Vinnsla persónuupplýsinga

SKILMÁLAR þessir eiga við um vinnslu persónuupplýsinga á grunni þjónustusamnings, samnings á grundvelli viðskiptaskilmála Þekkingar (www.thekking.is/skilmalar) og eftir atvikum samningsviðauka (hér eftir samningurinn) á milli Þekkingar hf., Hafnarstræti 93-95, 600 Akureyri, kt. 411199-2749, (hér eftir vinnsluaðili) og viðskiptavinar (hér eftir ábyrgðaraðili), saman nefndir aðilar. Skilmálar þessir teljast vera vinnslusamningur á milli aðila sbr. neðangreint:

 

1. Skilgreiningar

 

  1. Nema annað sé tekið fram gilda eftirfarandi skilgreiningar um vinnslusamning þennan:
  2. „Vinnslusamningurinn“ eru skilmálar þessir og allir viðaukar hans.
  3. „Samningurinn“ er þjónustusamningur aðila og aðrir samningsviðaukar, hvort sem hann inniheldur sértæk ákvæði eða er gerður á grundvelli viðskiptaskilmála vinnsluaðila.
  4. „Undirvinnsluaðili“ er undirverktaki vinnsluaðila sem falið er að sinna tiltekinni þjónustu sem felur í sér vinnslu persónuupplýsinga í tengslum við samninginn.
  5. Hugtökin „ábyrgðaraðili“, „persónuupplýsingar“, „skráður einstaklingur“, „vinnsla“, „vinnsluaðili“ og „öryggisbrestur“ skulu hafa sömu merkingu og þeim eru gefin í persónuverndarlögum.
  6. „Flutningur persónuupplýsinga“ er:
  7. Flutningur persónuupplýsinga af hálfu ábyrgðaraðila til vinnsluaðila, eða;
  8. Áframhaldandi flutningur persónuupplýsinga af hálfu vinnsluaðila til undirvinnsluaðila.
  9. „Vinnslulýsing“ er viðauki við vinnslusamning og geymir upplýsingar um eðli, tilgang, tegundir eða flokka persónuupplýsinga, flokka skráðra einstaklinga og nánari lýsingu á þeirri vinnslu sem vinnsluaðili innir af hendi fyrir ábyrgðaraðila. Einungis þær upplýsingar í vinnslulýsingu sem eiga við um samning aðila og þá þjónustu sem vinnsluaðili veitir ábyrgaraðila eiga við um vinnslusamning þennan í hverju tilviki fyrir sig.
  10. „Persónuverndarlög“ eru gildandi lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og aðrar reglur sem eiga stoð í þeim eða eru þeim til fyllingar, þ.m.t. GDPR.
  11. „GDPR“ er reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB.

 

 

2. Efni og gildissvið

 

  1. Þessi vinnslusamningur og viðaukar við hann gilda um alla vinnslu persónuupplýsinga af hálfu vinnsluaðila fyrir hönd ábyrgðaraðila í tengslum við þá þjónustu sem tilgreind er í samningnum. Noti ábyrgðaraðili þjónustu vinnsluaðila telst hann hafa samþykkt vinnslusamning þennan og viðauka við hann.
  2. Vinnslu persónuupplýsinga af hálfu vinnsluaðila er lýst í vinnslusamningi þessu, samningi aðila eða vinnslulýsingu.
  3. Um vinnsluna gilda ákvæði persónuverndarlaga. Þar sem ákvæðum í vinnslusamningi þessum sleppir, t.d. um skyldur eða ábyrgð aðila, skulu ákvæði persónuverndarlaga gilda.
  4. Sé ósamræmi milli vinnslusamnings þessa og samningsins, mun þessi vinnslusamningur gilda. Allir skilmálar samningsins sem ekki er breytt með þessum vinnslusamningi haldast óbreyttir.

