Datum: Version: Författare: Christina Danielsson Senast ändrad:
|
|
- Jonathan Hedlund
- för 9 år sedan
- Visningar:
Transkript
1 I N T E R N T Säkerhetskrav på extern part För enskild individs direktåtkomst till Datum: Version: Författare: Christina Danielsson Senast ändrad: Dokumentnamn: Säkerhetskrav på extern part för privatpersoners direktåtkomst till Apotekens Service register v.1.0 webbpublicering Fastställd av: 1/7
2 Innehåll 1 Inledning Definitioner 3 2 Allmän information 3 3 Generella säkerhetskrav 3 4 Specifika säkerhetskrav för privatpersoners direktåtkomst Krav på autentisering och sessionshantering Krav på identitetshantering Krav på behörighetshantering Krav på sekretess Krav på spårbarhet 7 Fastställd av: Stefan Larsson 2/7
3 1 Inledning Detta dokument beskriver Apotekens Service AB:s säkerhetskrav på aktörer som ansluter sig till Apotekens Service AB:s IT-tjänster och förmedlar privatpersoners direktåtkomst till egna uppgifter hos Apotekens Service AB. 1.1 Definitioner I detta dokument används följande beteckningar med nedan angiven betydelse. Beteckning Aktör Direktåtkomst Klient Personuppgifter Slutanvändare Betydelse En extern part som Apotekens Service AB använder som kanal för att ge enskilda individer direktåtkomst till sina egna uppgifter i Apotekens Services AB:s register. Direktåtkomst till data i via tjänstegränssnittet. I detta dokument avses enbart enskilda individers direktåtkomst till egna uppgifter i dessa register. Det system som slutanvändaren använder och interagerar med, t.ex. en webbläsare eller mobil app. All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Den enskilde individ som ansluter till aktören för att få direktåtkomst till egna uppgifter hos Apotekens Service AB. 2 Allmän information Apotekens Service har för avsikt att anpassa sin säkerhetsarkitektur och därmed åtkomst till erbjudna tjänster i enlighet med de krav och regler som E-legitimationsnämnden specificerar inom ramen för Infrastrukturen för Svensk e-legitimation samt motsvarande krav och regler inom Sambifederationen. 3 Generella säkerhetskrav Krav S1: Den aktör som fungerar som Apotekens Services kanal för individens direktåtkomst till hans/hennes personuppgifter hos Apotekens Service AB skall förutom kraven i detta dokument även leva upp till de generella säkerhetskraven som beskrivs i Säkerhetskrav på extern part som ansluter till Apotekens Service IT-tjänster. Krav S2: Den aktör som förmedlar individers direktåtkomst till dennes personuppgifter hos Apotekens Service AB agerar därvid som personuppgiftsbiträde till Apotekens Service AB. Det Fastställd av: Stefan Larsson 3/7
4 innebär bl a att aktören enligt 30 i personuppgiftslagen (1998:204) bara får behandla personuppgifterna i enlighet med instruktionerna från Apotekens Service AB. Krav S3: Den aktör som fungerar som Apotekens Services kanal för individens direktåtkomst till hans/hennes personuppgifter hos Apotekens Service AB får endast göra detta förutsatt att alla säkerhetskrav som beskrivs i detta dokument uppfylls. Krav S4: Aktörens system ska hålla god säkerhet och vara utvecklade för att åtminstone hantera vanliga hot som är relevanta för applikationen, OWASP Top 10 för webbapplikationer och OWASP Top 10 Mobile Risks för mobila applikationer. Motiv/kommentar: En tillräcklig nivå av säkerhet i applikationerna är nödvändig för att de inte ska kunna missbrukas för obehörig åtkomst av information hos Apotekens Service AB. 4 Specifika säkerhetskrav för privatpersoners direktåtkomst 4.1 Krav på autentisering och sessionshantering Krav S5: Slutanvändares identitet måste fastställas i enlighet med de krav som gäller i e- legitimationsnämndens tillitsramverk på tjänstens fastställda tillitsnivå. Autentiseringsuppgifter får inte skickas i klartext utan måste förmedlas över en krypterad förbindelse. Motiv/kommentar: Personuppgifterna som behandlas av Apotekens Service AB är i huvudsak känsliga personuppgifter enligt 13 i personuppgiftslagen (1998:204) och Apotekens Service AB gör bedömningen att tjänsterna som exponeras idag därför ska kräva tillitsnivå 3 (elegitimationsnämndens tillitsramverk) för identitetsuppgifterna. Detta innebär att s.k. stark autentisering måste användas. Krav S6: Slutanvändarens identitet får inte lagras för automatisk inloggning, vare sig det rör sig om en webbapplikation eller mobil app. Det ska alltid krävas fullständig