Avtal

mellan

LexCom Informationssysteme GmbH, Rüdesheimer Str. 23, DE-80686 München

- nedan ”uppdragstagare” eller ”uppdragshanterare” -

och deras kunder

- nedan ”uppdragsgivare” –

Observera

Det här dokumentet innehåller uppdragstagarens villkor för avtalet om uppdragsbearbetning mellan uppdragsgivare och uppdragstagare enligt art. 28 avs. 3 GDPR. Uppdragsgivaren förklarar sig införstådd med dessa villkor inom ramen för att ingå ett användningsavtal om uppdragstagarens online- eller andra informationstjänster ("serviceavtalet”) eller – om det redan finns ett serviceavtal – inom ramen för en tilläggsförklaring.

1. Föremål för uppdraget och dess längd

(1) Föremål

Föremålet för uppdraget beträffande datahantering framgår av det underliggande serviceavtalet.

(2) Längd

Uppdragets längd (giltighetstiden) motsvarar det underliggande serviceavtalets giltighetstid.

2. Konkretisering av uppdragets innehåll

(1) Den planerade databehandlingens art och syfte  Uppdraget inkluderar följande bearbetningar:

  1. Behandling av personuppgifter, som anges av uppdragsgivaren i samband med användningen av respektive online- och andra informationstjänster och som måste behandlas av uppdragstagaren för att tillhandahålla produktfunktionerna.
  2. Behandling av personuppgifter för vilka uppdragstagarens åtkomst under andra aktiviteter inte kan uteslutas.
    • Å ena sidan kan det finnas tillgång till de personuppgifter som nämns under a) som en del av uppdragstagarens egna utvärderingar, särskilt analysen av produktfunktionaliteter för produktoptimering och resultat- och användningsmätning. I det här fallet är de uppgifter som påverkas av beställningen inte en del av utvärderingen och tas bort eller pseudonymiseras/anonymiseras av uppdragstagaren
    • Å andra sidan, som en del av vård- och/eller supporttjänster, kan det finnas tillgång till annan personlig information som lagras lokalt hos uppdragsgivaren.
  3. Dessutom kan uppdragstagaren behöva vidarebefordra FIN till servern hos respektive tillverkare för delförfrågan via FIN. Tillverkaren berikar FIN med viss information som krävs för del-information och vidarebefordrar den till uppdragstagaren igen. Tillverkaren behandlar också FIN för sina egna ändamål och är därmed själv ansvarig för kontrollen i betydelsen av GDPR. Uppdragsgivaren bemyndigar härmed uppdragstagaren att vidarebefordra FIN till tillverkaren för detta ändamål.

(2) Typ av uppgifter

Följande typer/kategorier av uppgifter (uppräkning/beskrivning av datakategorierna) är föremål för behandlingen av personuppgifter.

  • Fordonsidentifieringsnummer (FIN) och/eller registreringsnummer som uppdragsgivaren lagt in i onlinetjänsten
  • Slutkunddata som uppdragsgivaren har angett i onlinetjänsten, däribland framför allt:
    • Adressuppgifter i samband med delbeställningar
    • E-postadresser för att skicka bild-textsidor
  • Kunddata som slutkunden lagt in i onlinetjänsten inom ramen för registreringen samt
  • Kunddata som är lokalt lagrad hos uppdragsgivaren (inom ramen för fjärrsupport utförd av kundservice)
    • Personbaserade uppgifter
    • Kommunikationsdata (t.ex. telefon, e-post)

(3) Personkategorier som omfattas

Personkategorierna som omfattas av behandlingen:

  • Uppdragsgivarens slutkunder

(4) Uppdragstagaren förbehåller sig rätten att anonymisera eller lägga till uppgifter om uppdragsgivare så att det inte längre är möjligt att identifiera enskilda registrerade och i denna form för att utforma, utveckla och optimera samt tillhandahålla att använda den tjänst som överenskommits i huvudavtalet. Parterna är överens om att anonymiserade eller tillagda uppgifter om uppdragsgivaren enligt ovanstående bestämmelser inte längre betraktas som uppgifter om uppdragsgivaren i den mening som avses i detta avtal.

