av det inträffade Kommunen kan anses bryta mot gällande lag. Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust och/eller ekonomisk förlust för kommunen. Användares brist på förtroende. x Benämning risk 11 Beskrivning Leverantören uppgraderar/förändrar innehållet i tjänsten. av det inträffade Avtalet kan behöva förändras för att stämma med ny funktionalitet. Personupphandlingen kan förändras. Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust. x
16 5 Slutsats risk- och sårbarhetsanalys Följande tabell listas de risker som togs upp i ovanstående Risk- och sårbarhetsanalys. För varje risk så ställs ett krav på hur detta ska hanteras i avtal mellan Ale Kommun och Microsoft som molntjänstleverantör. Hot Beskrivning Riskbedömning Åtgärd 1 Elevers arbetsmaterial i skolan går förlorat pga. systemfel /Mycket sällan Det skall finnas backup av informationen i tjänsten. Denna skall kunna kontrolleras och prövas fortlöpande av kommunen. 2 Obehörig får del av arbetsmaterial. /Sällan Leverantören skall etablera och upprätthålla en informationssäkerhet som skyddar mot intrång. Denna skall kunna kontrolleras och prövas fortlöpande av Kommunen. Utbildning och instruktioner till användare. 3 Leverantören visar sig inte kunna etablera eller upprätthålla tillräcklig informationssäkerhet. /Mycket Sällan Leverantören skall etablera och upprätthålla en informationssäkerhet som kan kontrolleras och prövas fortlöpande av Kommunen. Nivån för informationssäkerheten skall göra det möjligt för Kommunen att uppfylla motsvarande krav som gäller enligt Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10). 4 Personal hos leverantören läser Elevernas e-post. /Mycket Sällan Kommunen skall ensamt kunna sätta behörigheter för information i tjänsten.
17 5 Leverantören går i konkurs, köps upp av intressent som inte respekterar ingånget avtal eller att tjänsten avvecklas. / Mycket Sällan Det skall finnas back-up av informationen från tjänsten. Denna skall kunna kontrolleras och prövas fortlöpande av kommunen. Back-up skall kunna användas av kommunens utan leverantörens medverkan eller godkännande. 6 Medarbetares arbetsmaterial i skolan går förlorad pga. systemfel /Mycket Sällan Det skall finnas backup av informationen i tjänsten. Denna skall kunna kontrolleras och prövas fortlöpande av kommunen. 7 Leverantören förmår inte upprätthålla tillgängligheten på tjänsten. /Mycket Sällan Nivån på tillräcklig tillgänglighet skall regleras i avtal. Nivån skall vara konkret och mätbar och konsekvens för leverantören vid återkommande brister. 8 Virus eller annan fientlig kod kan via tjänsten hota kommunens övriga IT-miljö. /Mycket Sällan Leverantören har väl etablerade skydd mot virus och fientlig kod. Tjänsten är avskild från kommunens övriga ITmiljö. 9 Information och personuppgifter raderas inte efter att elever har slutat i verksamheten /Mycket sällan Avslutande av konton styrs från kommunen. Leverantören garanterar att data raderas i enlighet med instruktioner från kommunen. 10 Leverantören behandlar personuppgifterna för egna ändamål t /Mycket sällan Leverantören garanterar i avtal att personuppgifter endast kommer att behandlas för de ändamål som leverantören har anlitats för. 11 Leverantören uppgraderar/förändrar tjänsten. / Mycket sällan Leverantören informerar löpande om förändringar. Kommunen har rutiner för att granska förändringarna och ta ställning till konsekvens. Informationen till användare kan behöva uppdateras. Då risk- och sårbarhetsanalyser är ett pågående arbete är det viktigt att kunna anpassa tjänsten efter nya bedömningar och ändrade förutsättningar. Utbildningsnämnden konstaterar att den valda tjänsten kan driftas både som en molntjänst och som en lokal installation. Det innebär att Utbildningsnämnden kan välja att drifta delar eller hela tjänsten och själv hämta tillbaka data om behov skulle uppstå i framtiden.