autentisering som uppfyller krav S5 för åtkomst till slutanvändarens uppgifter hos Apotekens Service AB. Motiv/kommentar: Det måste finnas åtgärder som säkerställer att enbart innehav av den mobila enheten inte i praktiken blir det enda som beh vs f r att kunna ta del uppgifterna. Krav S7: Slutanvändarens autentiserade session ska upphöra att gälla efter maximalt 20 minuters inaktivitet i systemet, varefter en fullständig autentisering måste göras för förnyad åtkomst. För mobila enheter bör denna tid vara begränsad till enbart 10 minuters inaktivitet. Motiv/kommentar: Risken att en obehörig person kommer över och kan utnyttja en autentiserad session måste minimeras, därför är det oacceptabelt att en autentisering gäller en längre tid efter att slutanvändaren aktivt använder tjänsten. Detta är speciellt viktigt för mobila enheter som löper en högre risk att hamna i fel händer. Krav S8: Aktörens system ska uppmana slutanvändaren att alltid logga ut efter färdigt bruk av systemet, och efter utförd utloggning ska systemet uppmana användaren att stänga alla webbläsarfönster om det rör sig om en webbapplikation. Fastställd av: Stefan Larsson 4/7
5 Motiv/kommentar: För att minimera risken med obehörig åtkomst till känsliga personuppgifter bör en inloggad session avslutas så fort den inte länge är nödvändig. Dessutom bör webbläsaren stängas för att minimera risken att temporärt sparade personuppgifter eller autentiseringsdata görs tillgängliga för obehöriga som använder samma enhet. Krav S9: Vid utloggning ska den autentiserade sessionen tas bort eller göras ogiltig även på serversidan hos aktören och inte enbart i slutanvändarens klient. Motiv/kommentar: Om en utloggning enbart resulterar i att t.ex. en autentiseringscookie på klienten tas bort skulle det fortfarande vara möjligt för en obehörig som kommit över autentiseringscookien att fortsätta utnyttja sessionen även efter att den legitima slutanvändaren loggat ut. Krav S10: Den sessionshantering som används för att identifiera en autentiserad användare ska åtminstone implementera skydd mot följande typer av angrepp för obehörig åtkomst till ett giltigt sessions-id/token: Gissning av giltigt sessions-id/token Obehörig åtkomst av sessions-id/token under transport på nätverk Obehörig åtkomst av sessions-id/token i klienten Den sessionshantering som används för att identifiera en autentiserad användare bör även begränsa möjligheten till obehörig användning av ett sessions-id/token genom att låsa det till den IPadress som användes av klienten vid den autentisering som låg till grund för sessionen. Motiv/kommentar: Sessionshanteringen ansvarar ofta för att identifiera användaren vid upprepade anrop till aktörens systems för att slutanvändaren inte ska behöva göra en ny inloggning vid varje anrop. Därför är det viktigt att detta görs på ett säkert sätt och inte riskerar att bli en svag länk i säkerställandet av slutanvändarens identitet. Det är alltså av största vikt att förhindra att någon obehörig kan gissa sig till ett giltigt token eller fånga upp det under transport eller i klienten. Dessa krav kan t.ex. realiseras genom att använda en säker slumpmässig generering och längd på sessions-id så att det är osannolikt att någon obehörig kan gissa sig till ett giltigt värde, att enbart skicka en sessions-cookie över SSL/TLS och kräva detta av klienten genom att sätta flaggan secure och att f rbjuda åtkomst till sessions-cookien i klienten via script genom att sätta flaggan httponly. 4.2 Krav på identitetshantering Krav S11: Vid anrop mot för en privatpersons räkning måste slutanvändarens personnummer användas som sökbegrepp för hämtning av information. Motiv/kommentar: För att säkerställa att individers direktåtkomst till sina uppgifter hos Apotekens Service AB enbart innebär utlämnade av uppgifter om den autentiserade personen, och därmed är förenligt med 11 tredje stycket i lagen (1996:1156) om receptregister och 7 i lagen (2005:258) om läkemedelsförteckning, får det inte finnas någon risk för en sammanblandning med andra personers uppgifter. Därför måste en entydig identifierare som personnummer användas istället för namnsökningar. Krav S12: Vid anrop mot för en privatpersons räkning, som görs via en aktörs identitet istället för slutanvändarens identitet, måste aktören säkerställa att rätt identitet Fastställd av: Stefan Larsson 5/7