(5) Uppdragstagaren kan behandla och använda uppgifterna om uppdragsgivaren inom ramen för dataskyddslagstiftningen för sitt eget ändamål på eget ansvar, om en laglig tillståndsförordning eller ett berättigat godkännande tillåter detta. Detta avtal gäller inte för sådan databehandling.

3. Plats för behandlingen

Tillhandahållandet av den avtalade behandlingen av personuppgifter sker främst i Tyskland eller i ett EU-medlemsland eller i en annan avtalsslutande stat i det Europeiska ekonomiska samarbetsområdet. Om uppgifter även behandlas av en underleverantör i ett tredje land, görs detta endast om de särskilda kraven i art. 44 ff. GDPR uppfylls.

4. Teknisk-organisatoriska åtgärder

(1) Uppdragstagaren dokumenterar implementeringen av de nödvändiga tekniska och organisatoriska åtgärderna som presenterades innan avtalet ingicks, och som framför allt avser uppdragets konkreta genomförande. Uppdragsgivaren får tillgång till dokumentationen tillsammans med denna kontrollförklaring. Om uppdragsgivaren accepterar används de dokumenterade åtgärderna som grundval för avtalet. I annat fall ingår parterna inget serviceavtal.

(2) Uppdragstagaren upprättar säkerheten enl. art. 28 avs. 3 led c, 32 GPDR framför allt i anslutning till art. 5 avs. 1, avs. 2 GDPR. Åtgärderna som ska vidtas är totalt sett åtgärder som avser datasäkerheten och som ska säkerställa en skyddsnivå som är rimlig för risken med avseende på sekretess, integritet, tillgänglighet samt systemens belastningsförmåga. Här tar uppdragstagaren hänsyn till den tekniska utvecklingen, implementeringskostnaderna och behandlingens art, omfattning och syfte samt sannolikheten att risken inträffar och hur allvarlig den är för fysiska personers rättigheter och friheter enligt art. 32 avs. 1 GDPR [detaljer i bilaga 1].

(3) De tekniska och organisatoriska åtgärderna regleras av de tekniska framstegen och den fortsatta utvecklingen. I detta avseende har uppdragstagaren rätt att tillämpa alternativa och adekvata åtgärder. Denne underskrider då inte säkerhetsnivån för de fastlagda åtgärderna. Denne dokumenterar väsentliga ändringar.

5. Korrigering, begränsning och radering av data

(1) Uppdragstagaren korrigerar eller raderar inte egenmäktigt datan som behandlas i uppdraget, och begränsar inte heller behandlingen av den utan lov. Detta sker bara efter dokumenterat direktiv från uppdragsgivaren. Om en berörd person vänder sig direkt till uppdragstagaren angående detta så förmedlar uppdragstagaren omgående denna begäran till uppdragsgivaren.

(2) Om det ingår i tjänstens omfattning säkerställer uppdragstagaren omedelbart raderingskoncept, rätten att bli bortglömd, korrigering, uppgiftsportabilitet och information efter dokumenterat direktiv från uppdragsgivaren. Enskilda direktiv som avviker från serviceavtalet eller innebär ytterligare krav måste först godkännas av uppdragstagaren. Här ska hänsyn tas till att onlinetjänsterna, som uppdragstagaren tillhandahåller, är standardprodukter och att anpassningen till uppdragsgivarens uppgiftsskyddsrättsliga krav kan medföra höga kostnader. Efter lämplig individuell överenskommelse tillfaller dessa kostnader uppdragsgivaren i full omfattning.

