First Agenda A/ S
First Agenda A/ S
Uafhængig revisors ISAE 3000- erklæring med sikkerhed om
informationssikkerhed og
foranstaltninger i henhold t il First Agendas skabelon for
databehandleraftale med dataansvarlige
Indhold
2 Uafhængig revisors erklæring 4
2.1 Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og foranstaltninger i henhold t il FirstAgendas skabelon for databehandleraftale med
2.4 Revisors uafhængighed og kvalitetsstyring 4
2.6 Begrænsninger i kontroller hos en dataansvarlig 5
2.7 Konklusion 5
2.8 Beskrivelse af test af kontroller 5
2.9 Tiltænkte brugere og formål 5
3 Beskrivelse af ydelse t il den dataansvarlige, der forudsætter behandling af personoplysninger 6
3.1 Formålet med databehandlerens behandling af personoplysninger på vegne af den
3.2 Karakteren af behandlingen 6
3.7 Komplementerende kontroller hos de dataansvarlige 8
Bilag 1
Ernst & Young P/ S - Dirch Passers Allé 36 - Postboks 250 - 2000 Frederiksberg - CVR-nr. 30 70 02 28
FirstAgenda - ISAE 3000 databehandleraftale - Final.docx
FirstAgenda A/ S (FirstAgenda) behandler personoplysninger på vegne af vores kunder i henhold t il ind- gået databehandleraftaler.
Medfølgende beskrivelse i sektion 3 er udarbejdet t il brug for dataansvarlige, der har anvendt FirstAgen- das mødeeffektiviseringssoftwareløsning, og som har en tilstrækkelig forståelse til at vurdere beskrivel- sen sammen med eventuel anden information i deres vurdering af, om kravene i EU's forordning om
” Beskyt telse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger” (herefter ” databeskyttelsesforordningen” ) er overholdt. FirstAgenda bekræf-
t er, at:
a) Den medfølgende beskrivelse, sektion 3, giver en retvisende beskrivelse af FirstAgendas aktivite- t er og kontroller i henhold til FirstAgendas skabelon for databehandleraft aler, jf. bilag 1, i forbin- delse med behandling af personoplysninger for dataansvarlige pr. 3. juni 2020:
(i) Redegør for, hvordan aktiviteter og kontroller var udformet og implementeret, herunder redegør for:
· De typer af ydelser, der er leveret, herunder typen af behandlede personoplysnin- ger.
· De processer i både it - og manuelle systemer, der er anvendt t il at igangsætte, regi- st rere, behandle og om nødvendigt korrigere, slet te og begrænse behandling af
personoplysninger.
· De processer, der er anvendt for at sikre, at den foretagne databehandling er sket i henhold t il kontrakt, instruks eller aftale med den dataansvarlige.
· De processer, der sikrer, at de personer, der er autoriseret til at behandle person- oplysninger, har forpligtet sig t il fortrolighed eller er underlagt en passende lovbe- st emt tavshedspligt .
· De processer, der ved ophør af databehandling sikrer, at der efter den dataansvar- liges valg sker sletning eller tilbagelevering af alle personoplysninger til den data- ansvarlige, medmindre lov eller regulering foreskriver opbevaring af personoplys- ningerne.
· De processer, der i t ilfælde af brud på persondatasikkerheden understøtter, at den dataansvarlige kan foretage anmeldelse til t ilsynsmyndigheden samt underrettelse til de registrerede.
· De processer, der sikrer passende tekniske og organisatoriske sikringsforanstalt- ninger for behandlingen af personoplysninger under hensyntagen t il de risici, som behandling udgør, navnlig ved hændelig eller ulovlig t ilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang t il personoplysninger, der er transmit te- ret, opbevaret eller på anden måde behandlet.
· Kontroller, som vi har forudsat ville være implementeret af de dataansvarlige, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen.
· Andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem (herunder de tilknyt tede forretningsgange) og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen af personop- lysninger.
(ii) Ikke udelader eller forvansker oplysninger, der er relevante for omfanget af den be-
skrevne behandling af personoplysninger under hensyntagen til, at beskrivelsen er udar- bejdet for at opfylde de almindelige behov hos en bred kreds af dataansvarlige og derfor ikke kan omfatte ethvert aspekt ved behandlingen af personoplysninger, som den enkelte dataansvarlige måtte anse for vigtigt efter deres særlige forhold.
b) De kontroller, der knytter sig t il de kontrolmål, der er anført i medfølgende beskrivelse, var hen- sigtsmæssigt udformet pr. 3. juni 2020. Kriterierne anvendt for at give denne udtalelse var, at:
(i) De risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identifi- ceret .
(ii) De identificerede kontroller ville, hvis udført som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål.
c) Der er etableret og opretholdt passende tekniske og organisatoriske foranstaltninger med hen- blik på at opf ylde aftalerne med de dataansvarlige, god databehandlerskik og relevante krav t il databehandlere i henhold til databeskyttelsesforordningen.
Aarhus, den 8. juni 2020 FirstAgenda A/ S
Xxxxxx Xxxx
Adm. Direktør / CEO
2 Uafhængig revisors erklæring
2.1 Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informat ionssikkerhed og foranst alt ninger i henhold t il First Agendas skabelon for dat abehandleraft ale med
dat aansvarlige.
Til: FirstAgenda og dataansvarlige.
Enkelte af de kontrolmål, der er anført i FirstAgendas beskrivelse af aktiviteter og kontroller, kan kun nås, hvis de komplementerende kontroller hos de dataansvarlige er hensigtsmæssigt udformet og funge- rer effektivt sammen med kontrollerne hos FirstAgenda. Erklæringen omfatter ikke hensigtsmæssighe- den af udformningen af disse komplementerende kontroller.
Vi har ikke udført handlinger vedrørende funktionaliteten af de kontroller, der indgår i beskrivelsen, og udtrykker derfor ingen konklusion herom.
FirstAgenda anvender databehandlerne Amazon Web Services, MarketingPlatform, Rebus FM og Zen- desk A/ S. Erklæringen omfatter ikke aktiviteter og kontroller hos disse databehandlere.
FirstAgenda er ansvarlig for udarbejdelsen af beskrivelsen i sektion 3 og t ilhørende udtalelse i sektion 1, herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelsen er præsente-
ret, for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene samt for at udforme og implementere kontroller for at opnå de anførte kontrolmål.
2.4 Revisors uafhængighed og kvalit etsst yring
Vi har overholdt kravene til uafhængighed og andre etiske krav i FSR – danske revisorers retningslinjer for revisors etiske adfærd (etiske regler for revisorer), der bygger på de grundlæggende principper om integritet, objektivitet, faglig kompetence og fornøden omhu, fortrolighed og professionel adfærd.
Xxxxx & Young anvender ISQC 11 og opretholder derfor et omfattende system for kvalitetsstyring, her- under dokumenterede politikker og procedurer for overholdelse af etiske regler, faglige standarder samt gældende krav ifølge lov og øvrig regulering.
Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om FirstAgendas beskrivelse samt om udformningen og implementeringen af kontroller, der knytter sig t il de kontrolmål, der er an-
ført i denne beskrivelse.
Vi har udført vores arbejde i overensstemmelse med ISAE 3000, Andre erklæringsopgaver med sikker- hed end revision eller review af historiske finansielle oplysninger og yderligere krav ifølge dansk revisor- lovgivning. Denne standard kræver, at vi planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væ- sentlige henseender er hensigt smæssigt udformet og implementeret.
1 ISQC 1 , Kvalitetsstyring i firmaer, som udfører revision og review af regnskaber, andre erklæringsopgaver med sik- kerhed og beslægtede opgaver.
En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen, udformningen og imple- menteringen af kontroller hos en databehandler omfatter udførelse af handlinger for at opnå bevis for oplysningerne i databehandlerens beskrivelse i sektion 3, samt for kontrollernes udformning og imple- mentering. De valgte handlinger afhænger af revisors vur dering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet og implemente- ret. En erklæringsopgave med sikkerhed af denne type omfatter desuden vurdering af den samlede præ- sentation af beskrivelsen, egnetheden af de heri anførte mål samt egnetheden af de kriterier, som
FirstAgenda har specificeret og beskrevet i sektion 1. Som nævnt ovenfor har vi ikke udført handlinger vedrørende funktionaliteten af de kontroller, der indgår i beskrivelsen, og udtrykker derfor ingen konklu- sion herom.
Det er vores opfattelse, at det opnåede bevis er t ilstrækkeligt og egnet til at danne grundlag for vores konklusion.
2.6 Begrænsninger i kontroller hos en dat aansvarlig
FirstAgendas beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af dataan- svarlige og omfatter derfor ikke nødvendigvis alle de aspekter, som hver enkelt dataansvarlig måtte anse for vigtige efter deres særlige forhold. Endvidere vil kontroller hos en databehandler som følge af deres art muligvis ikke forhindre eller opdage alle brud på persondatasikkerheden.
