Produkt: GDPR-sovelluskirjasto

GEN-1-3.1 Finns det en åldersgräns för användare av tjänsten?

GEN-1-5.1 Tillverkningsland / tjänsteleverantörens hemland

GEN-1-6.1 ISO-certifieringar

GEN-1-7.1 Är det möjligt att installera en mobilapp för tjänsten?

GEN-1-8.1 Licenstyp

GEN-1-9.1 Är virtualisering möjligt?

GEN-2-1.1 Tjänstespecifik dataskyddsbeskrivning (om sådan finns)

GEN-2-2.1 Tjänstens informationssäkerhetsbeskrivning (om sådan finns)

GEN-2-3.1 Kontaktuppgifter till dataskyddsombudet

GEN-2-4.1 Innehåller tjänsten annonser eller länkar till kommersiella tjänster?

GEN-2-5.1 Änvänder tjänsten cookies som användarna måste samtycka till?

UMA-1-1.1 Används tjänsten med personliga användarnamn?

UMA-1-2.1 Har tjänstens användarhantering minst två användarnivåer: administratör och grundläggande användare?

UMA-1-3.1 Kan användarrättigheterna begränsas enligt de anställdas arbetsuppgifter med beaktande av de rättigheter som beviljas olika användargrupper?

UMA-1-4.1 Vilka alternativ finns det i tjänsten för att integrera användarhantering med organisationens centraliserade användarregister och enkel inloggning (SSO)?

UMA-1-5.1 Är det möjligt att logga in med användarnamn från andra tjänsteleverantörer?

UMA-1-6.1 Är det möjligt att logga in med multifaktorautentisering (MFA)?

UMA-1-7.1 Är stark autentisering av användare möjlig?

UMA-1-8.1 Är det möjligt att ha gästanvändare utanför kundorganisationen eller oinloggade användare i tjänsten?

UMA-2-1.1 Loggas all aktivitet från alla inloggade användare?

UMA-2-2.1 Loggas alla visningar av personuppgifter?

UMA-2-3.1 Är tjänstens loggdata skyddade från obehörig visning och förstörelse?

UMA-2-4.1 Hur länge sparas loggdata och hur raderas de?

TDP-1-1.1 Vilka integrationer (gränssnitt) finns det till systemet och hur skyddas de från utomstående?

TDP-1-2.1 Hur loggas överföringar av personuppgifter via gränssnitt till underbiträden och eventuella utlämnanden till andra parter?

TDP-2-1.1 Sker all behandling av personuppgifter i tjänsten på ett sådant sätt att nätverksförbindelsen är krypterad och att användaren eller parterna i dataöverföringen är verifierade?

TDP-2-2.1 Är det möjligt att använda tjänsten så att alla personuppgifter endast lagras i krypterad form?

TDP-2-3.1 Har man i tjänstens säkerhet beaktat självständig fjärråtkomst?

TDP-3-1.1 Säkerhetskopieras tjänstens datainnehåll minst en gång per dag och är det möjligt att återställa säkerhetskopian snabbt vid behov?

TDP-3-2.1 Har återställning av säkerhetskopior beskrivits och testats?

TDP-4-2.1 Kan multifaktorautentisering (MFA) framtvingas för att alla användare vid inloggning?

TDP-5-1.1 Installeras säkerhetsuppdateringar för tjänstens programvarukomponenter regelbundet utan dröjsmål?

TDP-5-2.1 Har datasäkerheten auditerats av en extern part? Om ja, av vem?

TDP-5-3.1 Genomgår tjänsten regelbundna säkerhets- och sårbarhetstester?

TDP-5-5.1 Hur har den riskbaserade tillvägagångssätt och standardskyddet som krävs enligt GDPR beaktats i systemets design och dess funktioner?

TDP-5-6.1 Har tjänsteleverantören rutiner för att upptäcka, anmäla och utreda personuppgiftsincidenter?

DPR-1-1.1 Vilka är syftena med behandlingen av personuppgifter?

DPR-1-2.1 I vilken roll placerar sig tjänsteleverantören när det gäller dataskydd?

DPR-1-3.1 Måste slutanvändarna ge sitt samtycke till behandling av personuppgifter i samband med tjänsten?

DPR-1-4.1 Är det möjligt att göra kundorganisationens namn och en länk till dess egen dataskyddsbeskrivning synlig för användare i tjänsten?

DPR-1-5.1 Har tjänsteleverantören tillgång till personuppgifter som kundorganisationen lagrar?

DPR-1-6.1 Uppstår det i och med användningen av tjänsten ett register där tjänsteleverantören är gemensamt personuppgiftsansvarig med kundorganisationen?

DPR-1-8.1 Har tjänsteleverantören en uppdaterad förteckning över underbiträden av personuppgifter, där det framgår namn, plats, syfte med behandlingen och eventuell överföringsgrund utanför EU/EES-området?

DPR-1-9.1 Länk till lista över underbiträden (om sådana finns)

DPR-1-10.1 Behandlar tjänsteleverantören eller något av dess underbiträden personuppgifter utanför EU/EES?

DPR-1-11.1 Om personuppgifter behandlas utanför EU/EES, på vilken grund överförs personuppgifterna?

DPR-1-12.2 Kan personuppgifter överföras till icke-säkra tredjeländer?

DPR-1-13.1 I vilka länder finns tjänsteleverantörens servrar?