6. Kvalitetssäkring och uppdragstagarens övriga åtaganden

Vid sidan av att följa reglerna för detta avtal har uppdragstagaren lagstadgade åtaganden enligt art. 28 till 33 GDPR; i det avseendet garanterar denne framför allt att följande riktlinjer följs:

  1. Skriftlig tillsättning av en uppgiftsskyddsansvarig som utövar sin verksamhet enligt art. 38 och 39 GDPR. Personens kontaktuppgifter meddelas uppdragsgivaren för möjlighet till direkt kontakt. Uppdragsgivaren informeras omgående om den uppgiftsskyddsansvarige byts ut.
  2. Sekretess enligt art. 28 avs. 3 S. 2 led b, 29, 32 avs. 4 GDPR gäller. När arbetena utförs använder sig uppdragstagaren endast av medarbetare som är förpliktade till sekretess och som först har informerats om de bestämmelser i uppgiftsskyddet som är relevanta för dem. Uppdragstagaren och varje person som är underställd uppdragstagaren och har tillgång till personuppgifter får enbart behandla dessa uppgifter enligt uppdragsgivarens direktiv, inklusive de behörigheter som ingår i detta avtal; såvida inte dessa personer enligt lag är förpliktade till behandling.
  3. Förverkligandet och uppfyllelsen av alla nödvändiga tekniska och organisatoriska åtgärder för detta avtal enligt art. 28 avs. 3 S. 2 led c, 32 GDPR [detaljer i bilaga 1].
  4. Uppdragsgivaren och uppdragstagaren arbetar vid förfrågan tillsammans med tillsynsmyndigheten när de utför sina uppgifter.
  5. Uppdragsgivaren informerar utan dröjsmål om tillsynsmyndighetens kontrollhandlingar och åtgärder, om de gäller detta uppdrag. Detta gäller även när en ansvarig myndighet genomför en utredning hos uppdragstagaren inom ramen för en förseelse eller brottmål som gäller behandlingen av personuppgifter vid uppdragshanteringen.
  6. Om uppdragstagaren, å sin sida, är utsatt för en kontroll från tillsynsmyndighetens sida, en förseelse eller ett brottmål, en berörd persons eller tredje parts skadeståndskrav eller ett annat krav i samband med uppdragshanteringen hos uppdragstagaren, så kommer uppdragstagaren att stödja denne efter bästa förmåga.
  7. Uppdragstagaren kontrollerar regelbundet de interna processerna samt de tekniska och organisatoriska åtgärderna för att säkerställa att behandlingen inom dennes ansvarsområde uppfyller kraven i den gällande uppgiftsskyddslagstiftningen och att det är säkerställt att de berörda personernas rättigheter skyddas.
  8. Påvisbarhet avseende de fastlagda tekniska och organisatoriska åtgärderna gentemot uppdragsgivaren inom ramen för dennes kontrollbefogenheter enligt paragraf 7 i detta avtal.

7. Underuppdragsförhållanden

(1) Med underuppdragsförhållanden avses enligt dessa bestämmelser sådana tjänster som har direkt samband med tillhandahållandet av huvudtjänsten. Hit hör inte extra tjänster som uppdragstagaren utnyttjar, som t.ex. telekommunikationstjänster, post-/transporttjänster, underhåll och användarservice eller kassering av datamedier samt övriga åtgärder för att säkerställa sekretessen, tillgängligheten, integriteten och belastningsförmågan hos uppgiftsbearbetningsanläggningars maskin- och programvara. Uppdragstagaren är dock skyldig att såväl fullgöra avtalsmässiga överenskommelser som vidta kontrollåtgärder som är rimliga och förenliga med lagstiftningen för att säkerställa uppgiftsskyddet och datasäkerheten för uppdragsgivarens uppgifter även när extra tjänster läggs ut externt.

(2) Uppdragsgivaren ger härmed uppdragstagaren det allmänna godkännandet för att involvera ytterligare uppdragsgivare.

Uppdragsgivaren godkänner att följande underentreprenörer engageras, under förutsättning att det finns en avtalsöverenskommelse enligt art. 28 avs. 2–4 GDPR:

Företag underentreprenör

Adress/land

Tjänst

Belenus LOB GmbH

Rüdesheimer Str. 23
DE-80686 München
TYSKLAND

Tillhandahållande av all intern och extern IT-verksamhet

LexCom (China) Co., Ltd

Suite G, 9/F Huamin Empire Plaza, 728 Yan An West Road, Changning Shanghai, 200050 CHINA

Tillhandahållande av kundsupport

LexCom Japan K.K.