2.7 Konklusion
Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De krite- rier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i ledelsens udta- lelse. Det er vores opfattelse:
a) at beskrivelsen i afsnit 3, således som denne var udformet og implementeret pr. 3. juni 2020, i alle væsentlige henseender er retvisende, og
b) at kontrollerne, som knytter sig t il de kontrolmål, der er anført i beskrivelsen, i alle væsentlige hen- seender var hensigtsmæssigt udformet pr. 3. juni 2020.
2.8 Beskrivelse af t est af kontroller
De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultater af disse t ests fremgår i sektion 4.
2.9 Tilt ænkt e brugere og formål
Denne erklæring og beskrivelsen af test af kontroller i sektion 4 er udelukkende tiltænkt dataansvarlige, der har anvendt FirstAgendas ydelser, som har en tilstrækkelig forståelse t il at overveje den sammen med anden information, herunder information om kontroller, som de dataansvarlige selv har udført, ved vurdering af, om kravene i databeskyttelsesforordningen er overholdt.
Aarhus, den 8. juni 2020
Ernst & Young
Godkendt Revisionspartnerselskab
CVR-nr. 30 70 02 28
Xxx Xxxxxxx
Stat saut. revisor mne nr. 9230
3 Beskrivelse af ydelse t il den dat aansvarlige, der forudsæt t er behandling af personoplysninger
Den dataansvarlige har erhvervet licens t il databehandlerens mødeeffektiviseringssoftware, hvor den dataansvarlige ved brug af softwaren indtaster, uploader, importerer eller på anden vis t ilføjer data,
herunder personoplysninger, til softwaren med henblik på brug, herunder planlægning af møder, admini- st ration af møder og dagsordner i den dataansvarliges organisation, samt distribution af mødedokumen- t ation.
I forbindelse med leveringen af softwareløsningen behandler databehandleren således personoplysnin- ger på vegne af den dataansvarlige efter gældende regler og i overensstemmelse med indgået databe- handleraftale. Behandling af personoplysninger sker inden for EU/ EØS.
3.1 Formålet med dat abehandlerens behandling af personoplysninger på vegne af den dat aansvarlige
Behandling af den dataansvarliges personoplysninger sker med det formål at opfylde den mellem data- behandleren og den dataansvarlige indgåede aftale om databehandlerens levering af mødeeffektivise- ringssoftwareløsningen, den dataansvarlige har tegnet abonnement på.
3.2 Karakt eren af behandlingen
Som ejer og leverandør af softwaren behandler databehandleren ved generel drift, herunder hosting, visning, organisering, modtagelse, videresendelse, strukturering, tilpasning, implementering, søgning, processering, lagring, gendannelse, sletning, begrænsning, vedligeholdelse, udvikling, logning, support, fejlfinding og andre it -ydelser forbundet med at stille softwareløsningen til rådighed, de af den dataan- svarlige t ilføjede personoplysninger.
Beskriv typen af personoplysninger, der behandles:
► FirstAgenda behandler de kategorier af personoplysninger, som den dataansvarlige har instrueret FirstAgenda til og informeret om i databehandleraftalen. Ved brug af løsningen er der dog mulighed for, at den dataansvarlige kan overlade behandling af alt slags data t il First Agenda henset til den dataansvarliges frie mulighed for at uploade eller på anden vis t ilføje løsningen data. Såfremt
FirstAgenda får vished om behandling af typer af personoplysninger, der ikke er forudsat i databe- handleraftale, vil First Agenda underrette den dataansvarlige herom, men det er t il enhver tid den dataansvarliges ansvar korrekt at angive de typer af personoplysninger brugen af løsningen omfat- t er. Det fremhæves, at FirstAgenda ikke foretager kontrol hermed, ligesom FirstAgenda ikke tilgår kundens data uden særskilt samtykke.
Kategorier af registrerede personer omfattet af databehandleraftalen:
► FirstAgenda behandler kun data om de registrerede, som den dataansvarlige har instrueret First- Agenda til og informeret om i databehandleraftalen. Ved brug af løsningen er der dog mulighed for, at den dat aansvarlige kan overlade behandling af personoplysninger om alle person kategorier hen- set t il den dataansvarliges frie mulighed for at uploade eller på anden vis tilføje løsningen data. Så- fremt FirstAgenda får vished om behandling af kategori af personer, der ikke er forudsat i databe- handleraftale, vil First Agenda underrette den dataansvarlige herom, men det er t il enhver tid den dataansvarliges ansvar korrekt at angive de kategorier af personer der er relevante for den dataan- svarliges tiltænkte brug af løsningen. Det fremhæves, at First Agenda ikke foretager kontrol her- med, ligesom First Agenda ikke t ilgår kundens data uden særskilt samtykke.
Behandling af data udgør kernen af den softwareservice vi yder t il vores kunder. Derfor er vores kun- ders tilt ro og tillid til, at vi kan levere vores service på sikker og fortrolig vis også af helt afgørende be- tydning for vores forretningsgrundlag. Vi tager derfor databeskyttelse og GDPR meget alvorligt og har
et kontinuerligt fokus på at behandle vores kunders data sikkert, herunder ved fortløbende forbedring af vores tekniske og organisatoriske sikkerhedsforanstaltninger.
Følgende er en ikke udtømmende liste over vores sikkerhedsforanstaltninger, som foretages henholdsvis af FirstAgenda og/ eller t ilkøbt hos leverandører:
Leverandører:
► Brug af leverandør, der er ISO 27001:2013, 27017:2015, 27018:2014, ISO 9001:2015 certifice- ret t il hosting af softwareløsningen inden for leverandørens EU/ EØS-dataregioner.
► Løbende t jek af softwareløsning og systemer i forhold t il OWASP top 10-sårbarheder.
► Brug af redundantmiljøer til sikring af adgang og kontinuerlig drift af softwareløsning.
► Net værksbeskyttelse mod cyber-attacks samt t ilkobling til Security Operation Center (SOC) via ho- st ingleverandør.
FirstAgenda:
► Daglig backup.
► Fuld TLS- eller HTTPS-kryptering af data i transit og under opbevaring.
► Højeste standard anti-malware og antivirus på systemer.
► Brug af ” ethical hacker” .
► Brug af Multi Factor Authentication-login t il softwareløsning og produktionsmiljø.
► Logning af adgang og handlinger i softwareløsningen og systemer.
► Procedurer for tilgang til produktionsmiljø og adgang til kundedata.
► Baggrundt jek af medarbejdere.
► Genbrug af hardware sker udelukkende ved gendannelse af fabriksindstilling, og destruktion af har dware sker i henhold til markedsstandard herfor, så gendannelse af data ikke er mulig.
► Fysisk sikring af lokaliteter med individuelle adgangsnøglebrikker og koder samt overvågning af fa- ciliteter.
FirstAgenda har foretaget en kortlægning over risikoen for de registreredes rettigheder, herunder en afvejning af disse risici i forhold til de forholdsregler, der er truffet for at beskytte disse rettigheder.
Selve risikovurderingen består af flere dele, herunder:
► En kortlægning af alle de risici, behandlingen medfører, og en kategorisering (scoring, sandsynlig- hed og alvorlighed) heraf.
► En vurdering af, hvad der er passende tekniske og organisatoriske foranstaltninger til at sørge for, at forordningen overholdes, og dette kan dokumenteres.
I FirstAgendas egne risikovurderinger er der ingen høj risiko for de registrerede på tværs af alle typer af registrerede og kategorier af personoplysninger.
3.6 Kont rolforanst alt ninger
FirstAgenda har etableret årshjul t il systematisk måling og kontrol af behandlingssikkerheden. Konklusi- oner på kontroller fra årshjul evalueres løbende og mindst en gang i kvartalet af ledelsen. Krævede og vedtagne forbedringer i forlængelse heraf foretages løbende og underretning herom findes i nyheds- breve til de dataansvarlige. FirstAgenda har etableret en række foranstaltninger og kontroller for at
sikre overholdelse af Databeskyt telsesforordningen og de indgåede databehandleraftaler. De etablerede foranstaltninger og kontroller omfatter følgende kontrolmål:
► Kontrolmål A
Der efterleves procedurer og kontroller, som sikrer, at instruks vedrørende behandling af personop- lysninger efterleves i overensstemmelse med den indgående databehandleraftale.
► Kontrolmål B
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed.
► Kontrolmål C
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organi- satoriske foranstaltninger til sikring af relevant behandlingssikkerhed.
► Kontrolmål D
Der efterleves procedurer og kontroller, som sikrer, at personoplysninger kan slettes eller tilbagele- veres, såfremt der indgås aftale herom med den dataansvarlige.
► Kontrolmål E
Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene opbevarer personop- lysninger i overensstemmelse med aftalen med den dataansvarlige.