6 förmedlas till Apotekens Service AB så att det inte föreligger någon risk att slutanvändaren får information som tillhör någon annan person. Apotekens Service AB har rätt att begära nödvändig information om hur detta säkerställs hos aktören för att kunna verifiera lösningens lämplighet. Motiv/kommentar: Se motiv till S10 samt 31 i personuppgiftslagen (1998:204). 4.3 Krav på behörighetshantering Krav S13: Vid anrop mot för en privatpersons räkning, som görs via en aktörs identitet istället för slutanvändarens identitet, måste aktören säkerställa att enbart anrop görs som privatpersoner är behöriga till i Apotekens Service AB:s IT-tjänster enligt Roller beh riga att använda Apotekens Service tjänster. Motiv/kommentar: Det får inte föreligga någon risk att privatpersoner kommer åt mer information än vad som tillåts av 11 tredje stycket i lagen (1996:1156) om receptregister och 7 i lagen (2005:258) om läkemedelsförteckning. 4.4 Krav på sekretess Krav S14: Information som förmedlas från till slutanvändaren får inte överföras över en okrypterad förbindelse, all information ska förmedlas i en krypterad kommunikationskanal. För asymmetriska nycklar rekommenderas en nyckellängd på minst 2048 bitar och för symmetrisk kryptering gäller en nyckellängd på minst 128 bitar. Motiv/kommentar: Känsliga personuppgifter får aldrig förmedlas i klartext över ett öppet nätverk, lämpliga åtgärder måste vidtas för att skydda dessa mot obehörig insyn, se 31 i personuppgiftslagen (1998:204). Krav S15: Information som förmedlas från till slutanvändaren får inte lagras i något beständigt minne i dennes enhet utan endast hållas i volatilt minne så länge det används. Motiv/kommentar: Det får inte finnas någon risk att känsliga personuppgifter blir tillgängliga för någon obehörig person som kommer över slutanvändarens enhet vari uppgifterna behandlats. Detta medför t.ex. att en webbserver bör ge direktiv som förbjuder cachning i klienten samt att mobila appar inte får spara någon information lokalt. Krav S16: Information som förmedlas från till slutanvändaren får inte förmedlas i klartext inom aktörens nätverk eller lagras okrypterat på något beständigt minne hos aktören. Motiv/kommentar: Det får inte finnas någon risk att känsliga personuppgifter blir tillgängliga för någon obehörig person hos aktören, vare sig det gäller under transport på dess nätverk eller lagring på beständigt media (t.ex. i loggar, cache-servrar eller liknande). Fastställd av: Stefan Larsson 6/7
7 4.5 Krav på spårbarhet Krav S17: Vid anrop mot för en privatpersons räkning, som görs via en aktörs identitet istället för slutanvändarens identitet, måste aktören logga information om aktiviteten ur spårbarhetssynpunkt på ett sådant sätt att det är möjligt att avgöra om åtkomsten varit obehörig eller ej. Det måste alltså framgå vem den autentiserade slutanvändaren är samt vilken identitet som anropet till Apotekens Service AB:s system gällde, samt i vilket sammanhang det gjordes. Känsliga personuppgifter får dock inte lagras i dessa loggar. Motiv/kommentar: Apotekens Service AB har enligt 23 i lagen (1996:1156) om receptregister och 12 b i lagen (2005:258) om läkemedelsförteckning skyldighet att logga och kontrollera om någon obehörigen kommer åt uppgifter som omfattas av dessa lagar. Fastställd av: Stefan Larsson 7/7
Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter
Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens
Läs merApotekens Service. federationsmodell
Apotekens Service Federationsmodell Detta dokument beskriver hur Apotekens Service samverkar inom identitetsfederationer Datum: 2011-12-12 Version: Författare: Stefan Larsson Senast ändrad: Dokumentnamn:
Läs merTillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister
Datum Diarienr 2014-03-31 1293-2013 Kristdemokraterna Box 2373 103 18 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datainspektionens
Läs merTillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter
Datum Diarienr 2013-05-08 643-2012 Socialnämnden Järfälla kommun 177 80 Järfälla Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens
Läs merInstruktion för integration mot CAS
IT-enheten Instruktion för integration mot CAS Per Hörnblad Instruktion 2010-10-29 Sid 1 (7) Instruktion för integration mot CAS Projektnamn Instruktioner för Integration mot CAS Fastställt av Per Hörnblad
Läs merVad är en personuppgift och vad är en behandling av personuppgifter?