Shin-Yokohama Daini Centre Bldg., 7F, 3-19-5 Shin-Yokohama, JAPAN

Tillhandahållande av kundsupport

LexCom Information Systems Ltd

Unit C3 Arena Business Centre, 9 Nimrod Way, Wimborne, BH21 7UH, UNITED KINGDOM

Tillhandahållande av kundsupport

LexCom France SARL

Espace Mama Works
51 Quai Lawton
33300 Bordeaux
FRANKRIKE

Tillhandahållande av kundsupport

OiC Imaging Comercial Ltda

Rua Kara 419, CEP 09750-300, São Bernardo do Campo, São Paulo, BRASILIEN

Tillhandahållande av kundsupport

Element1 Media GmbH

Rüdesheimer Str. 21
DE-80686 München
TYSKLAND

Behandling av kunddata som lagts in inom ramen för registreringen

Det är tillåtet att byta befintlig underentreprenör, om:

  • uppdragstagaren förvarnar uppdragsgivaren skriftligt eller i textform i rimlig tid i förväg om en sådan utläggning på underentreprenörer och
  • om uppdragsgivaren inte protesterar mot den planerade utläggningen skriftligt eller i textform hos uppdragstagaren fram till tidpunkten för datans överlämning och
  • om en avtalsöverenskommelse resp. en bindande förklaring enligt art. 28 avs. 2–4 GDPR ligger till grund.

(3) Överlämningen av uppdragsgivarens personrelaterade data till underentreprenören och dennes första arbetsinsats är endast tillåten när alla förutsättningar för en underentreprenad finns.

(4) Ytterligare extern utläggning genom underentreprenören kräver uttryckligt godkännande från huvuduppdragstagaren (i minst textform). Alla avtalsbestämmelser i avtalskedjan gäller även för ytterligare underentreprenörer.

8. Uppdragsgivarens kontrollrättigheter

(1) Uppdragsgivaren har rätt att genomföra kontroller i samförstånd med uppdragstagaren eller att utföra dessa med hjälp av kontrollanter, som ska anges i det enskilda fallet. Denne har rätt att använda sig av stickprovskontroller i uppdragstagarens verksamhet för att övertyga sig om att uppdragstagaren uppfyller detta avtal. Kontrollerna ska anmälas i god tid och ske under normala arbetstider, utan att störa arbetsförloppet hos uppdragstagaren. Strikt sekretess gäller för uppdragstagarens företags- och affärshemligheter.

(2) Uppdragstagaren säkerställer att uppdragsgivaren kan övertyga sig om att uppdragstagarens skyldigheter enligt art. 28 GDPR uppfylls. Uppdragstagaren åtar sig att ge uppdragsgivaren den nödvändiga informationen vid förfrågan, och att framför allt styrka implementeringen av de tekniska och organisatoriska åtgärderna. Uppdragsgivaren får i regel genomföra en kontroll per kalenderår. Fler kontroller är tillåtna vid särskilda händelser.

(3) Uppdragstagaren har rätt att efter egen bedömning, med hänsyn tagen till uppdragsgivarens lagstadgade förpliktelser, inte lämna ut information som är känslig med hänsyn till uppdragstagarens verksamhet eller om uppdragstagaren skulle bryta mot lagstadgade eller avtalsenliga plikter såvida informationen röjdes.

(4) I stället för en kontroll på plats kan uppdragstagaren välja att styrka sådana åtgärder som inte bara gäller det konkreta avtalet genom

  1. att uppfylla tillåtna regelverk enligt art. 40 GPDR;
  2. certifiering enligt ett godkänt certifieringsförfarande enligt art. 42 GDPR;
  3. aktuella certifikat, rapporter eller rapportutdrag från oberoende instanser (t.ex. revisorer, revisioner, från uppgiftsskyddsansvarig, IT-säkerhetsavdelning, uppgiftsskyddskontrollanter, kvalitetskontrollanter);
  4. en lämplig certifiering genom ett tillsynsorgan för IT-säkerhet eller uppgiftsskydd (t.ex. enligt det tyska BSI-grundskyddet som avser säkerhet inom informationsteknik).