18 6 Sammanfattande bedömning Utbildningsnämnden inom Ale kommun har gjort den samlade bedömningen att användandet av molntjänsten Office 365 efterlever de integritets- och säkerhetskrav som följer av PuL och att man med tjänsten och på det sätt man valt att använda den, inte kränker den enskilde elevens- och/eller lärarens personliga integritet. Viktiga komponenter i denna bedömning har varit följande: 1. Molntjänsten levereras som en tjänst mellan Utbildningsnämnden i Ale kommun och molntjänstleverantören via federation elever behöver inte skapa egna konsumentkonton eller tvingas ingå individuella relationer med externa parter. 2. Leverantören kan erbjuda tjänsten både som molntjänst samt som lokal installation vilket innebär en möjlighet att hämta tillbaka både tjänst och data om behovet skulle uppstå i framtiden. T.ex. via reviderade risk- och sårbarhetsanalyser. 3. Tydlighet och full transparens erbjuds kring molntjänstens uppbyggnad, datahantering och certifieringar. 4. Personuppgiftsbiträdesavtalet samt de tillhörande EUs standardkontraktsklausulerna uppfyller kraven på att vara en tydlig och fullständig instruktion av oss som personuppgiftsansvarig till molntjänstleverantören som personuppgiftsbiträde. Riskanalysen utvisar inga risker som motiverar att verksamheten skulle avstå från att använda tjänsten.
PuL-bedömning och riskanalys av Google Apps for Education (GAFE), Simrishamns kommun
2014-05-05 1 PuL-bedömning och analys av Google Apps for Education (GAFE), Simrishamns kommun Risk- och sårbarhetsanalys Risk Elevers arbetsmaterial i skolan går förlorad pga. systemfel Omarbete/merarbete,
Läs merPuL-bedömning och riskanalys av molntjänst i skolan
2013-11-XX 1 E-samhället i praktiken PuL-bedömning och analys av molntjänst i skolan Detta dokument är ett fiktivt exempel på hur en genomförd PuL 1 -bedömning och analys 2 av en molntjänst i en skola
Läs merPuL-bedömning av molntjänst i skolan
Ett fiktivt exempel att använda som diskussionsunderlag PuL-bedömning av molntjänst i skolan Detta dokument är ett fiktivt exempel på hur en genomförd PuL 1 -bedömning av en molntjänst för skolorna i en
Läs merPuL-bedömning och riskanalys av Google apps for Education (GAFE) för användning inom Falu Kommuns skolverksamhet.
2016-06-07 PuL-bedömning och riskanalys av Google apps for Education (GAFE) för användning inom Falu Kommuns skolverksamhet. Barn och Utbildningsnämnden Falu kommun Ingemar Paulson 2 (16) 1. Bakgrund Skolverksamheten
Läs merVägledning om molntjänster i skolan
2013-11-xx 1 E-samhället i praktiken Vägledning om molntjänster i skolan För att en skolnämnd i en kommun ska kunna bedöma om de molntjänster som man vill använda inom skolan stämmer överens med kraven
Läs merPuL- bedömning och riskanalys av molntjänst. För Grundskolan Tranemo kommun
Vår ref: Per Ambjörnsson Planeringsledare Datum: 2016-09-30 PuL- bedömning och analys av molntjänst För Grundskolan Tranemo kommun Deltagare: Fredrik Nilströmer (IT-strateg), Per Ambjörnsson (Planeringsledare
Läs merInförande av Google Apps for Education
TJÄNSTESKRIVELSE Handläggare Datum Ärendebeteckning Linus Hellman 2016-02-08 SKDN 2016/0013 52904 Södermöre kommundelsnämnd Införande av Google Apps for Education Förslag till beslut Södermöre kommundelsnämnd
Läs merMolntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER
Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER Avtalstypen Molntjänst - Funktionalitet online via Internet - Köp av/ abonnemang på en tjänst - Olika innehåll, olika nivåer SaaS,
Läs merMolntjänster och integritet vad gäller enligt PuL?