► Kontrolmål F
Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabe- handlere, samt at databehandleren ved opfølgning på disses tekniske og organisatoriske foranstalt- ninger t il beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikkerhed.
► Kontrolmål G
Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene overfører personop- lysninger til tredjelande eller internationale organisationer i overensstemmelse med aftalen med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag.
► Kontrolmål H
Der efterleves procedurer og kontroller, som sikrer, at databehandleren kan bistå den dataansvar- lige med udlevering, rettelse, sletning eller begrænsning af oplysninger om behandling af personop- lysninger til den registrerede.
► Kontrolmål I
Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale.
Der henvises i øvrigt til afsnit 4, hvor de konkrete kontrolaktiviteter er beskrevet.
3.7 Komplement erende kont roller hos de dat aansvarlige
Foruden databehandlerens kontrolforanstaltninger er det den dataansvarliges ansvar at sikre følgende:
Eft ersom det udelukkende er den dataansvarlige, der ved brug af softwaren ensidigt indtaster, uploader, importerer eller på anden vis tilføjer data, herunder personoplysninger, til softwaren, skal den dataan- svarlige sikre sig, at brugen af løsningen alene sker i henhold t il typerne af regist rerede og kategorierne af personoplysninger, der er indgået af tale om i den mellem parterne indgåede dat abehandleraftale.
Ved anmodning om support er det ligeledes den dataansvarliges ansvar at sikre, at der alene gives ad- gang t il eller deles sådanne oplysninger, som løsningen af supporthenvendelsen forudsætter.
Den dataansvarlige skal sikre sig, at instruksen er lovlig set i forhold t il den til enhver tid gældende per- sondataretlige regulering samt sikre sig, at inst xxxxxx er hensigt smæssig set i forhold til den indgåede abonnementsaf tale om levering af softwareløsningen og den databehandleraftale, der ligeledes er ind- gået i den forbindelse.
Den datasvarlige skal endvidere sikre sig, at den dataansvarliges brugere er ajourførte og således slette, opdatere eller deaktivere brugere løbende.
Løsningen understøtter brug af TLS 1.2-kryptering, men den dataansvarlige er ansvarlig for at sikre in- st allation af behørig upload client for at sikre brug af denne krypteringsstandard og ikke tidligere versio- ner. FristAgenda kan bistå hermed.
Ved valg af løsningen er den dataansvarlig bekendt med funktionen for sletning af data. Løsningen un- derstøtter og forudsætter således, at den dataansvarlig selv skal udøve sletning eller tilbagetrækning af data, herunder t ilføjet personoplysninger. Den dataansvarlige kan ved anmodning herom lade First- Agenda forestå dette som nærmere beskrevet i indgået databehandleraftale.
Løsningen understøtter ligeledes den dataansvarliges ansvar ved anmodninger fra registrerede, som den dataansvarlige således selv vil kunne opfylde, dog således at FirstAgenda anerkender sin pligt t il at bistå ved anmodninger herom.
I dette afsnit beskrives de af FirstAgenda definerede kontrolmål og tilknyttede kontroller, som sikrer op- nåelse af de enkelte kontrolmål. Herudover beskrives de af EY udførte faktiske tests af First Agendas kontroller samt resultaterne af de udførte tests.
Vores arbejde blev gennemført i overensstemmelse med ISAE 3000, Andre erklæringsopgaver med sik- kerhed end revision eller review af historiske finansielle oplysninger.
Vores test af kontrollers udformning og implementering har omfattet de kontrolmål og tilknyttede kon- troller, der er udvalgt af ledelsen, og som fremgår nedenfor. Eventuelle andre kontrolmål, tilknyttede kontroller og kontroller hos First Agendas kunder, der anvender løsningen, beskrevet i afsnit 1, er ikke omfattet af vores test.
Vores test af implementering har omfattet de kontroller, som blev vurderet nødvendige for at kunne opnå høj grad af sikkerhed for, at de anførte kontrolmål blev nået pr. 3. juni 2020.
De udførte tests i forbindelse med fastlæggelsen af kontrollers udformning og effektivitet er beskrevet nedenfor:
Inspekt ion | Gennemlæsning af dokumenter og rapporter, som indeholder angivelse omkring udførelse af kontrollen. Dette omfatter bl.a. gennemlæsning af og stillingtagen til rapporter og anden dokumentation for at vurdere, om specifikke kontroller er de- signet , så de kan forventes at blive effektive, hvis de implementeres. Endvidere vurderes det, om kontroller overvåges og kontrolleres t ilstrækkeligt og med pas- sende intervaller. |
Forespørgsler | Forespørgsel af passende personale hos FirstAgenda. Forespørgsler har omfattet spørgsmål om, hvordan kontroller udføres. |
Observat ion | Vi har observeret kontrollens udførelse. |
Kont rolmål A
Der eft erleves procedurer og kont roller, som sikrer, at inst ruks vedrørende behandling af personoplysninger eft erleves i overensst emmelse med den indgående dat abehandleraft ale.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
A.1 Der foreligger skriftlige procedurer, som indeholder krav om, at der alene må foretages behandling af personoplysninger, når der foreligger en instruks.
Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdat eres.
Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at behandling af personoplys- ninger alene foregår i henhold t il instruks.
Inspiceret, at procedurerne indeholder krav om minimum årlig vur dering af behov for opdate-
ring, herunder ved ændringer i dataansvarliges instruks eller ændringer i databehandlingen.
Inspiceret, at procedurer er opdateret.
Ingen afvigelser konstateret.
A.2 Databehandler udfører alene den behandling af personoplys- ninger, som fremgår af instruks fra dataansvarlig.
Inspiceret, at der er etableret procedurer for re- gistrering af henvendelser fra kunderne til sik-
ring af, at behandling af personoplysninger alene foregår i henhold til instruks.
Ingen afvigelser konstateret.
A.3 Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestem- melser i anden EU-ret eller medlemsstaternes nationale ret.
Inspiceret, at der foreligger formaliserede proce- durer, der sikrer kontrol af, at behandling af per- sonoplysninger ikke er i strid med databeskyttel- sesforordningen eller anden lovgivning.
Inspiceret, at der er procedurer for underretning af den dataansvarlige, i tilfælde hvor behandling af personoplysninger vurderes at være i strid med lovgivningen.
Forespurgt, om den dataansvarlige er underret- t et i tilfælde, hvor behandlingen af personoplys- ninger er vur deret i strid med lovgivningen.
Ingen afvigelser konstateret.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
B.1 Der foreligger skriftlige retningslinjer, som indeholder krav om, at der etableres aftalte sikringsforanstaltninger for be- handling af personoplysninger i overensstemmelse med afta- len med den dataansvarlige.
Der foretages løbende – og mindst en gang årligt – vurdering af, om retningslinjerne skal opdateres.
Inspiceret, at der er retningslinjer, der sikrer, at der etableres sikkerhedsforanstaltninger i over- ensstemmelse med skabelon for databehandler - af tale.
Ingen afvigelser konstateret.
B.2 Databehandleren har foretaget en risikovurdering og på bag- grund heraf implementeret de tekniske foranstaltninger, der er vurderet relevante for at opnå en passende sikkerhed, her- under etableret de med dataansvarlige aftalte sikringsforan- st altninger.
Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at databehandler foretager en risikovurdering for at opnå en passende sikker- hed.
Inspiceret, at den foretagne risikovurdering er opdateret og omfatter den aktuelle behandling af personoplysninger.
Inspiceret, at databehandler har implementeret de tekniske foranstaltninger, som sikrer en pas- sende sikkerhed i overensstemmelse med risiko- vurderingen.
Inspiceret, at databehandler har implementeret de sikringsforanstaltninger, der er aftalt med de dataansvarlige.
Ingen afvigelser konstateret.
B.3 Der er for de systemer og databaser, der anvendes til be- handling af personoplysninger, installeret antivirus, som lø- bende opdateres.
Inspiceret, at der for de systemer og databaser, der anvendes t il behandling af personoplysnin- ger, er installeret antivirussoftware.
Inspiceret, at antivirussoftware er opdateret.
Ingen afvigelser konstateret.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
B.4 Ekst ern adgang t il systemer og databaser, der anvendes t il behandling af personoplysninger, sker gennem VPN.
Inspiceret, at ekstern adgang t il systemer og da- t abaser, der anvendes til behandling af person- oplysninger, alene sker gennem en VPN.
Inspiceret t ildelt administrativ adgang til at vedli- geholde firewall-konfiguration og -regelsæt.
Ingen afvigelser konstateret.
B.5 Int erne netværk er segmenteret for at sikre begrænset ad- gang t il systemer og databaser, der anvendes til behandling af personoplysninger.
Forespurgt , om interne netværk er segmenteret med henblik på at sikre begrænset adgang til sy- st emer og databaser, der anvendes til behand- ling af personoplysninger.
