§ 25 NDIG - Datensicherheit, Protokollierung
Bibliographie
- Titel
- Niedersächsisches Gesetz über digitale Verwaltung und Informationssicherheit (NDIG)
- Amtliche Abkürzung
- NDIG
- Normtyp
- Gesetz
- Normgeber
- Niedersachsen
- Gliederungs-Nr.
- 20500
(1) 1Die nach den §§ 18 bis 23 verarbeiteten Daten sowie die Auswertungsergebnisse sind durch technische und organisatorische Maßnahmen nach dem Stand der Technik gegen unbefugte Kenntnisnahme, Veränderung und Verwendung zu schützen. 2Bei der Umsetzung dieser Maßnahmen ist ein besonders hohes Maß an Datensicherheit zu gewährleisten.
(2) Insbesondere
- 1.
sind der Zutritt zu den und der Zugriff auf die Datenverarbeitungsanlagen auf Personen zu beschränken, die durch die jeweilige Behördenleitung hierzu besonders ermächtigt sind,
- 2.
ist organisatorisch sicherzustellen, dass eine Kenntnisnahme der nach den §§ 18 bis 23 verarbeiteten Daten sowie der Auswertungsergebnisse durch andere als die nach Nummer 1 ermächtigten Personen ausgeschlossen ist,
- 3.
ist sicherzustellen, dass die für Datenverarbeitung nach den §§ 18 bis 23 verwendeten IT-Systeme von den für die üblichen betrieblichen Aufgaben verwendeten IT-Systemen getrennt sind, insbesondere die Speicherung in gesonderten Speichereinrichtungen erfolgt,
- 4.
sind besondere Sicherungsmaßnahmen gegen den unberechtigten Zugriff aus anderen Netzen, insbesondere aus dem Internet, zu treffen,
- 5.
sind nach dem Stand der Technik als besonders sicher geltende Verschlüsselungsverfahren zur Gewährleistung der Vertraulichkeit der gespeicherten Daten einzusetzen und
- 6.
ist technisch und organisatorisch sicherzustellen, dass der Zugriff auf die Daten nur gemeinsam durch mindestens zwei nach Nummer 1 ermächtigte Personen erfolgen kann.
(3) 1Eine Behörde darf von den Ermächtigungen der §§ 18 bis 23 nur Gebrauch machen, wenn sie ein Sicherheitskonzept für die dazu eingesetzten technischen Systeme erstellt und die Umsetzung aller darin vorgesehenen technischen und organisatorischen Maßnahmen aktenkundig gemacht hat. 2Das Sicherheitskonzept ist alle zwei Jahre einer Revision zu unterziehen. 3Für jede Veränderung der eingesetzten technischen Systeme gilt Satz 1 entsprechend.
(4) 1Jeder Zugriff, insbesondere das Lesen, Kopieren, Ändern, Übermitteln, Löschen und Sperren von nach den §§ 18 bis 23 verarbeiteten Daten sowie von Auswertungsergebnissen ist zu protokollieren. 2Das Protokoll enthält Zeitpunkt, Art und Zweck des Zugriffs sowie eine eindeutige Kennung der auf die Daten zugreifenden Person. 3Das Protokoll darf ausschließlich zur Datenschutzkontrolle verwendet werden. 4Jeder Eintrag in das Protokoll ist zwei Jahre nach seiner Aufnahme zu löschen, es sei denn, die oder der Landesbeauftragte für den Datenschutz zeigt an, dass die Daten zur Erfüllung ihrer oder seiner Aufgaben weiterhin benötigt werden.