MBe 2018-05-23 Integritetspolicy Gäller från och med den 25 maj 2018 Inledning Svensk Scenkonst och Svensk Scenkonst Servicebolag AB (nedan kallad Svensk Scenkonst) värnar om den personliga integriteten
Läs mer1. Bakgrund. 2. Parter. 3. Definitioner
Personuppgiftsbiträdesavtal samt fullmakt för såväl direktansluten vårdgivare som Inera AB att teckna personuppgiftsbiträdesavtal enligt 30-31 Personuppgiftslagen (1998:204) Modellavtal 2 riktar sig till
Läs merUppsala studentkårs dataskyddspolicy
Uppsala studentkårs dataskyddspolicy 1 Bakgrund och syfte Ett medlemskap i Uppsala studentkår innebär ett medlemskap i Sveriges äldsta studentkår. Kåren arbetar för att studenter vid Uppsala universitet
Läs merBeslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL
Beslut Dnr 2008-09- 09 810-2008 Utbildningsnämnden i Skövde kommun 541 83 SKÖVDE Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att
Läs merStockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se
S Stockholm Skolwebb Information kring säkerhet och e-legitimation för Stockholm Skolwebb Innehållsförteckning Säkerhet i Stockholm Skolwebb... 3 Roller i Stockholm Skolwebb... 3 Hur definieras rollerna
Läs merSå här behandlar vi dina personuppgifter
Så här behandlar vi dina personuppgifter Din integritet är viktig för oss! Inom Lida Timber AB samlar vi in och använder personuppgifter ifrån de personer som interagerar med oss som kund/leverantör samt
Läs merBilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)
Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst
Läs merRiktlinjer för informationssäkerhet
UFV 2014/389 Riktlinjer för informationssäkerhet Säkrare elektronisk kommunikation - Tvåfaktorautentisering - Kryptering av e-post - Elektronisk signering av dokument Fastställd av: Säkerhetschef 2014-
Läs merBilaga 3c Informationssäkerhet
SID 1 (5) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av IT-stöd för barn- och elevregister inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress Hantverkargatan 2
Läs merOWASP Topp 10 2013. De 10 allvarligaste riskerna i webbapplikationer. 2013-10-03 OWASP East Sweden: Uppstartsmöte
OWASP Topp 10 2013 De 10 allvarligaste riskerna i webbapplikationer 2013-10-03 OWASP East Sweden: Uppstartsmöte Vad är OWASP Topp 10? Är ett av OWASP mest populära projekt Är inte en standard Fokuserad
Läs merTillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter
Datum Diarienr 2013-05-08 646-2012 Socialnämnden i Halmstad kommun Box 230 301 06 Halmstad Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens
Läs merFedererad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation.
Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation. Datum: 2011-02-28 Version: Författare: Christina Danielsson Senast ändrad: Dokumentnamn:
Läs merIntegritetspolicy och samtycke
Integritetspolicy och samtycke enligt personuppgiftslagen (PuL) avseende E-medborgarkonto V.1.0 1(5) VI BRYR OSS OM DIN PERSONLIGA INTEGRITET OCH SÄKERHET Svensk e-identitet anstränger sig hårt för att
Läs merBeslut efter tillsyn enligt personuppgiftslagen (1998:204)
Datum Dnr 2008-06-23 473-2008 Stadsdelsnämnden Södra Innerstaden, Malmö stad Box 7070 200 42 Malmö samt via e-post och fax sodrainnerstaden@malmo.se 040-346460 Beslut efter tillsyn enligt personuppgiftslagen
Läs merGuide för säker behörighetshantering
2018-06-18 1 (5) GUIDE FÖR SÄKER BEHÖRIGHETSHANTERING Digitaliseringsenheten Guide för säker behörighetshantering Innehåll Om guiden... 1 Om behörigheter... 2 Gör en informationsklassning först... 2 Visa
Läs merSå här behandlar vi dina personuppgifter
Så här behandlar vi dina personuppgifter Din integritet är viktig för oss! Inom Fuktspärrteknik i Sverige AB (nedan kallat FST) samlar vi in och använder personuppgifter ifrån de personer som interagerar
Läs merSäkerhet vid behandling av personuppgifter i forskning
Säkerhet vid behandling av personuppgifter i forskning Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se Först några ord om informationssäkerhet Organisationens
Läs merModul 6 Webbsäkerhet
Modul 6 Webbsäkerhet Serverskript & Säkerhet Webbservrar & serverskript exponerar möjlighet för fjärranvändare att skicka data och köra kod vilket medför risker. Man ska aldrig lita på att alla vill göra
Läs merTillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.
16-11007-4 BESLUT Datum Vår referens Sida 2017-10-06 Dnr: 16-11007 1(6) Nätsäkerhetsavdelningen Mikael Ejner 08-678 57 21 mikael.ejner@pts.se Telenor Sverige AB Stefan Wahlstedt Endast via e-post Tillsyn
Läs merPolicy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson
Policy för tekniska och organisatoriska åtgärder för 14 juni 2018 Peter Dickson Sida 2 av 6 Innehåll Inledning... 3 Organisation... 3 Allmänt om det tekniska säkerhetsarbetet... 4 Kontinuitetsplanering...
Läs merPersonuppgiftspolicy. Dokument: Personuppgiftspolicy för Åda Ab Version: 1.0 Fastställd av Åda Ab:s styrelse Version datum:
Personuppgiftspolicy Dokument: Personuppgiftspolicy för Åda Ab Version: 1.0 Fastställd av Åda Ab:s styrelse 31.5.2018 Version datum: 2018-05-31 Personuppgiftspolicy Version: Fel! Hittar inte referenskälla.
Läs merIdentifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor
Identifieringstjänst SITHS - Beskrivning och tjänstespecifika Innehåll 1. INLEDNING... 2 2. BAKGRUND... 2 3. REFERENSER... 2 4. TERMER OCH BEGREPP... 2 5. BESKRIVNING AV TJÄNSTEN... 3 5.1 Övergripande
Läs mer1. Vad är en personuppgift och vad är en behandling av personuppgifter?