Förutsättning för detta är att denna åtgärd ger uppdragsgivaren en rimlig möjlighet att övertyga sig om att de tekniska och organisatoriska åtgärderna uppfylls i enlighet med bilagan till denna överenskommelse.

(5) Uppdragstagaren kan göra anspråk på ersättning för möjliggörandet av uppdragsgivarens kontroller.

9. Meddelande vid uppdragstagarens förseelser

(1) Uppdragstagaren stöder uppdragsgivaren när det gäller uppfyllandet av de skyldigheter som anges i artiklarna 32 till 36 i GDPR avseende säkerhet för personrelaterade data, informationsplikt vid dataproblem, dataskydds-följdbedömningar och föregående konsultationer. Hit hör bl.a.

  1. säkerställande av en lämplig skyddsnivå genom tekniska och organisatoriska åtgärder som tar hänsyn till omständigheterna och syftet med behandlingen samt den uppskattade sannolikheten för och omfattningen av ett möjligt lagbrott på grund av säkerhetsluckor och som möjliggör ett direkt fastställande av relevanta skadehändelser
  2. skyldigheten att omgående meddela uppdragsgivaren om förseelser som gäller personuppgifter
  3. skyldigheten att stödja uppdragsgivaren inom ramen för dennes informationsplikt gentemot den berörda personen och att omgående tillhandahålla all information som är relevant i samband med detta
  4. att vara till stöd för uppdragsgivaren vid dennes uppgiftsskydds-följdbedömning
  5. att vara till stöd för uppdragsgivaren inom ramen för tidigare konsultationer tillsammans med tillsynsmyndigheten

10. Uppdragsgivarens bestämmanderätt

(1) Muntliga direktiv bekräftar uppdragsgivaren omgående (i minst textformat).

(2) Uppdragstagaren informerar omgående uppdragsgivaren om denne anser att ett direktiv bryter mot uppgiftsskyddsföreskrifter. Uppdragstagaren har rätt att göra uppehåll i genomförandet av det aktuella direktivet tills det bekräftas eller ändras av uppdragsgivaren. Uppdragstagaren kan göra anspråk på ersättning gentemot uppdragsgivaren för utgifter som tillfaller uppdragsgivaren i samband med detta.

11. Radering och återlämnande av personuppgifter

(1) Det tas inga kopior av uppgifterna och görs inga avskrifter av dessa utan uppdragsgivarens kännedom. Detta gäller inte för säkerhetskopior, i den mån de krävs för att säkerställa korrekt uppgiftsbehandling, samt uppgifter som krävs för att lagstadgade arkiveringsskyldigheter ska uppfyllas.

(2) När arbetena som ingår i avtalet avslutats, eller tidigare efter uppmaning från uppdragsgivaren – senast när serviceavtalet löper ut – ska uppdragstagaren överlämna alla dokument, utfärdade behandlings- och användningsresultat samt databestånd som ingår i avtalsförhållandet och som denne har i sin ägo till uppdragsgivaren, eller efter föregående godkännande förstöra underlagen på ett sätt som uppfyller uppgiftsskyddet. Samma gäller för test- och restmaterial. Protokollet över raderingen ska visas upp när detta begärs.

(3) Uppdragstagaren sparar dokumentation, där det intygas att uppgiftsbehandlingen skett korrekt enligt uppdraget och i enlighet med den aktuella arkiveringsperioden efter att avtalet löpt ut. För att underlätta kan den överlämnas till uppdragsgivaren när avtalet löpt ut.