Molntjänster och integritet vad gäller enligt PuL? Juridik och IT i kommunerna, den 14 mars 2013 Ingela Alverfors, jurist Adolf Slama, IT-säkerhetsspecialist Dagens agenda Molntjänster Mobila enheter Sociala
Läs merPersonuppgiftsbiträdesavtal
DNR 13-125/2325 SID 1 (9) Bilaga 9 Personuppgiftsbiträdesavtal Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm DNR 13-125/2325 SID 2 (9) INNEHÅLLSFÖRTECKNING
Läs merRisk- och sårbarhetsanalys Sid 1 (27)
Sid (27) Risk- och sårbarhetsanalys Office 65 Nybro Sid 2 (27) Underlag.... Beskrivning av användningen..... Syfte med användning av Onlinetjänsten d v s molntjänsten.....2 Avgränsningar rörande datatyper
Läs merALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA. 1. Allmänt
ALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA 1. Allmänt Bayou AB ( Bayou ) tillhandahåller tjänsten Tyra ( Tyra ). Tyra är ett verktyg avsedd för förskola och föräldrar till barn i förskola ( Skolan ). Genom
Läs merMELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7
MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7 Detta avtal har dagen för undertecknanden ingåtts mellan parterna; 1) XXX ( XXX ), org. nr 123456-7890, (Personuppgiftsansvarig) och 2) [ ],
Läs merOffice 365. Risk- och sårbarhetsanalys. Omsorgsförvaltningen Nybro kommun. Risk- och sårbarhetsanalys Sid 1 (27)
Sid (27) Office 65 Omsorgsförvaltningen Nybro kommun Bilaga ärende 8 - Office 65 Innehållsförteckning Sid 2 (27) Underlag.... Beskrivning av användningen..... Syfte med användning av Onlinetjänsten d v
Läs merBilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)
Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst
Läs merPersonuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal 1. Parter Personuppgiftsansvarig (PA) Namn: Organisationsnummer: Adressuppgifter: Telefonnummer: E-post: Personuppgiftsbiträde (PB) Namn: Digerati Sverige AB Organisationsnummer:
Läs merAvtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE
Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE 1. Personuppgiftsbiträdesavtalets syfte Detta Personuppgiftsbiträdesavtal syftar till att uppfylla stadgandet i 30 personuppgiftslagen (PuL)
Läs merBilaga 3 Personuppgiftsbiträdesavtal
Bilaga 3 Personuppgiftsbiträdesavtal Detta personuppgiftsbiträdesavtal ( Biträdesavtalet ) har ingåtts av Parterna för att garantera en säker, korrekt och laglig behandling av personuppgifter i samband
Läs merPersonuppgiftsbiträde
Personuppgiftsbiträdesavtal 1 PARTER Symbolbruket AB www.symbolbruket.se Detta Personuppgiftsbiträdesavtal gäller mellan Symbolbruket AB, org.nr. 559025-7316, Östra Harg Torpängen, 585 91 Linköping, info@symbolbruket.se
Läs merBilaga 1: Personuppgiftsbiträdesavtal 1/10
Bilaga 1: Personuppgiftsbiträdesavtal 1/10 2/10 Innehållsförteckning 1 Bakgrund och syfte... 3 2 Lagval och definitioner... 3 3 Behandling av personuppgifter... 3 4 Underbiträden... 4 5 Begränsningar i
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL DEFINITIONER Begrepp och definitioner i detta Avtal ska ha motsvarande betydelse som i Europaparlamentets och Rådets förordning (EU) 2016/679 (nedan kallad dataskyddsförordningen)
Läs merPersonuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal Personuppgiftsansvarig: Kunden finns inom EU ("Personuppgiftsansvarig") och Personuppgiftsbiträde: Europeisk representant Företag: ONE.COM (B-one FZ-LLC) One.com A/S Org.nr.:
Läs merKommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.