Innehåll Integritetspolicy... 2 1. Vad är en personuppgift och vad är en behandling av personuppgifter?... 2 2. Vem är ansvarig för de personuppgifter vi samlar in?... 2 3. Vilka personuppgifter samlar
Läs merInte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.
1 Jobbet har slutat vara något vi går till och det är numera något vi gör. Våra kollegor är vana att använda ny teknik hemma, de vill nu göra det på jobbet. Helst vill de dessutom jobba från sina enheter
Läs merBilaga Personuppgiftsbiträdesavtal
Bilaga Personuppgiftsbiträdesavtal Diarienummer: 2016-066 1. Personuppgiftsavtalsparter Personuppgiftsansvarig Personuppgiftsbiträde Huddinge kommun Social- och äldreomsorgsförvaltningen 141 85 Huddinge
Läs merVad säger lagen om cookies och andra frågor och svar
Vad säger lagen om cookies och andra frågor och svar Vad är en cookie? En cookie är en liten textfil som webbplatsen du besöker begär att spara på din dator. Cookies används på många webbplatser för att
Läs merSkolorna visar brister i att hantera personuppgifter
Skolorna visar brister i att hantera personuppgifter www.datainspektionen.se Checklista för skolor Personuppgiftslagen (PuL) innehåller en rad bestämmelser som är viktiga att känna till för skolor som
Läs merPosthantering och annan överföring av sekretessbelagd och integritetskänslig information
Koncernkontoret Enheten för informationssäkerhet informationssakerhet@skane.se Datum: 2012-11-05 Dnr: Dokumentförvaltare: Enheten för informationssäkerhet Koncernkontoret Dokumentets status: Beslutat Dokumentid:
Läs merBeslut efter tillsyn enligt personuppgiftslagen (1998:204)
Beslut Dnr 2008-02-25 1161-2007 Apoteket AB 118 81Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionen konstaterar följande. Apoteket AB (Apoteket) saknar rutiner för systematiska
Läs merBILAGA 3 Tillitsramverk Version: 1.2
BILAGA 3 Tillitsramverk Version: 1.2 Innehåll Revisionshistorik... 1 Allmänt... 2 A. Organisation och styrning... 2 Övergripande krav på verksamheten... 2 Villkor för användning av Leverantörer... 3 Handlingars
Läs merIntroduktion till SAML federation
Introduktion till SAML federation Varför använda SAML federation för elektronisk legitimering och underskrift Stefan Santesson Martin Lindström Integration med befintlig eid infrastruktur (Typfall) E-tjänst
Läs merKommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.
DETTA PERSONUPPGIFTSBITRÄDESAVTAL ( Personuppgiftsbiträdesavtalet ) är dag som nedan träffat mellan: (1) Lomma kommun, organisationsnummer 212000-1066 ( Kommunen ); och (2) [ ], organisationsnummer [ ]
Läs merTillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar
Datum Diarienr 2013-09-11 1613-2011 Danske Bank A/S Filial Sverige NN Box 7523 103 92 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar Datainspektionens beslut Danske
Läs merSammanfattning av riktlinjer
Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i
Läs merSvensk Artistfaktura AB, , är personuppgiftsansvarig för företagets behandling av personuppgifter.
Integritetspolicy För att kunna erbjuda dig våra tjänster behöver vi behandla dina personuppgifter. Vi på Svensk ArtistFaktura AB (SAFAB) vill att du ska känna dig trygg när du lämnar dina personuppgifter
Läs merBeslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen
Datum Diarienr 2010-10-11 1725-2009 Styrelsen för Karolinska Universitetssjukhuset Stockholms läns landsting Box 22550 104 22 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella
Läs merInformationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs
Informationssäkerhet Medicinteknisk säkerhetskurs 2018-03-14, Sanja Hebib Informationssäkerhet Information är en tillgång som, liksom andra viktiga tillgångar, har ett värde och som måste skyddas. Informationssäkerhet
Läs merModellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)
Personuppgiftsbiträdesavtal enligt 30-31 Personuppgiftslagen (1998:204) Modellavtal 2, riktar sig till vårdgivare som ansluts indirekt via annan direktansluten vårdgivare till nationell IT-tjänst där Inera
Läs merRegelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.
Regelverk Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag Bilaga D Personuppgiftsbiträdesavtal Version: 2.0 Innehållsförteckning 1 Allmänt om personuppgiftsbiträdesavtal... 1
Läs merLösenordsregelverk för Karolinska Institutet
Lösenordsregelverk för Karolinska Institutet Dnr 1-213/2015 Version 2.0 Gäller från och med 2015-05-18 Sida 2 av 7 Lösenordsregelverk för Karolinska Institutet - Sammanfattning Syfte Det övergripande syftet
Läs merRiktlinjer för dataskydd
1 Riktlinjer för dataskydd Inledning Följande riktlinje syftar till att konkretisera policyn för dataskydd samt ge vägledning och råd vid hantering av personuppgifter i X kommun. Riktlinjen, som grundar
Läs merBILAGA Personuppgiftsbiträdesavtal
BILAGA Personuppgiftsbiträdesavtal Till mellan Beställaren och Leverantören (nedan kallad Personuppgiftsbiträdet) ingånget Avtal om IT-produkter och IT-tjänster bifogas härmed följande Bilaga Personuppgiftsbiträdesavtal.