1. Konfidentialitet (artikel 32.1 b) GDPR)

Åtkomstkontroll

  • Behörighetsintyg
  • Passerkort/passertagg
  • Koncept för åtkomstbehörighet
  • Övervakningsanordningar (t.ex. kameraövervakning)
  • Nyckelbestämmelser
  • Bestämmelser rörande externa besökare, besökskort för besökare
  • Egna medarbetare ledsagar besökare
  • Närvarorapportering av besökare
  • Säkerhet även utanför kontorstid med larmsystem och/eller vakttjänst
  • Definierade säkerhetsområden och kontrollerat tillträde
  • Låst ingång för inkommande- och utgående leveranser
  • Dörrlås (elektrisk dörrstängare, passerkortläsare, tv-monitor, portvakt)
  • Kontroll genom medarbetare (4-ögonprincipen)
  • Åtgärder för att skydda lokalerna (t.ex. skyddsglas, larmsystem, övervakning av området)
  • Separat säkrad åtkomst till datacentral
  • Servrar förvaras i låsbara utrymmen
  • Datamedier förvaras låsta eller i låsta utrymmen
  • Säkerhetskopior (t.ex. band, CD-enheter) förvaras i kassaskåp
  • Anvisning rörande utlämning av nycklar
  • Övrigt/specifikation av ovanstående åtgärder:

Åtkomstkontroll

  • Kryptering av nätverk
  • Avspärrning av databehandlingsanläggningar
  • Identifiering av användare i databehandlingssystemet
  • Utdelning och säker hantering av identifieringsnycklar
  • Lösenordsskydd på datorarbetsplatser
  • Funktionell och/eller tidsmässigt begränsad användning av arbetsplatsdatorer och identifieringsuppgifter
  • Reglering av användarbehörigheten
  • Användning av individuella lösenord
  • Automatisk spärr av användarkonton om fel lösenord anges upprepade gånger
  • Automatisk lösenordsskyddad spärr av bildskärmen efter inaktivitet (skärmsläckare)
  • Riktlinjer för lösenord, minsta antal tecken, lösenordets komplexitet samt intervall för byte av lösenord
  • Kryptering av sparade lösenord
  • Process för tilldelning av behörighet för nya medarbetare
  • Process för fråntagning av behörighet för medarbetare som byter avdelning
  • Process för fråntagning av behörighet för medarbetare som slutar
  • Tystnadsplikt gällande personuppgifterna enl. art. 28, punkt 3 b i GDPR
  • Riktlinjer för att organisera filer
  • Protokollföring och utvärdering av systemanvändning
  • Kontrollerad destruering av datamedier
  • Arbetsanvisning och behandlingsförfaranden för insamling av uppgifter
  • Förfaranden för programkontroll och -godkännanden
  • Övrigt/specifikation av ovanstående åtgärder:

Åtkomstkontroll

  • Fastställande av åtkomstbehörighet, behörighetskoncept
  • Fastläggande av tillstånd att ange, ändra och radera data
  • Behörighetsgodkännanden (organisatoriskt) och
  • tilldelning av behörigheter (tekniskt) ska ske separera)
  • Koncept för användning och tilldelning av diskenheter
  • Reglering av hur uppgifter ska återställas från säkerhetskopior (vem,
  • när, på vems begäran)
  • Regelbunden kontroll av behörigheter
  • Begränsning av fri och okontrollerad
  • möjlighet att söka i databaser
  • Regelbunden utvärdering av protokoll (loggfiler)
  • ID-läsare på terminalen
  • Partiella åtkomstmöjligheter till databaser och funktioner (läsa, skriva, köra)
  • Protokollföring av när filer läses, raderas, ändras
  • Skanning för skadlig programvara på arbetsplatsdatorer
  • Filter mot skadlig programvara för webbplatser
  • Filter mot skadlig programvara/spam för e-post
  • Brandväggar
  • Intrusion Detection/Prevention (IDS/IPS)
  • Begränsad åtkomst till loggfiler (endast logg-administratörer)
  • Lagring av loggdata på dedikerad loggserver
  • Övrigt/specifikation av ovanstående åtgärder

Separationskontroll

  • Separering av kunder/uppdragsgivare
  • Separering av utvecklings-, test- och produktionssystem