DETTA PERSONUPPGIFTSBITRÄDESAVTAL ( Personuppgiftsbiträdesavtalet ) är dag som nedan träffat mellan: (1) Lomma kommun, organisationsnummer 212000-1066 ( Kommunen ); och (2) [ ], organisationsnummer [ ]
Läs merPersonuppgiftsbiträdesavtal
1 Personuppgiftsbiträdesavtal Parter Klubb Organisationsnummer Adress Postadress Nedan: ansvarig Bolag Organisationsnummer Adress Postadress Nedan: biträdet Kontaktperson: Telefonnummer: Mejladress: Kontaktperson:
Läs merUniversitetet och Datainspektionen i Molnet
15 och 16 april 2015 Universitetet och Datainspektionen i Molnet reflektioner över en gryende praxis Göteborgs universitet Definition från Wikipedia Datormoln molntjänster - är IT-tjänster som tillhandahålls
Läs merTillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molntjänsten Office 365
Datum Diarienr 2014-04-25 1475-2013 Utbildningsnämnden Ale kommun 449 80 Alafors Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molntjänsten Office 365 Datainspektionens
Läs merTillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter
Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL Detta personuppgiftsbiträdesavtal, nedan Avtalet, har träffats mellan 1. Underentreprenör, nedan Personuppgiftsansvarig och 2. Bellmans åkeri & entreprenad AB, 556402-9006,
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL PARTER Brf Föreningen 769600-9999 (nedan kallad Personuppgiftsansvarig) och Nordstaden Stockholm AB 556646-3187 (nedan kallad Personuppgiftsbiträde) har denna dag ingått följande
Läs merPersonuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)
Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen) Parter: Personuppgiftsansvarig Personuppgiftsbiträde Vård- och omsorgsnämnden
Läs merAVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH
Personuppgiftsavtal AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Detta avtal har dagen för undertecknanden ingåtts mellan parterna; 1) (Personuppgiftsansvarig) Företagsnamn Organisationsnummer
Läs merPersonuppgiftsbiträdesavtal Zynatic Medlemsregister
PERSONUPPGIFTSBITRÄDESAVTAL Sida 1(5) Personuppgiftsbiträdesavtal Zynatic Medlemsregister 1 PARTER Den som beställer och använder Zynatic Medlemsregister, och därmed bekräftar att de accepterar våra Allmänna
Läs merPERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)
1 (6) Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS) Detta personuppgiftsbiträdesavtal reglerar Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges
Läs merRegelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.
Regelverk Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag Bilaga D Personuppgiftsbiträdesavtal Version: 2.0 Innehållsförteckning 1 Allmänt om personuppgiftsbiträdesavtal... 1
Läs merAnvänd molntjänster på rätt sätt
2013-02-13 E-samhället i praktiken Använd molntjänster på rätt sätt Molntjänster kan spara pengar och göra information mer tillgänglig för kommuner och landsting. Den viktigaste bedömningen vid val av
Läs merRiktlinjer för dataskydd
1 Riktlinjer för dataskydd Inledning Följande riktlinje syftar till att konkretisera policyn för dataskydd samt ge vägledning och råd vid hantering av personuppgifter i X kommun. Riktlinjen, som grundar
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL 1. 1.1 1.2 1.3 1.4 Allmänt Detta Personuppgiftsbiträdesavtal utgör en integrerad del av avtalet om Directory ( Avtalet ) mellan Leverantören och Kunden. Leverantören kommer
Läs merADDSECURES BEHANDLING AV PERSONUPPGIFTER
Avtalsförord ADDSECURES BEHANDLING AV PERSONUPPGIFTER För den behandling av personuppgifter som AddSecure utför för sina kunders räkning är AddSecure personuppgiftsbiträde åt kunden. Om du är kontaktperson
Läs merBilaga 1a Personuppgiftsbiträdesavtal
Bilaga 1a Personuppgiftsbiträdesavtal stockholm.se Stadsledningskontoret Avdelningen för digital utveckling Ragnar Östbergs Plan 1 105 35 Stockholm Växel 08-508 29 000 www.stockholm.se Innehåll 1 Parter
Läs merTillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet
Datum Diarienr 2013-09-09 890-2012 Utbildnings- och arbetsmarknadsnämnden Sollentuna kommun Turebergs torg 1 191 86 Sollentuna Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter
Läs merTillägg om Zervants behandling av personuppgifter
Tillägg om Zervants behandling av personuppgifter Detta tillägg om behandling av personuppgifter är en bilaga till användaravtalet mellan Zervant och kunden och är underkastad dess användarvillkor i den
Läs merGDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017
GDPR och molnet Konferens SUNET Inkubator den 16 maj 2017 GDPR - Dataskyddsförordningen EU:s allmänna dataskyddsförordning ska börja tillämpas den 25 maj 2018. GDPR kommer att kompletteras av en nationell
Läs mer1. Bakgrund. 2. Parter. 3. Definitioner
Personuppgiftsbiträdesavtal samt fullmakt för såväl direktansluten vårdgivare som Inera AB att teckna personuppgiftsbiträdesavtal enligt 30-31 Personuppgiftslagen (1998:204) Modellavtal 2 riktar sig till
Läs merGDPR NYA DATASKYDDSFÖRORDNINGEN
GDPR NYA DATASKYDDSFÖRORDNINGEN GDPR NYA DATASKYDDSFÖRORDNINGEN GENERAL DATA PROTECTION REGULATION De nya reglerna gäller från och med den 25 maj 2018 och ersätter PUL Syfte: Stärka integritetsskyddet
Läs merBehandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer
Behandling av personuppgifter enligt dataskyddslagstiftningen Riktlinjer Dokumenttyp Riktlinjer Giltighetstid fr. o. m. t. o. m. 2018-11-28- Gäller tills vidare Gäller för målgruppen Antagen av Kommunstyrelsen
Läs merGDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)
dataskydd vid Alandica Kultur & Kongress (för personal, kunder och samarbetspartners) 25.05.2018 Alandicas beredskap för GDPR Från och med 25.5.2018 börjar EU:s nya dataskyddsförordning GDPR (General Data
Läs merKOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige
KOMMUNAL FÖRFATTNINGSSAMLING 2018:1-003 Policy och riktlinjer för hantering av personuppgifter Antagen av kommunfullmäktige 2018-03-27 35 1 Att gälla från och med 2018-05-01 Policy för hantering av personuppgifter
Läs merPersonuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal mellan (nedan kallad Personuppgiftsansvarig eller Kund) och UniCarriers Europe AB, org.nr 556083-6461, 435 82 Mölnlycke (nedan kallad Personuppgiftsbiträde eller Leverantör)
Läs merBilaga b, (Användaravtal Nyps) Personuppgiftsbiträdesavtal
Datum 2017-12-12 Upprättad av Magnus Lövgren Version 1.0 Diarienr/Projektnr Ä 2017-1470 Godkänd av Bilaga b, (Användaravtal Nyps) Personuppgiftsbiträdesavtal I detta personuppgiftsbiträdesavtal ( Biträdesavtalet
Läs merJuridik och informationssäkerhet
2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga
Läs merSödertörns brandförsvarsförbund
Södertörns brandförsvarsförbund PERSONUPPGIFTSBITRÄDESAVTAL/Underbiträdesavtal Detta personuppgiftsbiträdesavtal och dess bilagor ( Biträdesavtalet ), har ingåtts mellan (1) Namn, org. nr., med adress,
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
Bilaga 8 Personuppgiftsbiträdesavtal Polismyndigheten Datum: 2016-12-22 Dnr: A293.290/2016 PERSONUPPGIFTSBITRÄDESAVTAL 1 PARTER Personuppgiftsansvarig: Polismyndigheten, org. nr. 202100-0076, Box 12256,
Läs merStyrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med
Styrande dokument för dataskydd Fastställd av Kommunstyrelsen Senast reviderad av 2018-05-17 Gäller från och med 2018-05-25 Innehållsförteckning 1 Inledning 3 2 Omfattning 3 3 Bakgrund 3 4 Personuppgiftsansvar
Läs merPersonuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal Detta Personuppgiftsbiträdesavtal ( Personuppgiftsbiträdesavtalet ) mellan: 1. Yelles AB / Inleed, org.nr. 556931-6788 ( Inleed ); och 2. Kunder som använder våra tjänster (
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL TOB, Telia Sverige T3508-18, Rev 1.1 Innehåll 1 Parter... 2 2 Bakgrund... 2 3 Definitioner... 2 4 PuA:s åtaganden... 3 5 PuB:s åtaganden... 3 6 Underbiträden... 5 7 Ytterligare
Läs merPolicy för behandling av personuppgifter
Policy för behandling av personuppgifter Rättslig grund Dokumentägare Antagen datum Upprättad av Antagen av VD 2018-05-28 [Legal] Styrelsen Dokumenttyp Publiceras Ersätter Version Policy Intranätet 1.0
Läs merModellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)