DPR-2-1.1 Vilka personuppgifter behandlar tjänsteleverantören?

DPR-2-2.1 Är tjänsten också avsedd för behandling av särskilda personuppgifter (t.ex. hälsouppgifter)?

DPR-2-3.1 Kan de obligatoriska och frivilliga fälten som är relaterade till användare definieras av administratören?

DPR-2-4.1 Erbjuder tjänsteleverantören användarna omfattande information om behandlingen av personuppgifter i tjänsten?

DPR-2-6.1 Vilka metoder finns för att säkerställa att uppgifterna inte används för andra ändamål?

DPR-2-7.1 Har tjänsten en funktion för att pseudonymisera personuppgifter?

DPR-2-8.1 Kan man separat be användarna om deras samtycke till behandling av vissa personuppgifter (t.ex. personbeteckning eller särskilda kategorier av personuppgifter)?

DPR-2-9.1 Bearbetar tjänsten data i stor skala?

DPR-2-10.1 Kan profilering, poängsättning eller utvärdering av individer anknyta till tjänstens funktioner?

DPR-2-11.1 Can the service involve the processing of location data?

DPR-2-12.1 Kan personuppgifternas lagringstider eller kriterir för dessa fastställas i tjänsten?

DPR-2-13.1 Kan användarnas personuppgifter anonymiseras istället för att raderas?

DPR-3-3.1 Står omfattningen och längden av behandlingen av personuppgifter i proportion till de fördelar som eftersträvas?

DPR-4-2.1 Kan användarna se all data som lagras om dem?

DPR-4-3.1 Kan användare ladda ner eller överföra data som de har lagrat i en annan tjänst, eller importera data från ett annat system?

DPR-4-4.1 Hur och när raderas personuppgifter?

DPR-4-5.1 Om den registrerade utövar sin rätt att begränsa behandlingen av sina personuppgifter, vilka tekniska medel används för att säkerställa att begränsningen genomförs?

DPR-5-1.1 Hur säkerställer man att de personuppgifter som behandlas är korrekta?

DPR-6-1.1 Fattas automatiserade beslut i tjänsten och i så fall på vilka grunder?

DPR-6-2.1 Hur informeras de registrerade om automatiserat beslutsfattande?

DPR-6-3.1 Hur beskrivs slutsatser som baserar sig på automatiserat beslutsfattande för den registrerade?

DPA-1-1.1 Är det möjligt att ingå ett avtal med underleverantören om behandling av personuppgifter (DPA)?

DPA-1-2.1 Länk till standardmall för DPA-avtalet (om tillämpligt)

DPA-1-3.1 Definieras de personuppgifter som behandlas i DPA-avtalet?

DPA-1-4.1 Definieras personuppgifternas behandlingsändamål i DPA-avtalet?

DPA-1-5.1 Kan man i samband med DPA-avtalet ge anvisningar som tjänsteleverantören ska beakta vid behandling av personuppgifter?

DPA-1-6.1 Framgår det av DPA-avtalet att tjänsteleverantören kommer att upprätthålla konfidentialitet för sina anställda?

DPA-1-7.1 Framgår det av DPA-avtalet att tjänsteleverantören tillåter den personuppgiftsansvarige att övervaka och granska?

DPA-1-8.1 Har tjänsteleverantören en utsedd kontaktperson för dataskyddsfrågor?

DPA-1-9.1 Innehåller DPA bestämmelser om radering av uppgifter?

DPA-1-10.1 Använder tjänsteleverantören användarnas personuppgifter för andra ändamål än de som är relaterade till drift och underhåll av tjänsten?

DPA-2-1.1 Säkerställs efterlevnaden av EU:s allmänna dataskyddsförordning (GDPR) och implementeringen av lämpliga skyddsåtgärder i DPA-avtalet om underbiträden används för behandling av personuppgifter?

DPA-2-2.1 Underbiträden enligt DPA-avtalet eller länk till förteckningen över underbiträden (om tillämpligt)

DPA-2-3.1 Uppfyller tjänsteleverantören kraven i dataskyddsförordningen när det gäller ändringar av underbiträden?

DPA-3-1.1 Förbinder sig tjänsteleverantören att utan dröjsmål anmäla alla personuppgiftsincidenter?

DPA-3-2.1 Har tjänsteleverantören ett avtalat förfarande för att rapportera personuppgiftsincidenter?

DPA-3-3.1 Förbinder sig tjänsteleverantören att utan dröjsmål tillmötesgå begäran som om personuppgifter?

DPA-4-1.1 Behandlar personuppgiftsbiträdet eller något av dess underbiträden personuppgifter utanför EU/EES?

DPA-4-2.1 Om personuppgifter behandlas utanför EU/EES, på vilken grund överförs personuppgifterna?

DPA-4-3.1 Om EU-kommissionens standardavtalsklausuler (SCC) används som grund för överföring av personuppgifter, vilka SCC är det då fråga om?

DPA-4-4.1 Kan personuppgifterna lämnas ut till myndigheter i tredje land?

DPA-4-5.1 Har tjänsteleverantören dokumentation som hjälper till med konsekvensbedömning av dataöverföringar (transfer impact assessment, TIA) i situationer där data överförs utanför EU/EES?

DPA-4-6.1 Om uppgifter överförs utanför EU/EES, vilka ytterligare skyddsåtgärder tillämpas?