 


3. Skyldur aðila

 

  1. Í tengslum við vinnslusamninginn og samning aðila skal ábyrgðaraðili tryggja að öll vinnsla persónuupplýsinga af sinni hálfu, þ.m.t. flutningur persónuupplýsinga til vinnsluaðila, samræmist persónuverndarlögum. Ábyrgðaraðili ber þannig sjálfur ábyrgð á að vinnsla vinnsluaðila á persónuupplýsingum samræmist persónuverndarlögum, þ.m.t. að sú vinnsla hvíli á lögmætum grundvelli, að skráðir einstaklingar séu eftir atvikum upplýstir eða fræddir um vinnsluna. Ábyrgðaraðili ber ábyrgð á að fyrirmæli hans til vinnsluaðila séu lögmæt.
  2. Vinnsla vinnsluaðila skal einungis fara fram í tengslum við eftirfarandi:
  3. Til þess að uppfylla skyldur sínar og veita þjónustu samkvæmt samningnum; eða
  4. Að fengnum skriflegum fyrirmælum ábyrgðaraðila svo framarlega sem þau séu í eðlilegu samhengi við samninginn eða þá þjónustu sem vinnsluaðili veitir; eða
  5. Ef nauðsyn krefur að fengnum munnlegum fyrirmælum ábyrgðaraðila, sem hann skal þegar í stað staðfesta með skriflegum hætti; eða
  6. Lög krefjist.
  7. Vinnsluaðila ber að tilkynna ábyrgðaraðila þegar í stað ef hann telur fyrirmæli hans brjóta gegn persónuverndarlögum. Vinnsluaðila er heimilt að virða slík fyrirmæli að vettugi.
  8. Vinnsluaðila ber að gæta trúnaðar um persónuupplýsingar og vinnslu þeirra. Hann skal gera ráðstafanir svo starfsmenn hans, verktakar og undirvinnsluaðilar séu bundnir trúnaðarskyldu um þær. Vinnsluaðila ber að tryggja að starfsmenn hans séu meðvitaðir um þagnarskyldu sem kann að hvíla á þeim samkvæmt samningi eða lögum, hafi fengið fræðslu um þýðingu persónuverndarlaga í tengslum við samninginn og þá þjónustu sem vinnsluaðili veitir ábyrgðaraðila.

 

 

4. Notkun undirvinnsluaðila

 

  1. Vinnsluaðila er óheimilt að fela undirvinnsluaðila vinnslu persónuupplýsinga nema fyrir liggi samningur milli vinnslu- og undirvinnsluaðila sem uppfyllir áskilnað persónuverndarlaga og tryggir sambærilega vernd persónuupplýsinga og vinnslusamningur þessi.
  2. Flutningur persónuupplýsinga til undirvinnsluaðila og vinnsla af hans hálfu skal einungis eiga sér stað þegar tryggt hefur verið að öllum laga- og samningsskyldum um vinnsluna sé fullnægt.
  3. Með því að nýta sér þjónustu vinnsluaðila veitir ábyrgðaraðili vinnsluaðila almenna skriflega heimild til notkunar undirvinnsluaðila skv. 2. mgr. 25. gr. persónuverndarlaga, sbr. þó önnur ákvæði þessarar greinar.
  4. Verði breytingar á undirvinnsluaðilum skal vinnsluaðili tilkynna ábyrgðaraðila um þær sbr. 13 gr. Vilji ábyrgðaraðili andmæla notkun undirvinnsluaðila skulu andmæli lögð fram skriflega innan 14 daga frá tilkynningu. Andmæli ábyrgðaraðili breytingu á vinnslusamningi skulu aðilar freista þess að leysa úr sín á milli.
  5. Vinnsluaðili ber ábyrgð á athöfnum og vanrækslu undirvinnsluaðila gagnvart ábyrgðaraðila á sama hátt og vinnsluaðilinn sjálfur væri ábyrgur í samræmi við vinnslusamning þennan.
  6. Undirvinnsluaðilar skulu tilteknir í vinnslulýsingu.

 

 

5. Landfræðileg afmörkun

 

  1. Vinnsla persónuupplýsinga af hálfu vinnsluaðila skal fara fram innan aðildarríkis að Evrópusambandinu (ESB) eða Evrópska efnahagssvæðinu (EES). Flutningur persónuupplýsinga til ríkis sem er ekki aðili að ESB eða EES er óheimill nema í tengslum við samning aðila og að skilyrðum 5. kafla GDPR uppfylltum.