Personuppgiftsbiträdesavtal enligt 30-31 Personuppgiftslagen (1998:204) Modellavtal 2, riktar sig till vårdgivare som ansluts indirekt via annan direktansluten vårdgivare till nationell IT-tjänst där Inera
Läs merTillsyn enligt personuppgiftslagen (1998:204) Uppföljning av beslut i ärende 263-2011
Datum Diarienr 2013-05-31 1351-2012 Kommunstyrelsen i Salems kommun 144 80 Rönninge Tillsyn enligt personuppgiftslagen (1998:204) Uppföljning av beslut i ärende 263-2011 Datainspektionens beslut Datainspektionen
Läs merDe nya EU-reglernas krav på molnsäkerhet
De nya EU-reglernas krav på molnsäkerhet och en del annat Cloud confessions, 20 oktober 2016 David Frydlinger, Advokatfirman Lindahl Agenda 1. Allmänt om Dataskyddsförordningen 2. EU-stadgans skydd mot
Läs merPersonuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)
Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt 30-31 Personuppgiftslagen (1998:204) Modellavtal 1 riktar sig till de vårdgivare som avser att direkt
Läs merPersonuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal Detta Personuppgiftsbiträdesavtal ( Personuppgiftsbiträdesavtalet ) gäller mellan EgenSajt Sverige AB, org.nr. 556878-7773 ( EgenSajt ) och Kunder som valt att ingå detta Personuppgiftsbiträdesavtal
Läs merTillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molntjänsten Google Apps For Education
Datum Diarienr 2014-06-10 358-2014 Grundskolenämnden i Malmö Stad Stadshuset August Palms plats 1 205 80 Malmö Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molntjänsten
Läs merPersonuppgiftsinformation för Svedala kommun
Personuppgiftsinformation för Svedala kommun Den nya dataskyddsförordningen, General Data Protection Regulation (GDPR), började tillämpas den 25 maj 2018 och ersatte den tidigare personuppgiftslagen. Dataskyddsförordningen
Läs merPERSONUPPGIFTS- BITRÄDESAVTAL
TIO PUNKTER ATT TÄNKA PÅ NÄR DU SKRIVER PERSONUPPGIFTS- BITRÄDESAVTAL n Den 25 maj 2018 började dataskyddsförordningen att gälla i alla EU:s medlemsländer. Dataskyddsförordningen kallas även för GDPR,
Läs merBilaga - Personuppgiftsbiträdesavtal
Bilaga - Personuppgiftsbiträdesavtal Detta avtal reglerar förhållandet mellan personuppgiftsansvarig, Kunden, och Personuppgiftsbiträdet, Ecuni AB. Med Personuppgiftsbiträdet avses Ecuni AB för de av Kunden
Läs merVIPRE Security/j2 Global Sweden AB (VIPRE) Databehandlingsvillkor
BILAGA A VIPRE Security/j2 Global Sweden AB (VIPRE) Databehandlingsvillkor VIPRE och Kunden har ingått ett avtal rörande tillhandahållande av vissa VIPRE-tjänster (inklusive tillägg och ändringar från
Läs merEU:s dataskyddsförordning
EU:s dataskyddsförordning Länsstyrelsen den 8 november 2016 Elisabeth Jilderyd och Eva Maria Broberg Datainspektionen Datainspektionen Datainspektionen arbetar för att säkra den enskilda individens rätt
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL 1. BAKGRUND 1.1 Detta personuppgiftsbiträdesavtal ( Biträdesavtalet ) reglerar Personuppgiftsbiträdets (enligt definition nedan) behandling av personuppgifter för den Personuppgiftsansvariges
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL PARTER Företagets namn, organisationsnummer (nedan kallad Personuppgiftsansvarig) och IDHA (Intelligent Drivers Hour Analyzer Sweden AB (idha), 556380 2833, (nedan kallad Personuppgiftsbiträde)
Läs merUnion to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)
Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR) 2 Union to Unions policy om dataskyddsförordningen, General Data protection Regulation (GDPR) Innehåll 1. Inledning...
Läs merGDPR OCH OUTSOURCING - VEM BÄR ANSVARET?
GDPR OCH OUTSOURCING - VEM BÄR ANSVARET? GDPR och outsourcing vem bär ansvaret? Vi har under de senaste åren kunnat följa en utveckling där allt fler företag och myndigheter väljer att lägga ut delar av
Läs merAvtalsform Ramavtal & enstaka köp Namn Molntjänster
Melleruds Kommun Avtalsform Ramavtal & enstaka köp Namn Molntjänster Diarie UH-2013-16 Ansvarig upphandlare Björn Lindquist Detta dokument är en kopia på upphandlingens elektroniska skallkravsformulär.