Inspiceret opsæt ningen af VPN, som anvendes til segmentering af netværk for at sikre begrænset adgang t il systemer og databaser med personop- lysninger.
Ingen afvigelser konstateret.
B.6 Adgang til personoplysninger er isoleret t il brugere med ar- bejdsbetinget behov herfor.
Forespurgt, om der foreligger procedurer for be- grænsning af brugeres adgang t il personoplys- ninger.
Forespurgt , om der foreligger formaliserede pro- cedurer for opfølgning på, at brugeres adgang t il personoplysninger er i overensstemmelse med deres arbejdsbetingede behov.
Forespurgt , om de aftalte tekniske foranstaltnin- ger understøtter opretholdelsen af begrænsnin- gen i brugernes arbejdsbetingede adgang t il per- sonoplysninger.
Inspiceret, at brugeres adgange til systemer og databaser er begrænset t il medarbejdernes ar- bejdsbetingede behov.
Vi har konstateret, at udviklere har et ar- bejdsbetinget behov for at have adgang til produktionsmiljøet
Ingen yderligere afvigelser konstateret.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
B.7 Der er for de systemer og databaser, der anvendes til be- handling af personoplysninger, etableret systemovervågning med alarmering. Overvågningen omfatter:
► Overvågningsalarmer
Inspiceret, at der for systemer og databaser, der anvendes t il behandling af personoplysning, er etableret systemovervågning med alarmering.
Forespurgt , om der er sker opfølgning, samt at
forholdet er meddelt de dataansvarlige i behørigt omfang.
Ingen afvigelser konstateret.
B.8 Der anvendes effektiv kryptering ved transmission af fortro- lige og følsomme personoplysninger via internettet og med e- mail.
Forespurgt , om transmission af følsomme og for- trolige oplysninger over internettet er beskyttet af kryptering.
Forespurgt , om teknologiske løsninger til krypte- ring har været t ilgængelige og aktiveret.
Forespurgt , om firewall kun tillader krypteret da- t atrafik.
Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at transmission af følsomme og fortrolige oplysninger over internettet er beskyt- t et af stærk kryptering baseret på en anerkendt algorit me.
Ingen afvigelser konstateret.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
B.9 Der er etableret logning i systemer, databaser og netværk af følende forhold:
► Aktiviteter, der udføres af systemadministratorer og an- dre med særlige rettigheder.
► Sikkerhedshændelser omfattende:
- Ændringer i logopsætninger, herunder deaktivering af logning.
- Ændringer i systemrettigheder t il brugere.
- Fejlede forsøg på log-on til systemer, databaser og netværk.
Logoplysninger er beskyttet mod manipulation og tekniske fejl.
Forespurgt til opsætning af logning af brugerak- tivit et er i systemer, databaser og netværk, der anvendes t il behandling og transmission af per- sonoplysninger, herunder gennemgang og op-
følgning på logs.
Inspiceret eksempel på logning af brugeraktivite- t er i operativsystemer, der anvendes til behand- ling af personoplysninger.
Inspiceret, at opsamlede oplysninger om bruger- akt ivitet i logs er beskyttet mod sletning og ma- nipulation.
Ingen afvigelser konstateret.
B.10 Personoplysninger, der anvendes til udvikling, test eller lig- nende, sker altid efter aftale med dataansvarlig. Anvendelse sker alene for at varetage den ansvarliges formål i henhold til af tale og på dennes vegne.
Forespurgt til procedurer for anvendelse af per- sonoplysninger t il udvikling, test og lignende, der sikrer, at anvendelsen alene varetages i henhold til aftalen.
Ingen afvigelser konstateret.
B.11 De etablerede tekniske foranstaltninger testes løbende ved sårbarhedsscanninger og/ eller penetrationstests.
Forespurgt , om der løbende foretages sårbar- hedsscanninger og/ eller penetrationstests.
Inspiceret seneste penetrationstest.
Inspiceret, at event uelle afvigelser og svagheder i de tekniske foranstaltninger er rettidigt og be- tryggende håndt eret samt meddelt de dat aan- svarlige i behørigt omfang.
Ingen afvigelser konstateret.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
B.12 Ændringer til systemer, databaser og netværk følger fast- lagte procedurer, som sikrer vedligeholdelse med relevante opdateringer og patches, herunder sikkerhedspatches.
Inspiceret, at der foreligger formaliserede proce- durer for håndtering af ændringer t il systemer, databaser og netværk, herunder håndtering af
relevante opdateringer, patches og sikkerheds- patches.
Forespurgt , om de tekniske sikkerhedsparamet re og -opsætninger i systemer, databaser og net- værk er opdateret med aftalte ændringer og re- levante opdateringer, patches og sikkerhedspat- ches.
Ingen afvigelser konstateret.
B.13 Der er formaliseret forretningsgang for t ildeling og afbry- delse af brugeradgange til personoplysninger. Brugeres ad- gang revurderes regelmæssigt, herunder at rettigheder fort- sat kan begrundes i et arbejdsbetinget behov.
Inspiceret, at der foreligger procedurer for tilde- ling og afbrydelse af brugernes adgang til syste- mer og databaser, som anvendes t il behandling af personoplysninger.
Forespurgt , om der foretages regelmæssig vur- dering og godkendelse af tildelte brugeradgange.
Ingen afvigelser konstateret.
B.14 Adgang til systemer og databaser, hvori der sker behandling af personoplysninger, der medfører højrisiko for de registre- rede, sker som minimum ved anvendelse af to-faktor-autenti- fikation.
Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at to-faktor-autentifikation an- vendes ved behandling af personoplysninger, der medfører højrisiko for de registrerede.
Inspiceret, at brugernes adgang til at udføre be- handling af personoplysninger, der medfører høj- risiko for de registrerede, alene kan ske ved an- vendelse af to-faktor-autentifikation.
Ingen afvigelser konstateret.
B.15 Der er etableret f ysisk adgangssikkerhed, således at kun au- toriserede personer kan opnå fysisk adgang til lokaler, hvori der opbevares og behandles personoplysninger.
Forespurgt , om det kun er autoriserede perso- ner, der har fysisk adgang til lokaler og datacen- tre, hvori der opbevares og behandles personop- lysninger.
Ingen afvigelser konstateret.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
C.1 Databehandlerens ledelse har godkendt en skriftlig informati- onssikkerhedspolitik, som er kommunikeret til alle relevante interessenter, herunder databehandlerens medarbejdere. It - sikkerhedspolit ikken tager udgangspunkt i den gennemførte risikovurdering.
Der foretages løbende – og mindst en gang årligt – vurdering af, om it -sikkerhedspolitikken skal opdateres.
Inspiceret, at der foreligger en informationssik- kerhedspolitik, som ledelsen har behandlet og godkendt inden for det seneste år.
Inspiceret dokumentation for, at informationssik- kerhedspolitikken er kommunikeret t il relevante interessenter, herunder databehandlerens med- arbejdere.
Ingen afvigelser konstateret.
C.2 Databehandlerens ledelse har sikret, at informationssikker- hedspolitikken ikke er i modstrid med indgåede databehand- leraftaler.
Inspiceret dokumentation for ledelsens vurde- ring af, at informationssikkerhedspolitikken ge-
nerelt lever op til kravene om sikringsforanstalt- ninger og behandlingssikkerheden i indgåede da- t abehandleraftaler.
Ingen afvigelser konstateret.
C.3 Der udføres en efterprøvning af databehandlerens medarbej- dere i forbindelse med ansættelse. Efterprøvningen omfatter i relevant omfang:
► Referencer fra t idligere ansættelser
► Straffeat test
► Eksamensbeviser
Inspiceret, at der foreligger formaliserede proce- durer, der sikrer efterprøvning af databehandle- rens medarbejdere i forbindelse med ansættelse.
FirstAgenda har oplyst , at der ikke har væ- ret nogle ansættelser efter implemente-
ring af procedure for efterprøvning. Ingen afvigelser konstateret.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
C.4 Ved ansættelse underskriver medarbejdere en fortroligheds- af tale. Endvidere bliver medar bejderen introduceret t il infor- mationssikkerhedspolitik og procedurer vedrørende databe- handling samt anden relevant information i forbindelse med medarbejderens behandling af personoplysninger.
Forespurgt , om nyansatte medarbejdere har un- derskrevet en fortrolighedsaftale.
Forespurgt , om nyansatte medarbejdere er ble- vet introduceret til:
► Informat ionssikkerhedspolitikken.
► Procedurer vedrørende databehandling, samt anden relevant information.
Ingen afvigelser konstateret.
C.5 Ved fratrædelse er der hos databehandleren implementeret en proces, som sikrer, at brugerens ret tigheder bliver inak- tive eller ophører, herunder at aktiver inddrages.
Inspiceret procedurer, der sikrer, at fratrådte medarbejderes rettigheder inaktiveres eller op- hører ved fratrædelse, og at aktiver som ad- gangskort, pc, mobiltelefon osv. inddrages
Inspiceret, at fratrådte medarbejderes rettighe- der er inaktiveret eller ophørt, samt at aktiver er inddraget.