 

 

6. Tæknilegar og skipulagslegar ráðstafanir vinnsluaðila

 

  1. Vinnsluaðila ber að gera tæknilegar og skipulagslegar ráðstafanir sem tryggja að  vinnsla persónuupplýsinga af hans hálfu uppfylli kröfur persónuverndarlaga og koma í veg fyrir að vinnsla fari fram með ólögmætum hætti. Ráðstafanir vinnsluaðila eru tilgreindar í Viðauka I.
  2. Tæknilegar og skipulagslegar ráðstafanir vinnsluaðila skulu einkum miða að því að tryggja fullnægjandi öryggisráðstafanir að teknu tilliti til eðlis persónuupplýsinganna og þeirrar áhættu sem vinnslan felur í sér, gæta að viðeigandi trúnaði, samfellu og tiltækileika upplýsinganna og gæta þess að hægt sé að meta öryggi upplýsinganna. Í þessu skyni skal vinnsluaðili nota aðgangsstýringar, notkun gerviauðkenna, dulkóðun, afritun eða annað sem telja má viðeigandi til að tryggja öryggi persónuupplýsinga.
  3. Vinnsluaðili er með vottað stjórnkerfi upplýsingaöryggis samkvæmt staðlinum ISO 27001:2013 og hefur innleitt öryggisráðstafanir í samræmi við staðalinn.
  4. Ábyrgðaraðila er heimilt að óska eftir því að gerðar séu ríkari öryggisráðstafanir um vinnslu persónuupplýsinga af hálfu vinnsluaðila en leiða má af samningi. Skal samið um viðbótarþjónustu vegna þessa sérstaklega.

 

 

7. Eftirlit, úttektir og úrbætur

 

  1. Vinnsluaðili skal tryggja að vinnsla hans samræmist vinnslusamningi þessum og persónuverndarlögum með eftirfarandi hætti:
  2. Eigin eftirliti með vinnslu persónuupplýsinga og árlegri úttekt á vinnslunni; eða
  3. Staðfestingu úttektaraðila á framfylgni, skýrslum eða úttektum úr skýrslum sem eru unnar af óháðum aðilum (t.d. úttektaraðila, persónuverndarfulltrúa, upplýsingaöryggisdeild eða niðurstöðum úr gæðaúttekt); og
  4. Viðeigandi vottun upplýsingaöryggisdeildar eða að undangenginni úttekt á vinnslu persónuupplýsinga (t.d. á grundvelli ISO/IEC 27001).
  5. Vinnsluaðili skal ganga úr skugga um að nauðsynlegar upplýsingar um vinnslu persónuupplýsinga séu tiltækar eftirlitsaðilum eftir því sem kveðið er á um í persónuverndarlögum.
  6. Vinnsluaðili skal ganga úr skugga um að nauðsynlegar upplýsingar til að sýna fram á að hann fullnægi skuldbindingum sínum samkvæmt vinnslusamningi þessum séu aðgengilegar ábyrgðaraðila. Vinnsluaðila skal veittur hæfilegur frestur til að svara fyrirspurnum ábyrgðaraðila um vinnslu samkvæmt vinnslusamningi þessum.
  7. Ábyrgðaraðila er heimilt, að höfðu samráði við vinnsluaðila, að framkvæma eftirlit og skoðanir, hvort sem hann framkvæmir það sjálfur eða felur öðrum að gera það fyrir sína hönd. Ábyrgðaraðila er heimilt að ganga úr skugga um að vinnsluaðili fullnægi skuldbindingum samkvæmt vinnslusamningi þessum með handahófskenndu eftirliti, sem skal tilkynnt vinnsluaðila í tæka tíð og með viðeigandi hætti.
  8. Eftirlit, skoðanir og úttektir að beiðni ábyrgðaraðila skulu taka til þess sem nauðsynlegt er til að ganga úr skugga um að vinnsluaðili fullnægi skyldum sínum samkvæmt vinnslusamningi þessum. Þær skulu því taka til þjónustuþátta sem eiga við samkvæmt samningi aðila hverju sinni og vera í eðlilegu samhengi við þá.
  9. Kjósi ábyrgðaraðili að framkvæma eftirlit, skoðanir eða úttektir skal þóknun vinnsluaðila vegna þess taka mið af samningnum eða gildandi verðskrá eftir því sem við á.
  10. Komi í ljós að vinnslu vinnsluaðila sé ábótavant skal hann bæta úr eins fljótt og unnt er.