Läs merTekniskt ramverk för Svensk e- legitimation
Tekniskt ramverk för Svensk e- legitimation ELN-0600-v1.4 Version: 1.4 2015-08-14 1 (10) 1 INTRODUKTION 3 1.1 IDENTITETSFEDERATIONER FÖR SVENSK E- LEGITIMATION 3 1.2 TILLITSRAMVERK OCH SÄKERHETSNIVÅER
Läs merINTEGRITETSPOLICY för Webcap i Sverige AB
INTEGRITETSPOLICY för Webcap i Sverige AB 1. ALLMÄNT 1.1 Vi på Webcap tar din personliga integritet på stort allvar och en hög nivå av dataskydd är alltid prioriterad. Denna integritetspolicy förklarar
Läs merPersonuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)
Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt 30-31 Personuppgiftslagen (1998:204) Modellavtal 1 riktar sig till de vårdgivare som avser att direkt
Läs merTillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post
Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen
Läs merRegelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga A. Tekniska ramverk. Version: 3.0
Regelverk Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag Bilaga A Tekniska ramverk Version: 3.0 Innehållsförteckning 1 Bakgrund och syfte... 1 1.1 Definitioner 1 2 Inledning...
Läs merTillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister
Datum Diarienr 2014-03-31 1287-2013 Socialdemokraterna 105 60 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister Datainspektionens beslut
Läs merehälsomyndighetens nya säkerhetslösning
ehälsomyndighetens nya säkerhetslösning 2017-06-07 Agenda ehälsomyndighetens 2017-06-07 Tid Avsnitt Vem 09:00-09:30 Varför byter ehälsomyndigheten säkerhetslösning och varför har vi valt den lösning som
Läs merAvtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE
Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE 1. Personuppgiftsbiträdesavtalets syfte Detta Personuppgiftsbiträdesavtal syftar till att uppfylla stadgandet i 30 personuppgiftslagen (PuL)
Läs merFilleveranser till VINN och KRITA
Datum Sida 2017-04-25 1 (10) Mottagare: Uppgiftslämnare till VINN och KRITA Filleveranser till VINN och KRITA Sammanfattning I detta dokument beskrivs översiktligt Vinn/Kritas lösning för filleveranser
Läs merBilaga 3 Personuppgiftsbiträdesavtal
Bilaga 3 Personuppgiftsbiträdesavtal Detta personuppgiftsbiträdesavtal ( Biträdesavtalet ) har ingåtts av Parterna för att garantera en säker, korrekt och laglig behandling av personuppgifter i samband
Läs merSäfflehälsan AB Att: Maud Sinclair Sundsgatan 1 B Säffle. 2. Vi skriver under avtalen. 3. Ni får er kopia återsänd.
Tillvägagångssätt: 1. Sänd oss två undertecknade avtal med alla era företagsuppgifter ifyllda. Skicka de två undertecknade avtalen via post till oss på adressen: Att: Maud Sinclair Sundsgatan 1 B 661 40
Läs merPersonuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal 1. Parter Personuppgiftsansvarig (PA) Namn: Organisationsnummer: Adressuppgifter: Telefonnummer: E-post: Personuppgiftsbiträde (PB) Namn: Digerati Sverige AB Organisationsnummer:
Läs merTillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister
Datum Diarienr 2014-03-31 1288-2013 Vänsterpartiet Box 12660 112 93 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datainspektionens beslut
Läs merBeslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL
Beslut Dnr 2008-09-09 685-2008 Produktionsnämnden för vård och bildning Uppsala kommun 753 75 UPPSALA Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen
Läs merSå här behandlar vi dina personuppgifter
Så här behandlar vi dina personuppgifter Din integritet är viktig för oss! Inom Dahl Sverige AB (nedan kallat Dahl) samlar vi in och använder personuppgifter ifrån de personer som interagerar med oss som
Läs merTillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post
Datum Diarienr 2011-12-12 751-2011 Landstingsstyrelsen Jämtlands läns landsting Box 602 832 23 Frösön Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post Datainspektionens
Läs merRiktlinjer för informationssäkerhet
Riktlinjer för informationssäkerhet Säkrare elektronisk kommunikation - Tvåfaktorautentisering - Kryptering och signering av e-post - Elektronisk signering av dokument Fastställda av: Säkerhetschef 2014-03-09
Läs merBilaga 3c Informationssäkerhet
SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress
Läs merSå här behandlar vi dina personuppgifter
Så här behandlar vi dina personuppgifter Din integritet är viktig för oss! Inom Bevego Byggplåt & Ventilation AB, nedan benämnt som Bevego, samlar vi in och använder personuppgifter ifrån de personer som
Läs merStark autentisering i kvalitetsregister Inloggningsinformation för användning av e-tjänstekort (SITHS)
Stark autentisering i kvalitetsregister Inloggningsinformation för användning av e-tjänstekort (SITHS) Version 1.4 Krav på säker autentisering i kvalitetsregister Enligt Socialstyrelsens föreskrifter SOSFS