Ingen afvigelser konstateret.
C.6 Ved fratrædelse orienteres medarbejderen om, at den under- skrevne fortrolighedsaft ale fortsat er gældende, samt at med- arbejderen er underlagt en generel tavshedspligt i relat ion til behandling af personoplysninger, databehandleren udfører
for de dataansvarlige.
Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at fratrådte medarbejdere gø- res opmærksom på opretholdelse af fortrolig- hedsaftalen og generel tavshedspligt.
Inspiceret, at ansættelseskontrakten indeholder retningslinjer for, at medarbejdere er underlagt t avshedspligt efter ophørt samarbejde.
Ingen afvigelser konstateret.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
C.7 Der gennemføres løbende awareness-træning af databehand- lerens medarbejdere i relation t il it -sikkerhed generelt samt behandlingssikkerhed i relation til personoplysninger.
Inspiceret, at databehandleren udbyder aware- ness-træning til medarbejderne omfattende ge- nerel it -sikkerhed og behandlingssikkerhed i rela- tion til personoplysninger.
Inspiceret dokumentation for, at alle medarbej- dere, som enten har adgang til eller behandler personoplysninger, har gennemført den udbudte awareness-træning.
Ingen afvigelser konstateret.
Kont rolmål D
Der eft erleves procedurer og kont roller, som sikrer, at personoplysninger kan slet tes eller t ilbageleveres, såfremt der indgås aft ale herom med den dataansvar- lige.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
D.1 Der foreligger skriftlige procedurer, som indeholder krav om, at der foretages opbevaring og sletning af personoplysninger i overensstemmelse med aftalen med den dataansvarlige.
Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdat eres.
Inspiceret, at der foreligger formaliserede proce- durer for opbevaring og sletning af personoplys- ninger i overensst emmelse med aftalen med den dataansvarlige.
Inspiceret, at procedurerne er opdateret.
Ingen afvigelser konstateret.
D.2 ► Krav til databehandlerens opbevaringsperioder og slette- rutiner er så vidt muligt implementeret i systemet.
D.3 Ved ophør af behandling af personoplysninger for den data- ansvarlige er data i henhold til af talen med den dataansvar- lige:
► Tilbageleveret til den dataansvarlige og/ eller
► Slettet, hvor det ikke er i modstrid med anden lovgivning.
Inspiceret, at de foreliggende procedurer for op- bevaring og sletning indeholder de specifikke krav til databehandlerens opbevaringsperioder og sletterutiner.
Forespurgt til regler for opbevaringsperioder og slet terutiner implementeret i syst emet.
Inspiceret, at der foreligger formaliserede proce- durer for behandling af den dataansvarliges data ved ophør af behandling af personoplysninger.
Ingen afvigelser konstateret.
Ingen afvigelser konstateret.
Kont rolmål E
Der eft erleves procedurer og kont roller, som sikrer, at databehandleren alene opbevarer personoplysninger i overensst emmelse med aft alen med den dat aansvarlige.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
E.1 Der er etableret procedurer, som sikrer, at der alene opbeva- res personoplysninger i overensstemmelse med aftalen med den dataansvarlige.
Der er krav om løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdat eres.
Forespurgt , om der alene foretages opbevaring og behandling af personoplysninger i henhold t il databehandleraftalerne.
Inspiceret, at procedurerne er opdateret.
FirstAgenda har oplyst , at det er den data- ansvarlige, der registrerer og er ansvar- lige for data i systemet.
Ingen afvigelser konstateret.
E.2 Databehandlerens databehandling inklusive opbevaring må kun finde sted på de af den dataansvarlige godkendte lokalite- t er, lande eller landområder.
Inspiceret, at databehandleren har en samlet og opdateret oversigt over behandlingsaktiviteter med angivelse af lokaliteter, lande eller landom- råder.
Ingen afvigelser konstateret.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
F.1 Der foreligger skriftlige procedurer, som indeholder krav til databehandleren ved anvendelse af underdatabehandlere, herunder krav om underdatabehandleraftaler og instruks.
Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdat eres.
Inspiceret, at der foreligger formaliserede proce- durer for anvendelse af underdatabehandlere, herunder krav om underdatabehandleraftaler og instruks.
Inspiceret, at procedurerne er opdateret.
Ingen afvigelser konstateret.
F.2 Databehandleren anvender alene underdatabehandlere til be- handling af personoplysninger, der er specifikt eller generelt godkendt af den dataansvarlige.
Inspiceret, at databehandleren har en samlet og opdateret oversigt over anvendte underdatabe- handlere.
Inspiceret, at underdatabehandlere fra databe- handlerens oversigt over underdatabehandlere fremgår af databehandleraftalerne.
Ingen afvigelser konstateret.
F.3 Ved ændringer i anvendelsen af generelt godkendte underda- t abehandlere underrettes den dat aansvarlige rettidigt i for- hold til at kunne gøre indsigelse gældende og/ eller trække persondata tilbage fra databehandleren. Ved ændringer i an- vendelse af specifikt godkendte underdatabehandlere er
dette godkendt af den dataansvarlige.
Inspiceret, at der foreligger formaliserede proce- durer for underretning til den dataansvarlige ved ændringer i anvendelse af underdatabehandlere.
Forespurgt , om dataansvarlige er underrettet ved ændring i anvendelse af underdatabehand- lerne i erklæringsperioden.
Ingen afvigelser konstateret.
F.4 Databehandleren har pålagt underdatabehandleren de samme databeskyt telsesforpligtelser som dem, der er forud- sat i databehandleraftalen el.lign. med den dataansvarlige.
Inspiceret, at der foreligger underskrevne under- databehandleraftaler med anvendte underdata- behandlere, som fremgår af databehandlerens oversigt.
Inspiceret, at underdatabehandleraftaler inde- holder samme krav og forpligtelser, som er an- ført i databehandleraftalerne mellem de dataan- svarlige og databehandleren.
Ingen afvigelser konstateret.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
F.5 Databehandleren har en oversigt over godkendte underdata- behandlere med angivelse af:
► Navn
► CVR-nr.
► Adresse
► Beskrivelse af behandlingen
Inspiceret, at databehandleren har en samlet og opdateret oversigt over anvendte og godkendte underdatabehandlere.
Inspiceret, at oversigten som minimum indehol- der de krævede oplysninger om de enkelte un- derdatabehandlere.
Ingen afvigelser konstateret.
F.6 Databehandleren foretager på baggrund af ajourført risiko- vurdering af den enkelte underdatabehandler og den aktivi-
t et, der foregår hos denne, løbende opfølgning herpå ved mø- der, inspektioner, gennemgang af revisionserklæring eller lig- nende. Den dataansvarlige orienteres om den opfølgning, der er foret aget hos underdat abehandleren.
Inspiceret, at der foreligger formaliserede proce- durer for opfølgning på behandlingsaktiviteter hos underdatabehandlerne og overholdelse af underdatabehandleraftalerne.
Inspiceret dokumentation for, at der er foretaget en risikovurdering af den enkelte underdatabe- handler og den aktuelle behandlingsaktivitet hos denne.
Inspiceret dokumentation for, at der er foretaget behørig opfølgning på tekniske og organisatori- ske foranstaltninger, behandlingssikkerheden hos de anvendte underdatabehandlere, tredje- lands overførselsgrundlag og lignende.
Inspiceret dokumentation for, at information om opfølgning hos underdatabehandlere meddeles den dataansvarlige, således at denne kan tilret- t elægge eventuelt tilsyn.
Ingen afvigelser konstateret.
Kont rolmål G
Der eft erleves procedurer og kont roller, som sikrer, at databehandleren alene overfører personoplysninger t il t redjelande eller int ernationale organisat ioner i overensst emmelse med aft alen med den dat aansvarlige på baggrund af et gyldigt overførselsgrundlag.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
G.1 Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren alene overfører personoplysninger til
tredjelande eller internationale organisationer i overensstem- melse med aftalen med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag.
Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdat eres.
Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at personoplysninger alene overføres til tredjelande eller internationale or- ganisationer i henhold t il aftale med den dataan- svarlige på baggrund af et gyldigt overførsels- grundlag.
Inspiceret, at procedurerne er opdateret.
Ingen afvigelser konstateret.
G.2 Databehandleren må kun overføre personoplysninger t il tred- jelande eller internationale organisationer efter instruks fra den dataansvarlige.
Inspiceret, at databehandleren har en samlet og opdateret oversigt over overførsler af personop- lysninger til tredjelande eller internationale orga- nisationer.
Ingen afvigelser konstateret.
G.3 Databehandleren har i forbindelse med overførsel af person- oplysninger t il tredjelande eller internationale organisationer vurderet og dokumenteret, at der eksisterer et gyldigt over- førselsgrundlag.