Läs merBilaga Personuppgiftsbiträdesavtal UPP 2016/235. Innehållsförteckning
Bilaga Personuppgiftsbiträdesavtal 2016-12-21 UPP 2016/235 Innehållsförteckning 1 Avtalets syfte... 2 2 Parter... 3 3 Definitioner... 3 4 Allmänt om Avtalet... 5 5 Personuppgiftsbiträdets skyldigheter...
Läs merInformationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs
Informationssäkerhet Medicinteknisk säkerhetskurs 2018-03-14, Sanja Hebib Informationssäkerhet Information är en tillgång som, liksom andra viktiga tillgångar, har ett värde och som måste skyddas. Informationssäkerhet
Läs mer2. Personuppgiftsbiträdesavtal mellan Vallentuna kommun och Microsoft
VALLENTUNA KOMMUN TJÄNSTESKRIVELSE KOMMUNLEDNINGSKONTORET 2015-03-10 DNR KS 2014.524 STEFAN NYBERG SID 1/2 IT-CHEF 0858785118000 KARIN.KILERUD@VALLENTUNA.SE KOMMUNSTYRELSEN Tjänsteskrivelse Personuppgiftsbiträdesavtal
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
1 Microsoft AB ( Microsoft ), Box 27, 164 93 KISTA och ( Personuppgiftsbiträdet ) har denna dag träffat följande PERSONUPPGIFTSBITRÄDESAVTAL Bakgrund Personuppgiftslagen ställer krav på skriftligt avtal
Läs merPolicy och riktlinje för hantering av personuppgifter i Trosa kommun
Policy och riktlinje för hantering av personuppgifter i Trosa kommun Antagen av: Kommunfullmäktige 2018-04-25, 36, dnr KS 2018/65 Dokumentkategori: Styrdokument Dokumenttyp: Policy Kommunstyrelsen Policy
Läs merRIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)
1. BAKGRUND RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS) Rätten till skydd av personuppgifter och den personliga integriteten tillkommer alla fysiska personer.
Läs merAllmänna AVTAL villkor Kundnamn Orgnummer
Allmänna AVTAL villkor Kundnamn Orgnummer Version: Allmänna Villkor 2019-06-01 Allmänna villkor Detta allmänna villkor reglerar tjänster inom abonnemanget levererat till Kund av Midpoint AB, org. nr 556715-1641,
Läs merStyrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad
Styrande dokument Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad 2BDetta dokument gäller för Göteborgs Stads samtliga nämnder samt styrelser i sådana organisationer där Göteborgs
Läs merRiktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund
Syfte Riktlinjen har som syfte att göra policyn för behandling av personuppgifter konkret den ger vägledning i hur hantering av personuppgifter skall ske inom Sydnärkes kommunalförbund. Riktlinjen är antagen
Läs merBILAGA Personuppgiftsbiträdesavtal
BILAGA Personuppgiftsbiträdesavtal Till mellan Beställaren och Leverantören (nedan kallad Personuppgiftsbiträdet) ingånget Avtal om IT-produkter och IT-tjänster bifogas härmed följande Bilaga Personuppgiftsbiträdesavtal.