Läs merStark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) Version 1.3
Stark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) Version 1.3 Krav på säker autentisering i kvalitetsregister Enligt Socialstyrelsens föreskrifter SOSFS 2008:14 2 kap. 5 skall
Läs merTillsyn enligt personuppgiftslagen (1998:204) Autentisering av användare som medges åtkomst till personuppgifter i kreditupplysningsregister
Beslut Diarienr 1 (11) 2017-03-28 1053-2014 Bisnode Kredit AB 169 93 Solna Tillsyn enligt personuppgiftslagen (1998:204) Autentisering av användare som medges åtkomst till personuppgifter i kreditupplysningsregister
Läs merAllmänna villkor för infrastrukturen Mina meddelanden
Allmänna villkor för infrastrukturen Mina meddelanden Bilaga 1 Krav på säkerhet för brevlådeoperatörer version 1.0 2 Bakgrund och syfte Enligt förordningen (2003:770) om statliga myndigheters elektroniska
Läs merMELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7
MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7 Detta avtal har dagen för undertecknanden ingåtts mellan parterna; 1) XXX ( XXX ), org. nr 123456-7890, (Personuppgiftsansvarig) och 2) [ ],
Läs merTillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post
Datum Diarienr 2011-12-12 755-2011 Socialnämnden Södertälje Kommun 151 89 Södertälje Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen
Läs mer4 Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig behandlingen.
Lag (1996:1156) om receptregister SFS nr: 1996:1156 Departement/myndighet: Socialdepartementet Utfärdad: 1996-11-28 Ändrad: t.o.m. SFS 2013:1021 Inledande bestämmelser 1 För de ändamål som anges i 6 får
Läs merAllmänna villkor för medgivande till direktåtkomst eller direktanmälan
Version 1.2 1 (6) Datum Dnr/Beteckning Allmänna villkor för medgivande till direktåtkomst eller direktanmälan 1 Syfte Villkoren avser Tillståndshavare till direktåtkomst eller direktanmälan som gör sökningar,
Läs merJuridik och informationssäkerhet
2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga
Läs merPERSONUPPGIFTSPOLICY
1. INTRODUKTION PERSONUPPGIFTSPOLICY 1.1 Den här personuppgiftspolicyn (nedan Policyn ) är till för att du ska känna dig trygg med att Svenska Fotbollförbundet (nedan SvFF ) hanterar Personuppgifter (definieras
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
1 Microsoft AB ( Microsoft ), Box 27, 164 93 KISTA och ( Personuppgiftsbiträdet ) har denna dag träffat följande PERSONUPPGIFTSBITRÄDESAVTAL Bakgrund Personuppgiftslagen ställer krav på skriftligt avtal
Läs merPERSONUPPGIFTSPOLICY
PERSONUPPGIFTSPOLICY Så här behandlar vi dina personuppgifter Din integritet är viktig för oss Inom Angered Byggvaror AB, Brukspecialisten i Väst AB, Kök & Interiör i Högsbo AB (nedan kallat bolagen) samlar
Läs merPhenixID & Inera referensarkitektur. Product Manager
PhenixID & Inera referensarkitektur Product Manager tommy.almstrom@phenixid.se PhenixID & Inera referensarkitektur PhenixID & Inera Identitetslager PhenixID & Inera Identifieringstjänst PhenixID & Inera
Läs merehälsomyndighetens nya åtkomstlösning och Sambi
ehälsomyndighetens nya åtkomstlösning och Sambi Lars Wallén 2018-03-14 1.0 Kurs 1: Introduktion Agenda för dagen Tid Avsnitt Vem 09:00 9:30 Varför byter ehälsomyndigheten säkerhetslösning? Varför har vi
Läs merM E L L A N P E R S O N U P P G I F T S A N S V A R I G O C H P E R S O N U P P G I F T S B I T R Ä D E
2013-08-28 0 (5) AVTAL M E L L A N P E R S O N U P P G I F T S A N S V A R I G O C H P E R S O N U P P G I F T S B I T R Ä D E För personuppgifter som är relaterade till Höganäs kommun FÖRVALTNING 1 (5)
Läs merBilaga 1. Preliminär juridisk rapport
Bilaga 1. Preliminär juridisk rapport Sid 1/6 1. Syfte I projektets uppdrag ingår att granska och utreda de legala aspekterna av projektet Mina intyg. Syftet med den preliminära rapporten är att initialt
Läs merSVENSK ADRESSÄNDRINGS INTEGRITETSPOLICY
1 SVENSK ADRESSÄNDRINGS INTEGRITETSPOLICY 1. INLEDNING Svensk Adressändring och våra koncernbolag ( SvAAB, vi, våra ) tar seriöst på den personliga integriteten för besökare av våra webbsidor och sociala
Läs merGuide till Inera IdP. Information angående anslutning av Nationella e-tjänster
Guide till Inera IdP Information angående anslutning av Nationella e-tjänster Nationella e-tjänster har fortsatt möjlighet att ansluta till gamla Säkerhetstjänsters Autentiseringstjänst. Detta för att
Läs merRegelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga A. Tekniska ramverk. Version: 1.0
Regelverk Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag Bilaga A Tekniska ramverk Version: 1.0 Innehållsförteckning 1 Bakgrund och syfte... 1 1.1 Definitioner 1 2 Inledning...