Forespurgt , om der foreligger formaliserede pro- cedurer for sikring af et gyldigt overførsels- grundlag.
Ingen afvigelser konstateret.
Kont rolmål H
Der eft erleves procedurer og kont roller, som sikrer, at databehandleren kan bist å den dataansvarlige med udlevering, ret telse, sletning eller begrænsning af oplysninger om behandling af personoplysninger t il den regist rerede.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
H.1 Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren skal bistå den dat aansvarlige i relation t il de registreredes rettigheder.
Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdat eres.
Inspiceret, at der foreligger formaliserede proce- durer for databehandlerens bistand af den data- ansvarlige i relat ion til de registreredes rettighe- der.
Ingen afvigelser konstateret.
H.2 Databehandleren, i det omfang dette er aftalt, muliggør en
rettidig bistand til den dataansvarlige i relation til udlevering, rettelse, sletning eller begrænsning af og oplysning om be- handling af personoplysninger til den registrerede.
Forespurgt , hvorledes databehandleren bistår den dataansvarlige i relation t il de registreredes rettigheder.
Ingen afvigelser konstateret.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
I.1 Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren skal underrette de dataansvarlige ved brud på persondatasikkerheden.
Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdat eres.
Inspiceret, at der foreligger formaliserede proce- durer, der indeholder krav t il underretning af de dataansvarlige ved brud på persondatasikkerhe- den.
Ingen afvigelser konstateret.
I.2 Databehandleren har etableret følgende kontroller for identi- fikation af eventuelle brud på persondatasikkerheden:
► Awareness hos medarbejdere.
► Overvågning af netværkstrafik.
► Opfølgning på logning af tilgang til personoplysninger.
Inspiceret, at databehandler udbyder awareness- træning til medarbejderne i relation til identifika- tion af eventuelle brud på persondat asikkerhe- den.
Forespurgt, om netværkstrafik overvåges, samt at der sker opfølgning på anormaliteter, over- vågningsalarmer, overførsel af store filer m.v.
Forespurgt , om der sker rettidig opfølgning på logning af adgang til personoplysninger, herun- der opfølgning på gentagne forsøg på adgang.
Ingen afvigelser konstateret.
I.3 Databehandleren har ved eventuelle brud på persondatasik- kerheden underrettet den dataansvarlige uden unødig forsin- kelse og senest 48 timer efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databe- handleren eller en underdatabehandler.
Inspiceret, at databehandleren har en oversigt over sikkerhedshændelser med angivelse af, om den enkelte hændelse har medført brud på per- sondatasikkerheden.
Forespurgt underdatabehandlerne, om de har konstateret nogen brud på persondatasikkerhe- den i erklæringsperioden.
Inspiceret, at databehandleren har medtaget event uelle brud på persondat asikkerheden hos underdatabehandlere i databehandlerens over- sigt over sikkerhedshændelser.
Ingen afvigelser konstateret.
Nr. Dat abehandlerens kontrolaktivitet Revisors udførte test Result at af revisors test
Inspiceret, at samtlige registrerede brud på per- sondatasikkerheden hos databehandleren eller underdatabehandlerne er meddelt de berørte da- t aansvarlige uden unødig forsinkelse og senest
48 t imer efter, at databehandleren er blevet op- mærksom på brud på persondatasikkerheden.
I.4 Databehandleren har etableret procedurer for bistand til den dataansvarlige ved dennes anmeldelse t il Datatilsynet:
► Karakteren af bruddet på persondatasikkerheden.
► Sandsynlige konsekvenser af bruddet på persondatasik- kerheden.
► Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden.
Inspiceret, at de foreliggende procedurer for un- derretning af de dataansvarlige ved brud på per- sondatasikkerheden indeholder detaljerede pro- cedurer for:
► Beskrivelse af karakteren af bruddet på per- sondatasikkerheden.
► Beskrivelse af sandsynlige konsekvenser af bruddet på persondatasikkerheden.
► Beskrivelse af foranstaltninger, som er truf- fet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden.
Inspiceret dokumentation for, at de foreliggende procedurer understøtter, at der træffes foran-
st altninger for håndtering af bruddet på person- datasikkerheden.
Inspiceret dokumentation for, at der ved brud på persondatasikkerheden er truffet foranstaltnin- ger, som har håndteret bruddet på persondata- sikkerheden.
Ingen afvigelser konstateret.
Bilag 1
Standardkontraktsbestemmelser
i henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordningen) med hen- blik på databehandlerens behandling af personoplysninger
mellem [NAVN]
CVR [CVR-NR] [ADRESSE] [POSTNUMMER OG BY] [LAND]
herefter ”den dataansvarlige” og
FirstAgenda A/S CVR 37098922
Xxxxx Xxxxxx Vej 44D 8230 Åbyhøj Danmark
herefter ”databehandleren”
der hver især er en ”part” og sammen udgør ”parterne”
HAR AFTALT følgende standardkontraktsbestemmelser (Bestemmelserne) med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske per- soners grundlæggende rettigheder og frihedsrettigheder
1. Indhold
3. Den dataansvarliges rettigheder og forpligtelser 3
4. Databehandleren handler efter instruks 4
7. Anvendelse af underdatabehandlere 5
8. Overførsel til tredjelande eller internationale organisationer 6
9. Bistand til den dataansvarlige 7
10. Underretning om brud på persondatasikkerheden 8
11. Sletning og returnering af oplysninger 8
12. Revision, herunder inspektion 9
13. Parternes aftale om andre forhold 9
15. Kontaktpersoner hos den dataansvarlige og databehandleren 10
Bilag A Oplysninger om behandlingen 11
Bilag B Underdatabehandlere 13
Bilag C Instruks vedrørende behandling af personoplysninger 15
2. Præambel
1. Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige.
2. Disse bestemmelser er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen).
3. I forbindelse med leveringen af licens til databehandlerens mødeeffektiviseringssoft- ware behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse Bestemmelser.
4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
5. Der hører fire bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
6. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, her- under om behandlingens formål og karakter, typen af personoplysninger, kategori- erne af registrerede og varighed af behandlingen.
7. Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af un- derdatabehandlere og en liste af underdatabehandlere, som den dataansvarlige har godkendt brugen af.
8. Bilag C indeholder den dataansvarliges instruks for så vidt angår databehandlerens behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
9. Bilag D indeholder bestemmelser vedrørende andre aktiviteter, som ikke af omfattet af Bestemmelserne.
10. Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.
11. Disse Bestemmelser frigør ikke databehandleren fra forpligtelser, som databehandle- ren er pålagt efter databeskyttelsesforordningen eller enhver anden lovgivning.
3. Den dataansvarliges rettigheder og forpligtelser
1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (se forordningens artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes1 nationale ret og disse Bestemmelser.
2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.
3. Den dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlings- grundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage.
4. Databehandleren handler efter instruks
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemssta- ternes nationale ret, som databehandleren er underlagt. Denne instruks skal være specificeret i bilag A og C. Efterfølgende instruks kan også gives af den dataansvar- lige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Be- stemmelser.
2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbe- stemmelser i anden EU-ret eller medlemsstaternes nationale ret.
5. Fortrolighed
1. Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer, som er underlagt databehandlerens instruktions- beføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbe- stemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødven- dig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.
2. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er underlagt databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.
6. Behandlingssikkerhed
1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databe- handleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsom- kostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers ret- tigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici.
Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og friheds- rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
a. Pseudonymisering og kryptering af personoplysninger
b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og ro- busthed af behandlingssystemer og -tjenester
c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personop- lysninger i tilfælde af en fysisk eller teknisk hændelse
d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effekti- viteten af de tekniske og organisatoriske foranstaltninger til sikring af behand- lingssikkerhed.
2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvar- lige – også vurdere risiciene for fysiske personers rettigheder som behandlingen ud- gør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici.
3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes over- holdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren alle- rede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forord- ningens artikel 32.
Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som da- tabehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.
7. Anvendelse af underdatabehandlere
1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesfor- ordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).
2. Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af disse Bestemmelser uden forudgående generel skriftlig godkendelse fra den data- ansvarlige.
3. Databehandleren har den dataansvarliges generelle godkendelse til brug af underda- tabehandlere. Databehandleren skal skriftligt underrette den dataansvarlige om even- tuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehand- lere med mindst 30 dages varsel og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden brugen af de(n) omhandlede under- databehandler(e). Længere varsel for underretning i forbindelse med specifikke be- handlingsaktiviteter kan angives i bilag B. Listen over underdatabehandlere, som den dataansvarlige allerede har godkendt, fremgår af bilag B.
4. Når databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, skal databehand- leren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller
medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databe- skyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen.
Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som mi- nimum overholder databehandlerens forpligtelser efter disse Bestemmelser og data- beskyttelsesforordningen.
5. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter den dataansvarliges anmodning herom – i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommer- cielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabe- handleraftalen, skal ikke sendes til den dataansvarlige.