Läs mervid Geritrim vård- och rehabiliteringsenhet
2018-05-25 GDPR dataskydd vid Geritrim vård- och rehabiliteringsenhet (för personal, kunder och samarbetspartners) Tony Westerlund DATASKYDDSOMBUD Geritrim beredskap för GDPR Från och med 25.5.2018 börjar
Läs merVillkor för kommunens användning av GeoVy och behandling av personuppgifter för Lantmäteriets räkning
Villkor för kommunens användning av GeoVy och behandling av personuppgifter för Lantmäteriets räkning Antagna av Lantmäteriet februari 2017. Dnr 106-2017/687 1. BAKGRUND 1.1 Ansvaret för fastighetsbildningsverksamheten
Läs merSamarbetsavtal behandling av personuppgifter 1. Bakgrund och syfte 2. Samarbetsavtalets giltighetstid
Samarbetsavtal behandling av personuppgifter Följande parter: 1) Svenska Båtunionen (802002-3431), nedan kallad SBU, 2) till SBU anslutna Båtförbund, nedan kallade Båtförbunden och 3) till dessa anslutna
Läs merPOLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB
POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB 1. BAKGRUND Rätten till skydd av personuppgifter och den personliga integriteten tillkommer alla fysiska personer. Dessa rättigheter skyddas
Läs merAllmänna villkor Version: Allmänna Villkor
Allmänna villkor Version: Allmänna Villkor 2018-05-25 Allmänna villkor Detta allmänna villkor reglerar tjänster inom abonnemanget levererat till Kund av, org. nr 556715-1641, nedan kallad Midpoint. Följande
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
1 (7) Huddinge kommun, 141 85 Huddinge och ( Personuppgiftsbiträdet = Leverantörens namn) har denna dag träffat följande PERSONUPPGIFTSBITRÄDESAVTAL Personuppgiftslagen (1998:204) ställer krav på skriftligt
Läs merPersonuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal mellan Jetas Quality System AB, org.nr -xxxx (nedan kallad Personuppgiftsbiträde eller Jetas ) och org.nr xxxxxx-xxxx (nedan kallad Personuppgiftsansvarig eller Kund ) Personuppgiftsbiträdet
Läs merTillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter
Datum Diarienr 2013-05-08 646-2012 Socialnämnden i Halmstad kommun Box 230 301 06 Halmstad Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens
Läs merVALLENTUNA KOMMUN Sammanträdesprotokoll 6 (16)
VALLENTUNA KOMMUN Sammanträdesprotokoll 6 (16) Utbildningsnämndens arbetsutskott 2015-04-09 14 Personuppgiftsbiträdesavtal mellan Vallentuna kommun och Microsoft avseende Office 365 (UN 2015.034) Beslut
Läs merPersonuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal 1. Parter 1. Du ( Kunden ) som användare av tjänsten, nedan benämnd Personuppgiftsansvarige ; och 2. Rule Communication Nordic AB, org. Nr 556740-1293, med adress Kammakargatan
Läs merTjänsteskrivelse Personuppgiftsbiträdesavtal mellan Vallentuna kommun och Microsoft avseende Office 365
VALLENTUNA KOMMUN TJÄNSTESKRIVELSE KOMMUNLEDNINGSKONTORET 2015-03-23 DNR BUN 2015.141 MARTIN FROM SID 1/2 REGISTRATOR/NÄMNDSEKRETERARE MARTIN.FROM@VALLENTUNA.SE BARN- OCH UNGDOMSNÄMNDEN Tjänsteskrivelse
Läs merDetta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande
Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal[ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande [**], reg. no. [**],med addressen [**] (i det följande Leverantören samt
Läs merPersonuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018
Dokument: för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018 INNEHÅLL 1 Definitioner 3 2 Tillämpningsområde för personuppgiftspolicyn 4 3 Oasen som ansvarig för dina personuppgifter
Läs merBOSTADSRÄTTSFÖRENINGEN MAGNETENS PERSONUPPGIFTSPOLICY
BOSTADSRÄTTSFÖRENINGEN MAGNETENS PERSONUPPGIFTSPOLICY Din integritet är viktig för oss i styrelsen för Bostadsrättsföreningen Magneten och vi ansvarar för den personliga information som du förser oss med.
Läs merBilaga Personuppgiftsbiträdesavtal Innehållsförteckning
Bilaga Personuppgiftsbiträdesavtal Datum. [Diarienummer] Innehållsförteckning 1 Avtalets syfte... 2 2 Parter... 3 3 Definitioner... 3 4 Allmänt om Avtalet... 5 5 Personuppgiftsbiträdets skyldigheter...
Läs merNovare Public - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:
Novare Public - Integritetspolicy Datum för ikraftträdande: 2018-05-25 Senast uppdaterad: 2018-05-11 1 INLEDNING Denna policy beskriver hur Novare Public HR AB (fortsättningsvis Novare eller vi ), som
Läs merHandlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning
1(9) Antagen Dnr 2017/1035 av styrgruppen: 2017-10-19 Reviderad: 2017-12-14 Susanne Svanholm Jurist Juridikavdelningen susanne.svanholm@uadm.uu.se Styrgruppen vid Uppsala universitet för anpassning inför
Läs mer