 

 

8. Tilgangur vinnslu, tegundir persónuupplýsinga og flokkar skráðra einstaklinga

 

  1. Tilgangur vinnslu af hálfu ábyrgðaraðila er til þess að uppfylla skyldur sínar samkvæmt samningi með því að fylgja fyrirmælum hans sbr. 3 gr., og önnur vinnsla sem er í eðlilegu samhengi við þjónustu og rekstur vinnsluaðila sbr. 1. mgr. 9. gr. persónuverndarlaga.
  2. Tegundir persónuupplýsinga sem vinnsluaðili vinnur fyrir hönd ábyrgðaraðila eru eftir atvikum:
  3. Almennar persónuupplýsingar (t.d. nafn og kennitala); Tengiliðaupplýsingar (t.d. heimilisfang, símanúmer og netfang); Tæknilegar auðkennaupplýsingar (t.d. notandanafn og lykilorð); Persónuleg auðkenni (t.d. kennitala, IP-tala, starfsmannanúmer); Upplýsingar um viðskiptasögu og færslur; Greiðsluupplýsingar (t.d. upplýsingar um bankareikninga og kreditkort); Upplýsingar um staðsetningu (t.d. upplýsingar um tengingu á staðbundnu neti); Notkunarupplýsingar (t.d. notkunarsaga í vafra); Mannauðsupplýsingar (t.d. upplýsingar um ráðningarsamband, stöðu, starfsheiti og  vinnutímaskráningu); Viðkvæmar persónuupplýsingar (t.d. veikindaskráning, stéttarfélagsaðild) og aðrar tegundir persónuupplýsinga.
  4. Flokkar skráðra einstaklinga sem vinnsluaðili vinnur persónuupplýsingar fyrir hönd ábyrgðaraðila eru eftir atvikum:
  5. Viðskiptavinir og hugsanlegir viðskiptavinir; áskriftendur; starfsfólk (tilvonandi, núverandi og fyrrverandi); verktakar; birgjar og tengiliðir þeirra; fulltrúar; meðlimir; sjóðfélagar; skjólstæðingar; nemendur; endanotendur og aðrir hópar.

 

 

9. Réttindabeiðnir skráðra einstaklinga

 

  1. Ábyrgðaraðili ber ábyrgð á að bregðast við réttindabeiðnum skráðra einstaklinga.
  2. Vinnsluaðili skal aðstoða ábyrgðaraðila, án ástæðulauss dráttar, svo hægt sé að framfylgja beiðnum skráðra einstaklinga um aðgang að upplýsingum, réttinn til að gleymast, eyða upplýsingum eða flytja þær að fenginni skriflegri beiðni þar um sbr. þó önnur ákvæði þessarar greinar.
  3. Aðstoð vinnsluaðila við réttindabeiðnir skal takmarkast við það sem eðlilegt getur talist með hliðsjón af fyrirhöfn, eðli vinnslunnar af hans hálfu og því sem áskilið er með lögum.
  4. Aðstoði vinnsluaðili ábyrgðaraðila við réttindabeiðnir skráðra einstaklinga skal þóknun vinnsluaðila taka mið af samningnum eða gildandi verðskrá eftir því sem við á.