2. Integritet (art. 32 (1) b) GDPR)

Kontroll av vidarebefordring

  • Säker fildelning (SFTP/FTPS)
  • Fildelning via HTTPS-anslutning (TLS 1.1 och 1.2)
  • Fastställande av behörighet för vidarebefordring, behörighetskoncept
  • Kontroll genom medarbetare (4-ögonprincipen)
  • Låst ingång för inkommande och utgående leveranser
  • Administrering av datamedier, filkontroll
  • Fastställande av områden där datamedier måste befinna sig
  • Kryptering av konfidentiella datamedier
  • Kryptering av bärbara datorer
  • Förvaring av personuppgifter i låsbara
  • säkerhetsskåp
  • Förbud mot att medföra väskor eller annat bagage i säkerhetsområden
  • Säker radering av datamedier (t.ex. fysisk destruering, multi-pass-överskrivning)
  • Säker avfallshantering av papper: Slutna behållare av metall (s.k. sekretesskärl)
  • Reglering av framtagning av kopior
  • Säkerhetskopior av datamedier som måste transporteras
  • Föreskrifter rörande förpackningar och frakt
  • Upphämtning på plats, kurirtjänst, person som följer med under transporten
  • Kontroll av fullständighet och korrekthet

Inmatningskontroll

  • Märkning/klassificering av insamlade uppgifter
  • Fastställande av användarbehörigheter (roller/profiler)
  • Differentierade användarbehörigheter (läsa, ändra, radera data, partiell åtkomst till data eller funktioner)
  • Organisatoriskt fastställande av vem som är ansvarig för inmatning
  • Protokollföring av inmatning/radering av data
  • Reglering rörande arkiveringsperioder för revision/bevisändamål

3. Tillgänglighet och belastbarhet (art. 32 (1) b) GDPR)

Tillgänglighetskontroll

  • Koncept för säkerhetskopiering av data
  • Regelbunden kontroll av konceptet för säkerhetskopiering av data
  • Åtkomst till serverutrymmen begränsas till nödvändig personal
  • Brandlarm i serverutrymmen
  • Automatiska släckningssystem i serverutrymmen
  • Vattenfria släckmedel (t.ex. CO2-brandsläckare) i serverutrymmen
  • Luftkonditionerade serverutrymmen
  • Blixt-/överspänningsskydd
  • Avbrottsfri strömförsörjning (UPS)
  • Reservelsystem
  • Vattensensorer i serverutrymmen
  • Backupsystem placeras i separata och brandsektionerade utrymmen
  • Data förvaras i datasäkerhetsskåp, kassaskåp
  • Regelbunden kontroll av att backup-lagringsmedier kan återskapas
  • Säkerställande av att backup-lagringsmedier är tekniskt läsbara i framtiden
  • Förvaring av backup-lagringsmedier under nödvändiga lagringsförhållanden (luftkonditionering, skyddsbehov osv.)
  • Avtal rörande överlämnande av (data-)säkerhetskopior
  • Regelbunden analys av svagheter (inhägnader, byggnadsskydd, intrång i nät och IT-system)
  • Redundant lagringssystem
  • Reserv-datacentraler som kan användas i nödfall

4. Återställa tillgänglighet och åtkomst (art 32.1 c) GDPR)

  • Krisplan och plan för nödsituationer (t.ex. vatten, brand, explosion, hot om attack, ras, jordbävning)

5. Granskning, utvärdering och evaluering (art 32.1 d) GDPR; art 25 (1) GDPR)

Förfarande för regelbunden kontroll, bedömning och utvärdering

  • Definierad process för hantering av uppgiftsskydd
  • Definierad process för hantering av incidenter
  • Uppgiftsskyddsvänliga förinställningar (art. 25 i GDPR)

Uppdragskontroll

  • Val av underuppdragstagare utifrån noggranna kriterier (i synnerhet rörande datasäkerhet)
  • Avtal utformade enligt gällande lagstiftning (art. 28 i GDPR)
  • Centralt register över befintliga underuppdragstagare (enhetlig avtalshantering)
  • Förkontroll på plats hos underuppdragstagaren innan avtalet börjar gälla
  • Regelbunden kontroll på plats hos underuppdragstagaren när avtalet har börjat gälla (under avtalets giltighetstid)
  • Kontroll av datasäkehetskonceptet hos underuppdragstagaren
  • Granskning av underuppdragstagarens befintliga informationssäkerhetscertifikat
  • Ge anvisningar för att förbättra uppgiftsskyddet gentemot underuppdragstagaren
  • Skyldighet för underuppdragstagarens medarbetare att följa uppgiftsskyddsbestämmelserna