6. Databehandleren skal i sin aftale med underdatabehandleren indføje den dataansvar- lige som begunstiget tredjemand i tilfælde af databehandlerens konkurs, således at den dataansvarlige kan indtræde i databehandlerens rettigheder og gøre dem gæl- dende over for underdatabehandlere, som f.eks. gør den dataansvarlige i stand til at instruere underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
7. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af under- databehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, over for den dataansvarlige og databehandleren, herunder underdatabehandle- ren.
8. Overførsel til tredjelande eller internationale organisationer
1. Enhver overførsel af personoplysninger til tredjelande eller internationale organisati- oner må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyt- telsesforordningens kapitel V.
2. Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foretage af den dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandle- ren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underret- ning af hensyn til vigtige samfundsmæssige interesser.
3. Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således ikke inden for rammerne af disse Bestemmelser:
a. overføre personoplysninger til en dataansvarlig eller databehandler i et tred- jeland eller en international organisation
b. overlade behandling af personoplysninger til en underdatabehandler i et tred- jeland
c. behandle personoplysningerne i et tredjeland
4. Den dataansvarliges instruks vedrørende overførsel af personoplysninger til et tred- jeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.6.
5. Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Be- stemmelser kan ikke udgøre et grundlag for overførsel af personoplysninger som om- handlet i databeskyttelsesforordningens kapitel V.
9. Bistand til den dataansvarlige
1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltnin- ger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordnin- gens kapitel III.
Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
a. oplysningspligten ved indsamling af personoplysninger hos den registre- rede
b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den regi- strerede
c. indsigtsretten
d. retten til berigtigelse
e. retten til sletning (”retten til at blive glemt”)
f. retten til begrænsning af behandling
g. underretningspligten i forbindelse med berigtigelse eller sletning af person- oplysninger eller begrænsning af behandling
h. retten til dataportabilitet
i. retten til indsigelse
j. retten til ikke at være genstand for en afgørelse, der alene er baseret på au- tomatisk behandling, herunder profilering
2. I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til Bestemmelse 6.3., bistår databehandleren endvidere, under hensyntagen til behand- lingens karakter og de oplysninger, der er tilgængelige for databehandleren, den da- taansvarlige med:
a. den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt se- nest 72 timer, efter at denne er blevet bekendt med det, at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden in- debærer en risiko for fysiske personers rettigheder eller frihedsrettigheder
b. den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettighe- der
c. den dataansvarliges forpligtelse til forud for behandlingen at foretage en ana- lyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger (en konsekvensanalyse)
d. den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndig- hed, Datatilsynet, inden behandling, såfremt en konsekvensanalyse vedrø- rende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.
3. Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltnin- ger, hvormed databehandleren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af Bestemmelse 9.1. og 9.2.
10. Underretning om brud på persondatasikkerheden
1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
2. Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 48 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33.
3. I overensstemmelse med Bestemmelse 9.2.a skal databehandleren bistå den data- ansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndig- hed. Det betyder, at databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataansvarliges anmel- delse af bruddet til den kompetente tilsynsmyndighed:
a. karakteren af bruddet på persondatasikkerheden, herunder, hvis det er mu- ligt, kategorierne og det omtrentlige antal berørte registrerede samt katego- rierne og det omtrentlige antal berørte registreringer af personoplysninger
b. de sandsynlige konsekvenser af bruddet på persondatasikkerheden
c. de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er rele- vant, foranstaltninger for at begrænse dets mulige skadevirkninger.
4. Parterne skal i bilag C angive den information, som databehandleren skal tilvejebringe i forbindelse med sin bistand til den dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed.
11. Sletning og returnering af oplysninger
1. Ved ophør af tjenesterne vedrørende behandling af personoplysninger, er databe- handleren forpligtet til at slette alle personoplysninger, der er blevet behandlet på vegne af den dataansvarlige og bekræfte over for den dataansvarlig, at oplysningerne er slettet, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver op- bevaring af personoplysningerne.
12. Revision, herunder inspektion
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdel- sen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder in- spektioner, der foretages af den dataansvarlige eller en anden revisor, som er be- myndiget af den dataansvarlige.
2. Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med databe- handleren og underdatabehandlere er nærmere angivet i Bilag C.7. og C.8.
3. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lov- givningen har adgang til den dataansvarliges eller databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til databehand- lerens fysiske faciliteter mod behørig legitimation.
13. Parternes aftale om andre forhold
1. Parternes aftale om erstatningsansvar og force majeure fremgår af den mellem data- behandleren og den dataansvarlige indgåede aftale om databehandlerens levering af mødeeffektiviseringssoftwareløsningen til den dataansvarlige, så længe denne ikke direkte eller indirekte strider imod Bestemmelserne eller forringer den registreredes grundlæggende rettigheder og frihedsrettigheder, som følger af databeskyttelsesfor- ordningen.
14. Ikrafttræden og ophør
1. Bestemmelserne træder i kraft på datoen for begge parters underskrift heraf.
2. Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Bestemmelserne giver anledning hertil.
3. Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af person- oplysninger varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger, aftales mellem parterne.
4. Hvis levering af tjenesterne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet eller returneret til den dataansvarlige i overensstem- melse med Bestemmelse 11.1 og Bilag C.4, kan Bestemmelserne opsiges med skrift- lig varsel af begge parter.
5. Underskrift
På vegne af den dataansvarlige Navn [NAVN]
Stilling [STILLING]
Telefonnummer [TELEFONNUMMER] E-mail [E-MAIL]
Underskrift
På vegne af databehandleren Navn Xxxxxx Xxxx
Stilling Administrerende direktør Telefonnummer
E-mail Underskrift
15. Kontaktpersoner hos den dataansvarlige og databehandleren
1. Parterne kan kontakte hinanden via nedenstående kontaktpersoner.
2. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersoner.
Navn [NAVN]
Stilling [STILLING] Telefonnummer [TELEFONNUMMER] E-mail [E-MAIL]
Navn Xxxxx Xxxx Xxxxxx
Stilling Data Compliance Specialist Telefonnummer x00 00000000
E-mail xxxxxxxxxxx@xxxxxxxxxxx.xxx
Navn Xxxxxxxxx Xxxxxx
Stilling Head of Product Telefonnummer x00 00000000
Bilag A Oplysninger om behandlingen
A.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige
Behandling af den dataansvarliges personoplysninger sker med det formål at opfylde den mel- lem databehandleren og den dataansvarlige indgåede aftale om databehandlerens levering af mødeeffektiviseringssoftwareløsningen til den dataansvarlige.
A.2. Databehandlerens behandling af personoplysninger på vegne af den dataansvar- lige drejer sig primært om (karakteren af behandlingen)
Som ejer og leverandør af softwaren behandler databehandleren ved generel drift, herunder hosting, visning, organisering, modtagelse, videresendelse, strukturering, tilpasning, imple- mentering, søgning, processering, lagring, gendannelse, sletning, begrænsning, vedligehol- delse, udvikling, logning, support, fejlfinding og andre it-ydelser, de af den dataansvarlige til- føjede personoplysninger.
A.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede
[BESKRIV TYPEN AF PERSONOPLYSNINGER DER BEHANDLES]
Almindelige personoplysninger (jf. Databeskyttelsesforordningens artikel 6)
Navn, e-mailadresse, telefonnummer, og IP adresse. [DERUDOVER SKAL DATAANSVAR- LIGE TAGE STILLING TIL OM DER EKSEMPELVIS SKER BEHANDLING AF ANDRE TY-
PER ALMINDELIGE PERSONOPLSYNINGER] [F.eks. adresse, betalingskortoplysninger, medlemsnummer, type af medlemskab, fremmøde i fitnesscenter og tilmelding til konkrete fit- nesshold]
Følsomme personoplysninger (jf. Databeskyttelsesforordningens artikel 9):
☐ Racemæssig eller etnisk baggrund
☐ Politisk overbevisning
☐ Religiøs overbevisning
☐ Filosofisk overbevisning
☐ Fagforeningsmæssige tilhørsforhold
☐ Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v.
☐ Seksuelle forhold
Oplysninger om enkeltpersoners rent private forhold (jf. Databeskyttelsesforordnin- gens artikel 6, 9, 10, samt databeskyttelseslovens § 8):
☐ Strafbare forhold
☐ Væsentlige sociale problemer
☐ Andre rent private forhold, som ikke er nævnt ovenfor:
Oplysninger om cpr-nummer (jf. databeskyttelseslovens § 11, stk. 1)
☐ CPR-numre
A.4. Behandlingen omfatter følgende kategorier af registrerede
[BESKRIV KATEGORIERNE AF REGISTREREDE]
A.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvar- lige kan påbegyndes efter disse Bestemmelsers ikrafttræden. Behandlingen har føl- gende varighed
Behandlingen er ikke tidsbegrænset og varer, indtil aftalen mellem parterne om levering af databehandlerens mødeeffektiviseringssoftware til den dataansvarlige, opsiges eller ophæves af en af parterne.