 


10. Öryggisbrestir

 

  1. Verði vinnsluaðili var við öryggisbrest við vinnslu persónuupplýsinga skal hann tilkynna ábyrgðaraðila það eins fljótt og auðið er. Í tilkynningu frá vinnsluaðila til ábyrgðaraðila skal tekið fram það sem kveðið er á um í 3. mgr. 33. gr. GDPR.
  2. Ábyrgðaraðili ber ábyrgð á að tilkynna um öryggisbresti til eftirlitsstjórnvalda og eftir atvikum til skráðra einstaklinga. Hann skal ákveða hvað kemur fram í slíkri tilkynningu og með hvaða hætti tilkynnt skuli.

 

 

11. Bótaskylda og takmörkun ábyrgðar

 

  1. Skaðabótaábyrgð vinnsluaðila gagnvart skráðum einstaklingum skal fara eftir persónuverndarlögum.
  2. Skaðabótaábyrgð vinnsluaðila gagnvart ábyrgðaraðila takmarkast við allt beint tjón sem ábyrgðaraðili hefur orðið fyrir og má rekja til til þess að vinnsluaðili hafi ekki uppfyllt skyldur sínar samkvæmt vinnslusamningi þessum, þar með talið ef hann hefur ekki fylgt lögmætum fyrirmælum ábyrgðaraðila um vinnslu persónuupplýsinga.
  3. Óbeint tjón verður ekki bætt af vinnsluaðila né tjón sem ekki verður rakið til stórfellds gáleysis eða ásetnings vinnsluaðila. Óbeint tjón telst vera tjón sem rekja má til samdráttar í eða stöðvunar í framleiðslu, þjónustu eða viðskiptum, almennt og tjón sem rekja má til missis hagnaðar þegar samningur við þriðja mann fellur brott eða verður ekki réttilega efndur.
  4. Þá takmarkast bótaábyrgð vinnsluaðila gagnvart ábyrgðaraðila við fjárhæð sem nemur því endurgjaldi sem ábyrgðaraðili hefur greitt vinnsluaðila fyrir þjónustu samkvæmt samningi undanfarna sex mánuði áður en tjón átti sér stað.

 

 

12. Mat á áhrifum vinnslu persónuupplýsinga og fyrirframsamráð

 

  1. Ábyrgðaraðila er heimilt að óska eftir aðstoð vinnsluaðila við gerð á mati á áhrifum vinnslu á persónuvernd og fyrirframsamráði við eftirlitsaðila. Aðstoð vinnsluaðila skal taka mið af aðstæðum, eðli vinnslu, tegundum persónuupplýsinga og aðkomu vinnsluaðila að vinnslu persónuupplýsinga að öðru leyti.
  2. Vegna aðstoðar við mat á áhrifum á persónuvernd eða fyrirframsamráð skal greitt samkvæmt samningi aðila eða verðskrá vinnsluaðila eftir því sem við á.

 

 

13. Tilkynningar og breytingar á vinnslusamningi

 