Läs merVictoria Behandlingscenter AB Integritetspolicy
Victoria Behandlingscenter AB Integritetspolicy Victoria Behandlingscenter AB (företaget) värnar om personlig integritet och eftersträvar alltid en hög nivå av dataskydd. Denna integritetspolicy förklarar
Läs merINTEGRITETSPOLICY ID06
INTEGRITETSPOLICY ID06 1. INLEDNING ID06 AB ( ID06 ) värnar om din personliga integritet. Denna integritetspolicy förklarar hur vi samlar in och använder dina i anslutning till ID06-systemet. Den beskriver
Läs merPersonuppgiftsbiträde
Personuppgiftsbiträdesavtal 1 PARTER Symbolbruket AB www.symbolbruket.se Detta Personuppgiftsbiträdesavtal gäller mellan Symbolbruket AB, org.nr. 559025-7316, Östra Harg Torpängen, 585 91 Linköping, info@symbolbruket.se
Läs merRutin vid kryptering av e post i Outlook
Beslutad av: Chef Säkerhet och beredskap Diarienummer: RS 255 2016 Giltighet: från 2016 03 31 [rev 18 11 01] Rutin vid kryptering av e post i Outlook Rutinen gäller för alla förvaltningar och bolag Innehållsansvar:
Läs merDatasäkerhet. Informationsteknologi sommarkurs 5p, 2004. Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.
Informationsteknologi sommarkurs 5p, 2004 Mattias Wiggberg Dept. of Information Technology Box 337 SE751 05 Uppsala +46 18471 31 76 Collaboration Jakob Carlström Datasäkerhet Slideset 10 Agenda Hot mot
Läs merPersonuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018
Dokument: för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018 INNEHÅLL 1 Definitioner 3 2 Tillämpningsområde för personuppgiftspolicyn 4 3 Oasen som ansvarig för dina personuppgifter
Läs merAMF Fastigheters integritetspolicy
i AMF Fastigheters integritetspolicy Vi på AMF Fastigheter tar seriöst på den personliga integriteten. Det innebär att vi alltid ser till att behandla dina personuppgifter ansvarsfullt och med hänsyn till
Läs merTillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post
Datum Diarienr 2011-12-12 750-2011 Landstingsstyrelsen Landstinget Blekinge 371 81 Karlskrona Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut
Läs merSå här behandlar vi dina personuppgifter
1 (7) Så här behandlar vi dina personuppgifter Din integritet är viktig för oss! Inom Saint-Gobain Sweden AB (nedan kallat SGS) samlar vi in och använder personuppgifter ifrån de personer som interagerar
Läs merBehörighetssystem. Ska kontrollera att ingen läser, skriver, ändrar och/eller på annat sätt använder data utan rätt att göra det
Behörighetssystem Ska kontrollera att ingen läser, skriver, ändrar och/eller på annat sätt använder data utan rätt att göra det Systemet måste kunna registrera vilka resurser, d v s data och databärande
Läs merLathund Personuppgiftslagen (PuL)
Lathund Personuppgiftslagen (PuL) Behandling Alla former av åtgärder där man hanterar personuppgifter oavsett om det sker via datorn eller inte. Detta kan vara till exempel insamling, registrering och
Läs merTillsyn enligt personuppgiftslagen (1998:204)
Datum Diarienr 2013-05-03 653-2012 Max Matthiessen AB Att: N N Box 5908 114 89 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar att Max Matthiessen
Läs merHantering av personuppgifter
Hantering av personuppgifter Vi på Anfang värnar om din personliga integritet och eftersträvar alltid en hög nivå av. Denna integritetspolicy förklarar hur vi samlar in och använder din personliga information.
Läs merPersonuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)
Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen) Parter: Personuppgiftsansvarig Personuppgiftsbiträde Vård- och omsorgsnämnden
Läs merEffektgruppen AB ( ) med adress Trafikgatan 52, Sundsvall/ Sverige bedriver verksamhet i huvudsak Sverige och inom EU/EES.
Dataskyddspolicy (556736 1521) med adress, 852 31 / Sverige bedriver verksamhet i huvudsak Sverige och inom EU/EES. mån din personliga integritet och i vår Dataskyddspolicy förklarar vi hur vi samlar in
Läs mer