Bilag B Underdatabehandlere
B.1. Godkendte underdatabehandlere
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af følgende un- derdatabehandlere
NAVN | CVR | ADRESSE | BESKRIVELSE AF BEHANDLING |
Amazon Web Ser- vices EMEA SARL (AWS) | LU 26888617 | 38 avenue Xxxx X. Xxxxxxx, L-1855 Luxembourg | AWS anvendes til hosting af løsningen, her- under lagring og processering af data, og dermed behandles alle data i løsningen, in- klusiv kundernes persondata. Denne be- handling af data er AWS kontraktuelt for- pligtet til at foretage inden for dataregion EU-WEST (Irland), og dermed indenfor EU/EØS, i henhold til deres standard un- derdatabehandleraftale, vedlagt dette bilag B som vedhæftning B.1. |
Zendesk, Inc. (Zen- desk) | NYSE noteret sel- skab | 0000 Xxxxxx Xxxxxx, Xxx Xxxxxxxxx, XX 00000 | Zendesk anvendes til behandling af sup- portanmodninger sendt til FirstAgenda, håndtering og besvarelse af sådanne hen- vendelser, inklusiv evt. løbende kommuni- kation med kunden omkring supportissuet. E-mail er udgangspunktet for de person- data, der behandles, men fremsender kun- den anden dokumentation i deres kommu- nikation, som indeholder persondata, så vil behandlingen omfatte dette. Denne be- handling af data er Zendesk kontraktuelt forpligtet til at foretage indenfor EU/EØS i henhold til deres standard underdatabe- handleraftale, vedlagt dette bilag B som vedhæftning B.2. |
MarketingPlatform ApS | 34217483 | Xxxxxxxxx 00X, 0000 Vejen | MarketingPlatform anvendes til fremsen- delse af e-mails vedrørende produktopdate- ring og feature releases, og der sker i den forbindelse behandling af brugernes navn og e-mails. Behandlingen foregår i EU/EØS, hvor MarketingPlatform’s løsning hostes i henhold til separat underdatabe- handleraftale, vedlagt dette bilag B som vedhæftning B.3. |
Rebus FM ApS | 37316695 | Torsmark 4 8700 Horsens | Rebus anvendes til logning af fejlbeskeder ved import af data, og i den forbindelse be- handles brugernes e-mail. Behandlingen fo- regår indenfor EU/EØS, hvor Xxxxx'x løs- |
NAVN | CVR | ADRESSE | BESKRIVELSE AF BEHANDLING |
ning hostes i henhold til separat underdata- behandleraftale, vedlagt dette bilag B som vedhæftning B.4. |
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af ovennævnte underdatabehandlere for den beskrevne behandlingsaktivitet. Databehandleren må ikke – uden den dataansvarliges skriftlige godkendelse – gøre brug af en underdatabehandler til en anden behandlingsaktivitet end den beskrevne og aftalte eller gøre brug af en anden under- databehandler til denne behandlingsaktivitet.
Bilag C Instruks vedrørende behandling af personoplysninger
C.1. Behandlingens genstand/instruks
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:
generel drift, herunder hosting, visning, organisering, modtagelse, videresendelse, strukture- ring, tilpasning, implementering, søgning, processering, lagring, gendannelse, sletning, be- grænsning, vedligeholdelse, udvikling, logning, support, fejlfinding og andre it-ydelser forbun- det med databehandlerens levering af mødeeffektiviseringssoftwaren til den dataansvarlige i henhold til den mellem parterne indgåede aftale om levering af databehandlerens mødeeffek- tiviseringssoftware.
C.2. Behandlingssikkerhed
Sikkerhedsniveauet skal afspejle:
Eftersom databehandlerens levering af mødeeffektiviseringssoftwaren muliggør, at den data- ansvarlige kan uploade og på anden vis tilføje softwareløsningen data, vil databehandleren potentielt behandle en ukendt mængde af personoplysninger og ukendte kategorier af person- oplysninger og datasubjekter.
Derfor har databehandleren valgt at implementere et generelt sikkerhedsniveau afspejlende, at der kan ske behandling af en større mængde personoplysninger og af alle former for kate- gorier af personoplysninger og datasubjekter.
Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nød- vendige (og aftalte) sikkerhedsniveau.
Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre føl- gende foranstaltninger, som er aftalt med den dataansvarlige:
· Brug af leverandør, der er ISO 27001:2013, 27017:2015, 27018:2014, certificeret ISO 9001:2015, til hosting af softwareløsningen indenfor leverandørens EU/EØS data re- gioner
· Daglig backup
· Fuld TLS eller HTTPS kryptering af data i transit og under opbevaring
· Højeste standard anti-malware og antivirus på systemer
· Netværksbeskyttelse mod cyber-attacks, samt tilkobling til Security Operation Center (SOC) via hostingleverandør
· Brug af redundantmiljøer til sikring af adgang og kontinuerlig drift af softwareløsning
· Løbende tjek af softwareløsning og systemer I forhold til OWASP top 10 sårbarheder, herunder brug af ”ethical hacker”
· Brug af Multi Factor Authentication login til softwareløsning og produktionsmiljø
· Logning af adgang og handlinger i softwareløsningen og systemer
· Procedurer for tilgang til produktionsmiljø og adgang til kundedata
· Baggrundtjek af medarbejdere
· Genbrug af hardware sker udelukkende ved gendannelse af fabriksindstilling, og de- struktion af hardware sker i henhold til markedsstandard herfor, så gendannelse af data ikke er mulig
· Fysisk sikring af lokaliteter med individuelle adgangsnøglebrikker og koder, samt overvågning af faciliteter
C.3 Bistand til den dataansvarlige
Databehandleren skal så vidt muligt – inden for det nedenstående omfang og udstrækning – bistå den dataansvarlige i overensstemmelse med Bestemmelse 9.1 og 9.2 ved at gennemføre følgende tekniske og organisatoriske foranstaltninger:
Databehandleren vil, så vidt muligt, og hvis imødekommelse forudsætter databehandlerens bistand, bistå den dataansvarlige med opfyldelsen af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i kapitel III Europa-Parlamentets og Rådets forordning af 2016-04-27 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysnin- ger.
Idet databehandleren i udgangspunktet alene behandler almindelige personoplysninger om den dataansvarliges brugere af softwareløsningen, har databehandleren gennemført sådanne tekniske og organisatoriske foranstaltninger, der tillader umiddelbar eksport af disse brugeres personoplysninger, og vil på den baggrund kunne bistå den dataansvarlige, ligesom den da- taansvarlige frit kan råde over de af den dataansvarlige øvrigt tilførte data.
C.4 Opbevaringsperiode/sletterutine
Personoplysninger opbevares i perioden for parternes aftale om databehandlerens levering af mødeeffektiviseringssoftware til den dataansvarlige, eller i henhold til særskilt skriftlig aftale, hvorefter de slettes hos databehandleren.
Ved ophør skal databehandleren således enten slette eller tilbagelevere personoplysningerne i overensstemmelse med bestemmelse 11.1, medmindre den dataansvarlige – efter under- skriften af disse bestemmelser – har ændret den dataansvarlige oprindelige valg. Sådanne ændringer skal være dokumenteret og opbevares skriftligt, herunder elektronisk, i tilknytning til bestemmelserne.
C.5 Lokalitet for behandling
Behandling af de af Bestemmelserne omfattede personoplysninger kan ikke uden den data- ansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end følgende:
Databehandlerens hjemsted eller indenfor de dataregioner, der er nævnt i bilag B, afsnit B.1.
C.6 Instruks vedrørende overførsel af personoplysninger til tredjelande
Eventuel overførelse af personoplysninger til tredjelande eller internationale organisationer kan alene ske til et sikkert tredjeland, på et gyldigt indgået EU-kommissionens standardkon- traktsgrundlag eller til en EU-US Privacy Shield certificeret underleverandør.
Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler.
C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behand- lingen af personoplysninger, som er overladt til databehandleren
Databehandleren skal inden for en periode af 12 måneder for egen regning indhente en ISAE 3402 eller ISAE 3000 revisionserklæring fra en uafhængig tredjepart vedrørende databehand- lerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
Revisorerklæringen fremsendes uden unødig forsinkelse til den dataansvarlige til orientering.
C.8 Procedurer for revisioner, herunder inspektioner, med behandling af personoplys- ninger, som er overladt til underdatabehandlere
Databehandleren skal årligt for egen regning indhente en revisorerklæring fra en uafhængig tredjepart eller en kontrolrapport vedrørende underdatabehandlerens overholdelse af databe- skyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstater- nes nationale ret.
Dokumentation for sådanne inspektioner fremsendes uden unødig forsinkelse til den dataan- svarlige til orientering.