  1. Vinnsluaðila er ekki skylt að skipa persónuverndarfulltrúa. Þess í stað skal ábyrgðaraðili hafa samband við Upplýsingaöryggisstjóra Þekkingar, í síma 460-3100 eða með því að senda póst á oryggi@thekking.is, vegna vinnslusamnings þessa.
  2. Tilkynningar vinnsluaðila til ábyrgðaraðila skulu berast skráðum tengilið samkvæmt samningi. Sé enginn tengiliður skráður í samningi ber ábyrgðaraðila að upplýsa vinnsluaðila um tengilið sinn. Ábyrgðaraðila ber að halda vinnsluaðila upplýstum verði breytingar á tengilið.
  3. Vinnsluaðili skal tilkynna ábyrgðaraðila þegar í stað um allar athuganir, skoðanir eða rannsóknir eftirlitsyfirvalda, lögreglu eða annarra, ef þær snerta vinnslu samkvæmt vinnslusamningi þessum. Vinnsluaðili skal einnig tilkynna um kvartanir, stefnur, fyrirspurnir, kröfur um greiðslu skaðabóta eða hvaðeina annað sem berast honum sem varðað getur vinnslu samkvæmt samningi þessum;
  4. Ef vinnsla af hálfu vinnsluaðila sætir rannsókn, athugun eða skoðun af hálfu eftirlitsyfirvalda, lögreglu eða annarra, honum berst stefna, kvörtun, fyrirspurn eða skaðabótakrafa vegna vinnslunnar, skal ábyrgðaraðili veita honum liðsinni eftir því sem þörf krefur.
  5. Þrátt fyrir ákvæði 1. mgr. er vinnsluaðila heimilt að birta tilkynningar vegna vinnslusamnings á heimasíðu sinni (www.thekking.is), þ.m.t. um breytingar á undirvinnsluaðilum, en hann skal þá gefa ábyrgðaraðila kost á að skrá sig svo honum berist slíkar tilkynningar.
  6. Vinnsluaðila er heimilt að gera breytingar á vinnslusamningi þessum enda séu þær nauðsynlegar vegna breytinga á persónuverndarlögum eða til þess að vinnsluaðili geti áfram veitt ábyrgðaraðila þjónustu samkvæmt samningi, þ.m.t. ef vinnsluaðili gerir breytingar á undirvinnsluaðilum.
  7. Geri vinnsluaðili breytingar á vinnslusamningi þessum sem hafa áhrif á réttindi eða skyldur ábyrgðaraðila skal ábyrgðaraðila tilkynnt um það sérstaklega.
  8. Felli ábyrgðaraðili sig ekki við breytingar á vinnslusamningi skal hann hafa 14 daga andmælafrest frá tilkynningu. Andmæli ábyrgðaraðili breytingu á vinnslusamningi skulu aðilar freista þess að leysa úr sín á milli.

 

 

14. Gildistími, eyðing og afritun gagna

 

  1. Vinnslusamningur þessi gildir svo lengi sem samningur aðila er í gildi.
  2. Þegar vinnslu lýkur að ósk ábyrgðaraðila eða í síðasta lagi þegar samningssamband aðila líður undir lok skal vinnsluaðili eyða persónuupplýsingum ábyrgðaraðila nema hann óski þess sérstaklega að fá þau afhent. Vinnsluaðili skal halda skriflega skýrslu um eyðinguna og skal henni framvísað að beiðni ábyrgðaraðila.
  3. Óski ábyrgðaraðili þess sérstaklega að fá persónuupplýsingar afhentar skal þeim eytt af hálfu vinnsluaðila að afhendingu lokinni.
  4. Útheimti beiðni ábyrgðaraðila um afhendingu persónuupplýsinga vinnu af hálfu vinnsluaðila sem má ekki leiða af samningi, skal gjald tekið samkvæmt verðskrá vinnsluaðila.
  5. Vinnsluaðili áskilur sér rétt til að halda eftir gögnum, þ.m.t. persónuupplýsingum, ef slíkt er nauðsynlegt lögum samkvæmt.

 

 

15. Gildandi lög og lögsaga

 

  1. Um vinnslusamning þennan gilda íslensk lög.
  2. Íslenskir dómstólar fara einir með lögsögu um þau álitaefni sem kunna að skapast í tengslum við samning þennan. Komi upp ágreiningur um vinnslusamning þennan skulu aðilar freista þess að leysa hann í sameiningu en auðnist þeim það ekki skal mál rekið fyrir Héraðsdómi Reykjavíkur.




______________________________________________________________________


 

VIÐAUKI I

Tæknilegar og skipulagslegar ráðstafanir vinnsluaðila

 

 

1. Leynd (32.gr GDPR, 1. Málsgrein, b liður):

 

  1. Þekking hefur gert ráðstafanir varðandi aðgengi að gögnum utan vinnusvæðis, s.s. tveggja þátta auðkenningu eða annarra öryggisþátta.
  2. Þekking yfirfer reglulega aðgang að kerfum sínum og miðlægum búnaði með þá stefnu að einungis þeir sem þurfi aðgang hafi aðgang að upplýsingum og kerfum.
  3. Þekking hefur innleitt stýringar varðandi mannauðsöryggi, þar sem allir starfsmenn þurfa að undirrita trúnaðaryfirlýsingar og bakgrunnsrannsóknum er beitt eftir aðstæðum.
  4. Þekking hefur innleitt verklagsreglur og vinnulýsingar sem taka á helstu þáttum er snúa að öryggi upplýsinga.

 

2. Réttleiki (32.gr GDPR, 1. Málsgrein, b liður):

 

  1. Þekking hefur sett sér stefnu varðandi notkun dulritunar þar sem gögn fara um almenningsnet eða eru birtar. Notast er við dulritun og öruggar gáttir þegar það á við í samræmi við áhættur og bestu venjur.
  2. Þekking hefur greint þarfir vegna aðgerðarskráningar og geymslu og tekið ákvarðanir í framhaldi.
  3. Þekking hefur innleitt atvikaskráningu- og viðbragð þar sem markmið er að leitast eftir rótarorsök þess atviks sem upp hefur komið og reyna að koma í veg fyrir að það endurtaki sig.
  4. Þekking hefur innleitt virka breytingarstjórnun í samræmi við ITIL og eftir bestu venjum.
  5. Þekking sinnir ekki hugbúnaðarþróun en hefur sett sér stefnu varðandi notkun viðurkenndra birgja í þeim tilvikum þegar unnið er að hugbúnaðarþróun.

 

3. Tiltækileiki (32.gr GDPR, 1. Málsgrein, b liður):

 

  1. Þekking sinnir virkum vörnum gegn óværu og sinnir veikleikagreiningum á ytra neti auk þess sem fylgst er með veikleikum á innra neti.
  2. Þekking hefur samþykkt afritunaráætlun sem tekur á afritun allra gagna sem eru í hýsingu frá fyrirtækinu.
  3. Þekking hefur útbúið neyðaráætlun til að takast á við neyðaraðstæður og hefur æft viðbragð við skilgreindum aðstæðum.
  4. Þekking starfrækir tvö gagnaver á mismunandi landssvæðum. Áhættur hafa verið metnar gagnvart þeim áhættum sem geta steðjað að þeim gagnaverum og ráðstafanir ákveðnar í framhaldi.
  5. Þekking hefur greint helstu þætti sem eru nauðsynlegir til samfellds reksturs upplýsingakerfa og gert ráðstafanir til að viðhalda þeim rekstri.
  6. Þekking hefur skilgreint verðmæti sem nauðsynleg eru til verndar upplýsingum og kerfum viðskiptavina.


4. Ferlar til prófunar, mats og greiningar (32.gr GDPR, 1. Málsgrein, d liður, 25. Gr. 1. Málsgrein)

 

  1. Þekking framkvæmir reglulega áhættumat þar sem mögulegar áhættur gagnvart rekstri fyrirtækisins eru greindar og aðgerðir ákveðnar til að bregðast við þeim áhættum.
  2. Þekking stýrir aðföngum tengdum birgjum og metur áhættur þeim tengdar.
  3. Þekking hefur metið áhættur við upplýsingar í hvíld (data at rest) og gert viðeigandi ráðstafanir.
  4. Þekking er tilbúin að veita nauðsynlega aðstoð í þeim tilvikum þegar rannsaka þarf möguleg öryggisbrot.
  5. Þekking hefur innleitt upplýsingaöryggisstefnu sem gildir fyrir samnýtta þætti reksturs upplýsingakerfa.
  6. Þekking hefur skilgreint hlutverk og ábyrgð varðandi eignarhald kerfa og kynnt viðeigandi aðilum þær skyldur.
  7. Þekking viðheldur þjálfun og þekkingu starfsmanna með reglulegum kynningum og fræðslu varðandi upplýsingaöryggismál. Starfsmenn fá reglulegar kynningar um viðkvæmni þeirra upplýsinga sem þeir meðhöndla.
  8. Þekking hefur skilgreint viðeigandi lagaákvæði og reglur sem fyrirtækið þarf að hlíta og gert viðeigandi ráðstafanir.
  9. Þekking hefur vottað stjórnkerfi samkvæmt ISO 27001.




Síðast uppfært, 13. nóvember 2023

Share by: