Bellcom Hosting ApS
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Bellcom Hosting ApS
Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftale med Bellcom Hosting ApS´ kunder (Dataansvarlig)
For perioden 23.12.2022 – 22.12.2023
1
Ledelsens udtalelse 3
Uafhængig revisors erklæring 5
Bellcom Hosting ApS' beskrivelse af OS2valghalla / OS2dagsorden / OS2forms / OS2consul 8
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Kontrolmål, kontrolaktivitet, test og resultat heraf 18
Bellcom Hosting ApS behandler personoplysninger på vegne af Bellcom Hosting ApS´ kunder (Dataansvarlige) i henhold t il databehandleraftale med OS2valghalla / OS2dagsorden / OS2forms / OS2consul.
M edfølgende beskrivelse er udarbejdet t il brug for Bellcom Hosting ApS´ kunder (Dataansvarlige), der har an- vendt OS2valghalla / OS2dagsorden / OS2forms / OS2consul, og som har en t ilst rækkelig forståelse t il at vur- dere beskrivelsen sammen med anden information, herunder information om kontroller, som de dataansvar- lige selv har udført ved vurdering af, om kravene i EU's forordning om ” Beskyttelse af fysiske personer i forbin- delse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger” (hereft er ” databe- skyttelsesforordningen” ) er overholdt. Bellcom Hosting ApS bekræft er, at:
a) Den medfølgende beskrivelse, side 8-17, giver en retvisende beskrivelse af OS2valghalla / OS2dagsor- den / OS2forms / OS2consul, der har behandlet personoplysninger for dataansvarlige omfattet af da- tabeskyttelsesforordningen i hele perioden fra 23. december 2022 - 22. december 2023. Kriterierne anvendt for at give denne udtalelse var, at den medfølgende beskrivelse:
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
(i) Redegør for, hvordan OS2valghalla / OS2dagsorden / OS2forms / OS2consul var udformet og implementeret, herunder redegør for:
• De typer af ydelser, der er leveret, herunder typen af behandlede personoplysnin- ger
• De processer i både it - og manuelle systemer, der er anvendt t il at igangsætte, regi- strere, behandle og om nødvendigt korrigere, slette og begrænse behandling af per- sonoplysninger
• De processer, der er anvendt for at sikre, at den foretagne databehandling er sket i henhold t il kontrakt, instruks eller aftale med den dataansvarlige
• De processer, der sikrer, at de personer, der er autoriseret t il at behandle personop- lysninger, har forpligtet sig t il fortrolighed eller er underlagt en passende lovbe-
stemt tavshedspligt
• De processer, der ved ophør af databehandling sikrer, at der efter den dataansvarli- ges valg sker sletning eller t ilbagelevering af alle personoplysninger t il den dataan- svarlige, medmindre lov eller regulering foreskriver opbevaring af personoplysnin- gerne
• De processer, der i t ilfælde af brud på persondatasikkerheden understøtter, at den dataansvarlige kan foretage anmeldelse t il t ilsynsmyndigheden samt underrettelse t il de registrerede
• De processer, der sikrer passende tekniske og organisatoriske sikringsforanstaltnin- ger for behandlingen af personoplysninger under hensyntagen t il de risici, som be- handling udgør, navnlig ved hændelig eller ulovlig t ilintetgørelse, tab, ændring, uau- toriseret videregivelse af eller adgang t il personoplysninger, der er t ransmitteret, opbevaret eller på anden måde behandlet
• Kontroller, som vi med henvisning t il OS2valghalla / OS2dagsorden / OS2forms / OS2consul’s afgrænsning har forudsat ville være implementeret af de dataansvar- lige, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivel- sen, er identificeret i beskrivelsen
• Andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem (herunder de t ilknyttede forretningsgange) og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen af personoplys- ninger
(ii) Indeholder relevante oplysninger om ændringer ved databehandlerens OS2valghalla / OS2dagsorden / OS2forms / OS2consul t il behandling af personoplysninger foretaget i perio- den fra 23. december 2022 - 22. december 2023
(iii) Ikke udelader eller forvansker oplysninger, der er relevante for omfanget af den beskrevne OS2valghalla / OS2dagsorden / OS2forms / OS2consul t il behandling af personoplysninger under hensyntagen t il, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af dataansvarlige og derfor ikke kan omfatte ethvert aspekt ved OS2valghalla / OS2dagsorden / OS2forms / OS2consul, som den enkelte dataansvarlige måtte anse vigtigt efter deres særlige forhold.
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
b) De kontroller, der knytter sig t il de kontrolmål, der er anført i medfølgende beskrivelse, var hensigts- mæssigt udformet og fungerede effektivt i hele perioden fra 23. december 2022 - 22. december 2023. Kriterierne anvendt for at give denne udtalelse var, at:
(i) De risici, der t ruede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret
(ii) De identificerede kontroller ville, hvis udført som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål, og
(iii) Kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev ud- ført af personer med passende kompetence og beføjelse i hele perioden fra 23. december 2022 - 22. december 2023.
c) Der er etableret og opretholdt passende tekniske og organisatoriske foranstaltninger med henblik på at opfylde aftalerne med de dataansvarlige, god databehandlerskik og relevante krav t il databehand- lere i henhold t il databeskyttelsesforordningen.
Kolding d. 27. december 2023 Bellcom Hosting ApS
Xxxxxxxx 00 – 1
6000 Kolding
Xxxx Xxxxx er Andersen Xxxxx Xxxx
Partner Direktør og partner
Uafhængig revisors erklæring
Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og foranstaltninger i hen- hold til databehandleraftale med Bellcom Hosting ApS´ kunder (Dataansvarlig).
Til: Bellcom Hosting ApS og Bellcom Hosting ApS´ kunder (Dataansvarlig)
Omfang
Vi har fået som opgave at afgive erklæring om Bellcom Hosting ApS’s beskrivelse på side 8-17 af identifikation af behandling OS2valghalla / OS2dagsorden / OS2forms / OS2consul i henhold t il databehandleraftale med Bellcom Hosting ApS´ kunder (Dataansvarlig), i hele perioden fra 23. december 2022 - 22. december 2023 (be- skrivelsen) og om udformningen og funktionen af kontroller, der knytter sig t il de kontrolmål, som er anført i beskrivelsen.
Bellcom Hosting ApS’s ansvar
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Bellcom Hosting ApS er ansvarlig for udarbejdelsen af beskrivelsen og t ilhørende udtalelse på side 8-17, herun- der fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelsen er præsenteret; for leve-
ringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene samt for at udforme, implementere og effektivt udføre kontroller for at opnå de anførte kontrolmål.
Revisors uafhængighed og kvalitetsstyring
Vi har overholdt kravene t il uafhængighed og andre etiske krav i FSR – danske revisorers retningslinjer for revi- sors etiske adfærd (Et iske regler for revisorer), der bygger på de grundlæggende principper om integrit et, ob- jektivitet, faglig kompetence og fornøden omhu, fortrolighed og professionel adfærd.
Vores revisionsfirma anvender International St andard on Quality M anagement 1, ISQM 1, som kræver, at vi designer, implementerer og driver et kvalitetsstyringssystem, herunder politikker eller procedurer vedrørende overholdelse af etiske krav, faglige standarder og gældende lov og øvrig regulering.
Revisors ansvar
Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Bellcom Hosting ApS beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig t il de kontrolmål, der er anført i denne be- skrivelse.
Vi har udført vores arbejde i overensstemmelse med ISAE 3000, Andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger og yderligere krav ifølge dansk revisorlovgivning.
Denne standard kræver, at vi planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt.
En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen, udformningen og funktionaliteten af kontroller hos en databehandler omfatter udførelse af handlinger for at opnå bevis for oplysningerne i data- behandlerens beskrivelse af sit OS2valghalla / OS2dagsorden / OS2forms / OS2consul samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af revisors vurdering, herunder vurderingen af
risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet t est af funktionaliteten af sådanne kontroller, som vi anser
for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev opnået. En erklæringsopgave med sikkerhed af denne type omfatt er endvidere vurdering af den samlede præsentation af beskrivelsen, egnetheden af de heri anførte mål samt egnetheden af de kriterier, som databehandleren har specificeret og beskrevet på side 8-17.
Det er vores opfattelse, at det opnåede bevis er t ilst rækkeligt og egnet t il at danne grundlag for vores konklu- sion.
Begrænsninger i kontroller hos en dataansvarlig
Bellcom Hosting ApS’s beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af data- ansvarlige og omfatter derfor ikke nødvendigvis alle de aspekter ved OS2valghalla / OS2dagsorden / OS2forms
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
/ OS2consul, som hver enkelt dataansvarlig måtte anse for vigtige eft er deres særlige forhold. Endvidere vil kontroller hos en databehandler som følge af deres art muligvis ikke forhindre eller opdage alle brud på per- sondatasikkerheden. Herudover er fremskrivningen af enhver vurdering af funktionaliteten t il fremtidige perio- der undergivet risikoen for, at kontroller hos en databehandler kan blive utilstrækkelige eller svigte.
Konklusion
Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De krit erier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i ledelsens udtalelse. Det er vores opfattelse,
(a) at beskrivelsen af OS2valghalla / OS2dagsorden / OS2forms / OS2consul, således som denne var ud- formet og implement eret i hele perioden fra 23. december 2022 - 22. december 2023, i alle væsent- lige henseender er retvisende, og
(b) at kontrollerne, som knytter sig t il de kontrolmål, der er anført i beskrivelsen, i alle væsentlige hense- ender var hensigtsmæssigt udformet i hele perioden fra 23. december 2022 - 22. december 2023, og
(c) at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed
for, at kontrolmålene i beskrivelsen blev opnået i alle væsentlige henseender, har fungeret effektivt i hele perioden fra 23. december 2022 - 22. december 2023.
Beskrivelse af test af kontroller
De specifikke kontroller, der blev testet, samt arten, den t idsmæssige placering og resultater af disse tests fremgår på side 18-34.
Tiltænkte brugere og formål
Denne erklæring og beskrivelsen af test af kontroller på side 18-34 er udelukkende t iltænkt dataansvarlige, der har anvendt Bellcom Hosting ApS’s OS2valghalla / OS2dagsorden / OS2forms / OS2consul, som har en t ilst ræk- kelig forståelse t il at overveje den sammen med anden information, herunder information om kontroller, som de dataansvarlige selv har udført, ved vurdering af, om kravene i databeskyttelsesforordningen er overholdt.
Kolding d. 27. december 2023
Sønderup & Partnere A/ S
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
registrerede revisorer FSR CVR-nr. 27905072
Xxxxx Xxxxxxxx Registreret revisor mne18078
Bellcom Hosting ApS
Bellcom er en 100 % danskejet virksomhed, der siden 1999 har specialiseret sig i effektive IT-løsninger for alle typer kunder, små som store.
Bellcom ejer i dag et komplet server hosting miljø som supporterer vore kunder. Dette er opstillet i et professi- onelt og sikkert Datacenter med alt hvad dertil hører af overvågning, st rømback-up og brandslukning. Syst emet er opbygget på en sådan måde, at det hurtigt og nemt kan udbygges.
I Bellcom har vi gennem vores erfarne medarbejdere en meget bred viden indenfor IT. Vi kommer fra forskellige IT- og teknikerhverv, hvor arbejdet har været præget af problemløsning og styring af projekter, og vi er derfor godt rustet t il at rådgive kunderne omkring totale løsninger fra A t il Z.
Organisation og ansvar
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Bellcom er inddelt i afdelingerne IT-drift, Udvikling og Support . Alle supportopgaver varetages af support-afde- lingen. IT-drift har ansvaret for drift, vedligeholdelse og videreudvikling af vores hostingmiljø. Ledelsen hos Bell- com har det overordnede ansvar for IT-sikkerheden i virksomheden.
OS2valghalla / OS2dagsorden / OS2forms / OS2consul behandling af personoplysninger Behandling af personoplysninger
For OS2valghalla behandles almindelige personoplysninger, oplysninger om politisk overbevisning samt cpr-nr. for valgstyrere ved offentlige valg i kommunerne, t ilforordnede vælgere ved offentlige valg i kommunerne samt administrativt personale og øvrigt servicepersonale ved offentlige valg i kommunerne.
For OS2dagsorden behandles udelukkende almindelige personoplysninger vedr. administrativt personale og øv- rigt servicepersonale hos kunden.
For OS2forms behandles almindelige personoplysninger, samt mulighed for alle typer af personfølsomme oplys- ninger.
For OS2consul behandles almindelige personoplysninger, cpr-nr, cvr-nr samt e-mail adresser.
Beskrivelse af kontroller for drift af GDPR platforme Introduktion
Formålet med denne beskrivelse er at levere information t il Bellcom's kunder, og deres revisorer, vedrørende kravene i den internationale revisionsstandard for erklæringsopgaver om kontroller hos en serviceleverandør, ISAE 3000.
Beskrivelsen har herudover det formål, at give information om de kontroller, der er anvendt for vores hosting- system.
Følgende beskrivelse omfatt er de kontrolmål og kontroller hos Bellcom, som omfatter størstedelen af vores kunder og er baseret på vores standardleverance. Individuelle kundeforhold, er ikke medtaget i denne beskri- velse.
Platformen OS2dagsorden
OS2dagsorden giver papirløse møder. Løsningen erstatter papirreferater, papirdagsordner, mv., t il møderne i kommuner.
Løsningen er open source, og den virker uafhængigt af platforme og styresystemer. OS2dagsorden fungerer på alle PCer og tablets med internet.
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
M ed OS2dagsorden får den enkelte mødedeltager et overblik og indsigt i al dokumentation vedr. en aktuel mø- deaktivitet og er særdeles passende t il alle former for bestyrelses-, formandskab og udvalgsarbejde. En møde- deltager får herigennem mulig for at gøre egne noter og talebreve, som hæfter sig t il ent en den samlede dags- orden eller helt ned på bilagsniveau.
Xxxxxxxx for evnen t il at gennemse historiske møder og en samlede orientering om aktuelle og udvalgte møde- aktiviteter alt efter den pågældende brugers rolle og/ eller rettigheder.
OS2dagsorden giver der ud over en administrativ gevinst i planlægning og elektronisk distribution af al møde- data.
OS2dagsorden er blevet t il for at let te både brugere og administration om fremtidig mødeplanlægning og indsigt.
OS2dagsorden opererer med 3 sikkerhedsniveauer. Åbne data, lukke data og personfølsomme data. I løsningen er der indbygget logning af adgangen t il alle data i henhold t il retningslinjerne fra Datatilsynet.
Platformen OS2valghalla
Der skal mange t il for at få et valg t il at køre som smurt. Her kommer OS2valghalla ind i billedet. OS2valghalla er et webbaseret system t il at håndtere bemandingen på valgstederne. Det kunne være valgstyrere, t ilforordnede og frivillige, der er nødvendig for afholdelsen af valg. De medvirkende og partierne kan t ilmelde sig og koordinere i OS2valghalla, og de kan brug OS2valghalla t il at kommunikere med valgsekretariatet.
OS2valghalla er for valgsekretariatet, der kan skabe sig et overblik over hvor mange t ilforordnede, som de skal bruge hvert enkelt sted, og hvor mange der har meldt sig i alt .
OS2valghalla løfter en tung, manuel opgave. Løsningen er en automatisering, der giver valgsekretariatet og par- t iforeninger overblikket over opgaven og fastholder et højt datasikkerhedsniveau.
Platformen OS2valghalla indeholder blandt andet CPR numre. I løsningen er der indbygget logning af adgangen t il alle data i henhold t il retningslinjerne fra Datatilsynet. Løsningen er under videreudvikling og splittes snart op i en ekstern og intern server opsætning. Hvorved der alene udstilles data t il brug for planlægningen findes på den offentlige server. Og alle persondata forbliver på den interne server.
Platformen OS2forms
OS2forms er et formularværktøj t il at gøre selvbetjeningsløsninger automatiske og digitale.
En løsning der kan bruge t il at skræddersy digitale selvbetjeningsløsninger t il glæde for borgere, virksomheder og medarbejdere. OS2form s er et Open Source alternativ t il kommercielle selvbetjeningsværktøjer.
M ed automatisering af indsamlingen af formulardata bliver arbejdet endnu mere effektivt.
Platformen OS2forms indeholder blandt andet CPR numre. I løsningen er der indbygget logning af adgangen t il alle data i henhold t il retningslinjerne fra Datatilsynet.
Platformen OS2consul
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
OS2consul er en smidig og let t ilgængelig løsning, der understøtter den demokratiske beslutningsproces i kom- munerne ved at inddrage borgerne aktivt i alle faser, efter behov.
Løsningen skaber gennemsigtighed og indflydelse på kommunale beslutninger for borgerne. Den gør processen nem og effektiv og giver samtidigt et overblik over stadierne i f.eks. et borgerbudget. Gennem samarbejde med borgerne opnås en større effektivitet i beslutningsprocessen.
Integration t il Nem Log-in er med t il at bekræfte borgernes identitet, men lader også borgeren følge sine egne bidrag og indsendelser. Via Nem Log-in kan løsningen lave opslag på, om borgeren bor i kommunen og sikrer dermed, at man kun kan bidrage, hvis man har bopæl i kommunen.
OS2consul dækker følgende behov:
• Borgerforslag
• Borgerbudgetter
• M eningsmålinger
• Politikudvikling
• Debat
Sikkerheds opdateringer
I Bellcom har vi sat sikkerhedsopdateringerne i system. For personfølsomme løsninger er det muligt at tegne en GDPR+ aftale hvor vi automatisk opdaterer løsningerne lige så snart der frigives sikkerhedsrettelser. Først efter opdateringen testes løsningen. Hvorved data er sårbare i mindst mulig t id.
Kildekode
For alle Bellcom’s løsninger gælder det at koden for projekter vi arbejder på styres via et eksternt versionssty- ringssystem. Koden er derfor t ilgængelig for kunderne via xxxxxx.xxx/ bellcom
Organisation og ansvar
Bellcom er inddelt i afdelingerne IT-drift, Udvikling og support. Alle support opgaver varetages af support afde- lingen. IT-drift har ansvaret for drift, vedligeholdelse og videreudvikling af vores hostingmiljø.
Ledelsen hos Bellcom har det overordnede ansvar for IT-sikkerheden i virksomheden.
Risikostyring i Bellcom
Vi har procedurer for løbende risikovurdering af vores forretning og specielt vores hosting ydelser. Dermed kan vi sikre, at de risici, som er forbundet med de services og ydelser, vi st iller t il rådighed, er minimeret t il et accep- tabelt niveau.
M edarbejderne gennemgår og underskriver en vejledning i generel sikkerhedsdatahåndtering samt kodeords skift hver t redje måned.
IT-afdelingen følger et ” årshjul” med hensyn t il gennemgang af adgange, sikkerhedsopdateringer m.v.
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Ansvaret for risikovurderinger er placeret hos IT-driften, og skal efterfølgende forankres og godkendes hos Bell- com ledelse.
Generelt om vores kontrolmål og implementerede kontroller
Vores overordnede kontrolmål er at sikre, at de politikker vi har angivet i vores samlede informationssikkerheds- politik, efterleves. Herunder især i forhold t il de registrerede.
Vores metodik t il implement ering af kontroller er defineret ud fra ISO 27002:2013 regelsættet for styring af informationssikkerhed.
Vi foretager løbende forbedringer af både politikker, procedurer og den operationelle drift. Vi foretager årlig revidering af, hvorvidt vi lever op t il vores regelsæt, der centrerer sig om, hvordan vi leverer vores driftsydelser, foretager genetablering, håndterer sikkerhedsopdatering mv.
Bellcom benytter sig alene af én underleverandører i forbindelse med opbevaring af en kopi af den samlede backup. Der st illes krav om at denne underleverandører besidder en gyldig ISAE 3402 lignende revisorerklæring. (ISO/ IEC 27001:2013 certificat e)
Kontrolmiljø
Det følgende beskriver vores kontrolmiljø nærmere for hvert enkelt område.
Overordnede retningslinjer
Vi har defineret vores overordnede metodik og t ilgang t il levering af vores ydelser med hvad dette indebærer, i vores IT-sikkerhedspolitik og t ilhørende strategiske og taktiske dokumenter. Formålet er at sikre, at vi har ledel- sesgodkendte retningslinjer for informationssikkerhed i forhold t il forretningsstrategien - og i forhold t il relevant lovgivning. Ledelsens budskab er kommunikeret t il alle medarbejdere i Bellcom, og vi opdaterer løbende doku- menterne eft er behov, og minimum en gang årligt.
Hændelseshåndtering og informationssikkerhedsbrud
Beredskabsplanen er den overordnede plan for håndtering af brud på informationssikkerheden. En uforudset hændelse kan være forsøg på hacking af en server, uautoriseret adgang t il en server m.m. I forbindelse med en sådan hændelse skal det vurderes om der også er et informationssikkerhedsbrud, hvilket gøres af beredskabs- ledelsen.
Informationssikkerhedsbrud
Er en identificeret forekomst af en system-, t jeneste- eller netværkstilstand, der indikerer et muligt brud på informationssikkerhedspolitikken eller svigt af kontroller, eller en t idligere ukendt situation, der kan være rele- vant for sikkerheden.
Under informationssikkerhedsbrud hører brud på persondatasikkerheden gennem, hændelig eller ulovlig t ilin- tetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang t il personoplysninger, der er t ransmitteret, opbevaret eller på anden måde behandlet
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Orientering af kunder
Ved aktivering af beredskabet orienteres alle berørt e kunder direkte eller via Bellcom’s drifts nyhedsbrev. Ori- enteringen skal indeholde:
• En kort beskrivelse af problematikken
• De aktive handlinger der nu foretages for udbedring.
• Forventet udbedringstid
• Tidspunktet for næste orientering (hver 4 t ime inden for normal arbejdstid eller næste morgen)
Informationssikkerhedsbrud
Skaden ved sikkerhedsbrud skal holdes på et acceptabelt niveau. M ålet opnås ved at der fastlægges reaktions- procedurer for kendte og hyppige sikkerhedshændelser, så de kan håndteres hurtigt og effektivt og ikke udvikler sig. Der skal desuden opretholdes et it -beredskab i t ilfælde af større hændelser, som ikke kan håndteres med de normale reaktionsprocedurer.
Hændelser og svagheder skal registreres og årligt rapporteres t il beredskabsledelsen. Disse registreres i følgende løsning. https:/ / xxxxx.xxxxxxx.xx/ im
Ved alvorlige hændelser skal der foretages en efterfølgende evaluering af hændelsen, som behandles I bered- skabsledelsen. Registrering af hændelser hjælper t il at finde den optimale balance imellem forebyggende, op- dagende og udbedrende foranstaltninger.
I tilfælde af et informationssikkerhedsbrud udføres følgende:
• Der sendes en email t il informationssikkerhedskoordinatoren (ISK) xx@xxxxxxx.xx (Driften / Udvikler team)
• Hændelsen oprettes i xxxxx.xxxxxxx.xx/ im som værende “ ikke løst” og orienterer Beredskabsledelsen.
• Sikkerhedsbruddet stoppes. (driften)
• Logfiler og andet relevant for efterfølgende undersøgelse af hændelsen indsamles (driften)
• Forslag t il fremadrettet forebyggelse forelægges beredskabsledelsen. (driften)
• Kunden orienteres om hændelsen såfremt dette er påkrævet (beredskabsledelsen)
• Vurdering af om hændelsen skal indberettes t il Datatilsynet som et brud på brud på databeskyttelses- lovgivningen (beredskabsledelsen).
• Alt relevant materiale gemmes i en zip fil og sendes t il informationssikkerhedskoordinatoren.
• Zip filen lægges op på opgaven i xxxxx.xxxxxxx.xx/ im og denne lukkes. (ISK)
Rapportering af informationssikkerhedsbrud
Alle medarbejdere har pligt t il at rapportere sikkerhedsbrud t il informationssikkerhedskoordinatoren.
Alle medarbejdere og eksterne kontrahenter har pligt t il at rapportere observerede svagheder eller sårbarheder i it -systemer og it -services t il informationssikkerhedskoordinatoren.
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Kontrakter, SLA
Vi t ilbyder kontrakter på hostingydelser for vores kunder. Særlige forhold er beskrevet heri, som de var ved aftaleindgåelse.
Vores SLA (Service Level Agreement) beskriver vores generelle vilkår, i forbindelse med vores ydelse overfor vores kunder, responstid, support mv.
Bellcom t ilbyder Opdaterings aftaler hvor vi påtager os det fulde ansvar for opdateringer af løsninger og eft er- følgende t est. Se http:/ / xxxxxxx.xx/ gdpr
M edarbejdersikkerhed Formål
Vi vil sikre, at alle i virksomheden er bekendte med deres roller og ansvar - herunder også vores underleveran- dører og 3. parter, og at alle er kvalificerede og egnede t il at udføre deres rolle.
Roller og ansvar og samarbejde med eksterne
Alle i vores virksomhed skal leve op t il den rolle, som er t ilegnet dem samt følge vores procedurer jf. vores IT- sikkerhedspolitik samt ansvars- og rollefordeling. Dette er for at sikre, at bl.a. sikkerhedsrelaterede forhold eska- leres og håndteres. Vigtigst er, at vi passer på vores kunders data, vores udstyr og dermed vores forretning. Rolle- og ansvarsbeskrivelsen, herunder opgaver og ansvar i forhold t il sikkerheden, er defineret i de udarbej- dede rollebeskrivelser, medarbejdernes ansættelseskontrakt samt i IT-sikkerhedspolitikken.
Vi har procedurer for ansættelse af medarbejdere og etablering af samarbejde med eksterne, hvor vi sikrer, at vi ansætter den rigt ige kandidat ift . baggrund og kompetence. Vi har rolle- og ansvarsbeskrivelser for medarbej- dere og medarbejderkategorier, så alle er bekendte med deres ansvar.
Ansættelsesvilkår
Generelle vilkår for ansættelse, herunder fortrolighed om egne og kunders forhold, er beskrevet i hver medar- bejders ansættelseskontrakt, hvor forhold omkring alle sider af ansættelsen, herunder ophør og sanktioner ved evt. sikkerhedsbrud, er angivet.
Fysisk sikkerhed Formål
Vi vil sikre, at vi har et betryggende fysisk miljø omkring Bellcom og dermed vores kunders data. Servere, ser- vices, data og informationer generelt er afskærmet mod miljømæssige påvirkninger (brand, vand, temperatur mv.), og herudover skal vi have fornøden og betryggende sikring mod hærværk, tyveri mv.
Serverrum
Bellcoms datacenter er beliggende på særskilt lokation på Xxxxxxxxx 00X, 0000 Xxxxxxx.
Rummet ligger i et kompleks sammen med andre lejere, og adgang t il bygningskomplekset sker med nøgle uden- for åbningstid.
Adgang t il forrummet sker med brik og nøgle. Her er hylde- og arbejdsplads med mulighed for opkobling af PC. Uautoriseret adgang (dvs. uden brug af brik) giver alarm t il Dansikring.
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Selve serverrummet er en klima- og brandbeskyttet ” bygning i bygningen” . Adgang hertil sker med brik og kode. Autoriseret adgang hertil udløser SM S t il driftsleder og driftsteam, og der sker fotodokumentation af, hvem der er i rummet (konstant fotoovervågning af døren t il rummet indefra).
Serverrum met er forsynet med CTS kontrolsystem (teknik- og miljøvagt), eltavle, t re serverskabe med fysiske diske (konfigureret som virtuelle servere med redundans), kommunikationscontrollere, to firewalls (1 redun- dant), t re UPS, t re klimaanlæg, vandalarmer (gulv, kølekondens og tag) samt brandalarm med Inergen brand- slukningsanlæg. Desuden er der egen nødstrømsgenerator på adressen. Alle systemer og sensorer overvåges af CTS, og overvågningsdata logges direkte samt på server (med backup). CTS kan fjernovervåges fra Xxxxxxxx 00 xx xxx.xxxxxxx.xx.
Da Bellcom t ilbyder hosting af løsninger med garanteret datasikkerhed 24-7 og med t ilgængelighed inden for almindelig arbejdstid, er det afgørende, at datacenteret er sikret mod alle forudsebare risici, samt at der er en nødplan, der kan iværksættes indenfor få t imer eller dage i t ilfælde af helt uforudsete og usandsynlige hændel- ser.
Kontorer
Adgangen t il kontoret beliggende Xxxxxxxx 00, sker via fælles hovedindgang, der deles med lejeren i stueetagen (Cortex). Herfra sker adgangen t il Bellcoms t rappeopgang via aflåselig dør, og indgangen t il kontoret sker via endnu en aflåselig dør. Kontoret er desuden sikret af tyverialarm.
Adgangen sker via storrumskontor, således at uvedkommende ikke uopdaget kan få adgang. Ved møder, frokost etc., hvor døren er ubevogtet, låses den.
Hjemmearbejde
Vi har etableret mulighed for, at vores medarbejdere kan arbejde hjemmefra af hensyn t il bl.a. Driftsvagt. Ad- gang t il fjernarbejde sker alene via VPN t il Bellcom’s kontorer og herfra videre t il hosting centeret.
Bortskaffelse
Alt databærende udstyr destrueres inden bortskaffelse, for at sikre, at data ikke er t ilgængeligt.
Formål
Vi vil sikre, at vores organisering af implementering, drift og ændring i og af vores ydelse sker struktureret og efter aftale med vores kunder. Vi skal sikre at IT-sikkerheden, generelt er høj, og via systemer og procedurer t il sikring heraf, ikke kompromitter vores, vores kunders systemer og data. Vi skal have procedurer for genskabelse af data, overvågning og logning af data, og vi skal generelt have opmærksomhed på fortroligheden omkring vores kunders data.
Drift
Vi vil sikre at vores drift er stabil, korrekt og sikker. Gennem løbende dokumentation og processer sikrer vi at kunne udelukke eller minimere nøglepersonsafhængighed. Opgaver t ildeles og fastsættes via procedurer for styring af den operative drift.
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Ændringshåndtering
Vi har defineret en proces for ændringshåndtering, for at sikre, at ændringer sker efter aftale med kunder, og er t ilret telagt hensigtsmæssigt i forhold t il interne forhold. St ørre ændringer sker alene baseret på en klassificering af opgaven, kompleksiteten og vurdering af påvirkning af andre systemer.
Ved større og/ eller forretningskritiske ændringer, sikres det alt id, som minimum, at;
• Alle ændringer drøftes, prioriteres og godkendes af ledelsen
• Alle ændringer t estes
• Alle ændringer godkendes før idriftsættelse
• Alle ændringer idriftsættes på et fastsat t idspunkt, efter aft ale med forretningen og/ eller kunden
• Der fortages fall back-planlægning, som sikrer, at ændringer kan rulles t ilbage eller annulleres, hvis den ikke fungerer
• Syst emdokumentationen opdateres med den nye ændring, såfremt det vurderes nødvendigt
Vores miljø er alt id opdelt logisk, i test og produktion, hvorved vi sikrer, at have testet et produkt eller ændring, før den kommer i produktion.
Underleverandører
Hvor vi bruger underleverandører fører vi t ilsyn med disse. Bellcom benytter overvejende ikke underleverandø- rer.
Vi sikrer at kunne genskabe systemer og data på hensigtsmæssig og korrekt vis, samt efter de aftaler, vi har med vores kunder.
Vi har etableret en testplan for verificering af, hvorvidt sikkerhedskopieringen fungerer samt en test af hvordan systemer og data praktisk kan reetableres. Der føres en log over disse tests, således at vi kan følge op på om vi kan ændre på procedurer og processer for at højne vores løsning.
Vi har defineret retningslinjer for på hvilken vis, vi foretager sikkerhedskopiering. Hver nat føres udvalgte data fra vores centrale systemer t il vores colocation ved hjælp af vores backup-system. Dermed er data fysisk sepa- reret fra vores driftssystemer, og eft er endt afvikling foret ages der en automatiseret verificering af, hvorvidt datamængde og indhold mellem vores driftssystem og colocation, stemmer overens.
En ansvarlig medarbejder sikrer herefter, at sikkerhedskopieringen er sket, foretager det fornødne hvis jobbet er fejlet, og logfører herefter dette.
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Netværkssikkerhed
IT-sikkerheden omkring systemers og datas ydre rammer, er netværket mod internettet, remote eller lignende. Vi mener, at have sikret data og systemer også inde i netværket, men det ydre værn mod uvedkommende ad- gang er af højeste prioritet hos os.
Adgang t il vores systemer fra vores kunder, sker via de offentlige netværk. Alene godkendt netværkstrafik (indgående) kommer gennem vores firewall.
Vi er ansvarlige for driften og sikkerheden hos os, dvs. fra og med systemerne hos os og ud t il internettet. Vores kunder er selv ansvarlige for at kunne t ilgå internettet.
Håndtering af databærende medier
Vi skal sikre, at vores og vores kunders systemer og data beskyttes. Vi håndterer derfor ikke kunders data på håndbårne medier (Eksterne USB medier, CD/ DVD) uden forudgående skriftlig aftale med kunderne samt ved passende fysisk beskyttelse mod miljømæssige på- virkninger (varme mv.) samt hærværk og tyveri.
Alt databærende udstyr (USB, CD/ DVD, harddiske mv.) destrueres inden bortskaffelse for at sikre, at data ikke er t ilgængeligt.
Vores dokumentation opbevares på to af hinanden uafhængige lokationer. Dette sikrer t ilgængeligheden af do- kumentationen i t ilfælde af f.eks. nedbrud.
Ekstern datakommunikation
Ekstern datakommunikation sker via e-mails, idet vores kunders adgang og brug af vores servere, ikke betragtes som ekstern datakommunikation. Yderligere kommunikation sker gennem vores support system samt vore pro- jektplanlægnings værktøjer.
Glemte kodeord, personoplysninger, bestillinger mv. håndteres aldrig via telefon, udelukkende på skrift (opdelt på e-mail og SM S) og først efter vores medarbejdere har konstateret, at det er den korrekte og autoriserede person, vi har kontakt t il.
Overvågning og logning
Vi har et overvågningssystem hvor vi overvåger drifts krit iske servere og udstyr. Vores driftsmedarbejdere fore- tager den daglige overvågning af vores systemer via måling af grænseværdier. Vi opsamler logs for alle servere og enheder i netværket.
Til styring af overvågning og opfølgning på hændelser, har vi implementeret formelle incident og problem ma- nagement systemer der automatisk reagerer på grænseværdier og eskalerer hændelser. Driften modtager disse via e-mail samt sms.
Beredskabsplan Formål
Vi vil have mulighed for at genoptage vores primære og centrale forretningsprocesser og systemer, efter en katastrofelignende situation.
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Beredskabsplan
Skulle der opstå en nødsituation, har Bellcom udarbejdet en overordnet beredskabsplan. Beredskabsplanen er forankret i IT-risikoanalysen og vedligeholdes minimum årligt, i forlængelse af udførelsen af analysen. Planen testes 1 gang årligt som en del af vores overordnet beredskab, så vi sikrer, at kunderne i mindst muligt omfang vil opleve forstyrrelser i driften, i forbindelse med en event uel nødsituation.
Planen og procedurerne er forankret i vores driftsdokumentation og procedurer. Overensstemmelse med lovbestemte og kontraktlige krav
Vi er ikke underlagt særlig lovgivning i forhold t il vores ydelse. Vores kunder kan dog være, og de steder, er vores understøttelse heraf aftalt særskilt.
Vi lader os årligt revidere af ekstern revisor, med henblik på afgivelse af erklæring for overholdelsen af kontrol- lerne, nævnt i denne beskrivelse.
Vi har en intern kontrol, hvor vi undersøger, om de etablerede politikker og retningslinjer overholdes af medar- bejderne. Derudover har vi en kontrol der sikrer, at vores udstyr, såsom servere, databaser, netværksudstyr mm., er sat op jf. vores baselines.
Komplementerende kontroller der udføres af kunder hos Bellcom
Bellcom's kunder er, med mindre andet er aftalt, ansvarlige for at etablere forbindelse t il Bellcom's’ servere. Herudover er Bellcom's’ kunder, med mindre andet er aftalt, ansvarlige for:
• At det aftalte niveau for backup dækker kundens behov
• At gennemføre periodisk gennemgang af kundens egne brugere
• At sikre serviceleverandøren får korrekt information om oprettelse og nedlæggelse af brugere
• At beskrive egen sletning
databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
A.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der alene må foretages behandling af personoplysninger, når der foreligger en instruks. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at behandling af personoplysninger alene foregår i henhold t il instruks. Inspiceret, at procedurerne indeholder krav om minimum årlig vurdering af behov for opdatering, herunder ved ændringer i dataansvarliges instruks eller ændringer i databehandlingen. Inspiceret, at procedurer er opdateret. | Ingen bemærkninger |
A.2 | Databehandler udfører alene den behandling af personoplysninger, som fremgår af instruks fra dataansvarlig. | Inspiceret, at ledelsen sikrer, at behandling af personoplysninger alene foregår i henhold t il instruks. Inspiceret ved en st ikprøve på 6 behandlinger af personoplysninger, at disse foregår i overensstemmelse med instruks. | Ingen bemærkninger |
A.3 | Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i st rid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer kontrol af, at behandling af personoplysninger ikke er i st rid med databeskyttelsesforordningen eller anden lovgivning. Inspiceret, at der er procedurer for underretning af den dataansvarlige i t ilfælde, hvor behandling af personoplysninger vurderes at være i st rid med lovgivningen. Inspiceret, at den dataansvarlige er underrettet i t ilfælde, hvor behandlingen af personoplysninger er vurderet i st rid med lovgivningen. | Ingen bemærkninger |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
B.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der etableres aftalte sikringsforanstaltninger for behandling af personoplysninger i overensstemmelse med aftalen med den Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at der etableres de aftalte sikkerhedsforanstaltninger. Inspiceret, at procedurer er opdateret. Inspiceret ved en st ikprøve på 6 databehandleraftaler, at der er etableret de aftalte sikringsforanstaltninger. | Ingen bemærkninger |
B.2 | Databehandleren har foretaget en risikovurdering og på baggrund heraf implementeret de tekniske foranstaltninger, der er vurderet relevante for at opnå en passende sikkerhed, herunder etableret de med dataansvarlige aftalte sikringsforanstaltninger. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at databehandler foretager en risikovurdering for at opnå en passende sikkerhed. Inspiceret, at den foretagne risikovurdering er opdateret og omfatter den aktuelle behandling af personoplysninger. Inspiceret, at databehandler har implementeret de tekniske foranstaltninger, som sikrer en passende sikkerhed i overensstemmelse med risikovurderingen. Inspiceret, at databehandler har implementeret de sikringsforanstaltninger, der er aftalt med de dataansvarlige. | Ingen bemærkninger |
B.3 | Der er for de systemer og databaser, der anvendes t il behandling af personoplysninger, installeret antivirus, som løbende opdateres. | Inspiceret, at der for de systemer og databaser, der anvendes t il behandling af personoplysninger, er installeret antivirus software. Inspiceret, at antivirus software er opdateret. | Ingen bemærkninger |
B.4 | Ekstern adgang t il systemer og databaser, der anvendes t il behandling af personoplysninger, sker gennem sikret firewall. | Inspiceret, at ekstern adgang t il systemer og databaser, der anvendes t il behandling af personoplysninger, alene sker gennem en firewall. Inspiceret, at firewall er konfigureret i henhold t il intern politik herfor. | Ingen kommentarer |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
B.5 | Interne netværk er segmenteret for at sikre begrænset adgang t il systemer og databaser, der anvendes t il behandling af personoplysninger. | Forespurgt, om interne netværk er segmenteret med henblik på at sikre begrænset adgang t il systemer og databaser, der anvendes t il behandling af personoplysninger. Inspiceret netværksdiagrammer og anden netværksdokumentation for at sikre behørig segmentering. | Ingen bemærkninger |
B.6 | Adgang t il personoplysninger er isoleret t il brugere med arbejdsbetinget behov herfor. | Inspiceret, at der foreligger formaliserede procedurer for begrænsning af brugeres adgang t il personoplysninger. Inspiceret, at der foreligger formaliserede procedurer for opfølgning på, at brugeres adgang t il personoplysninger er i overensstemmelse med deres arbejdsbetingede behov. Inspiceret, at de aftalte tekniske foranstaltninger understøtter opretholdelsen af begrænsningen i brugernes arbejdsbetingede adgang t il personoplysninger. Inspiceret ved en st ikprøve på 3 brugeres adgange t il systemer og databaser, at de er begrænset t il medarbejdernes arbejdsbetingede behov. | Ingen bemærkninger |
B.7 | Der er for de systemer og databaser, der anvendes t il behandling af personoplysninger, etableret systemovervågning med alarmering. Overvågningen omfatter: • OS2dagsorden • OS2valghalla • OS2forms • OS2consul | Inspiceret, at der for systemer og databaser, der anvendes t il behandling af personoplysning, er etableret systemovervågning med alarmering. Inspiceret, at der ved en st ikprøve på 3 alarmer er sket opfølgning, samt at forholdet er meddelt de dataansvarlige i behørigt omfang. | Ingen bemærkninger |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
B.8 | Der anvendes effektiv kryptering ved t ransmission af fortrolige og følsomme personoplysninger via internettet og med e-mail. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at t ransmission af følsomme og fortrolige oplysninger over internettet er beskyttet af stærk kryptering baseret på en anerkendt algoritme. Inspiceret, at teknologiske løsninger t il kryptering har været t ilgængelige og aktiveret i hele erklæringsperioden. Inspiceret, at der anvendes kryptering af t ransmissioner af følsomme og fortrolige personoplysninger via internettet eller med e-mail. Forespurgt, om der har været ukrypterede t ransmissioner af følsomme og fortrolige personoplysninger i erklæringsperioden, samt om de dataansvarlige er behørigt orienteret herom. | Ingen bemærkninger |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
B.9 | Der er etableret logning i systemer, databaser og netværk af følende forhold: • Aktiviteter, der udføres af systemadministratorer og andre med særlige rettigheder • Sikkerhedshændelser omfattende: o Ændringer i logopsætninger, herunder deaktivering af logning o Ændringer i systemrettigheder t il brugere o Fejlede forsøg på log-on t il systemer, databaser og netværk Logoplysninger er beskyttet mod manipulation og tekniske fejl og gennemgås løbende. | Inspiceret, at der foreligger formaliserede procedurer for opsætning af logning af brugeraktiviteter i systemer, databaser og netværk, der anvendes t il behandling og t ransmission af personoplysninger, herunder gennemgang og opfølgning på logs. Inspiceret, at logning af brugeraktiviteter i systemer, databaser og netværk, der anvendes t il behandling og t ransmission af personoplysninger, er konfigureret og aktiveret. Inspiceret, at opsamlede oplysninger om brugeraktivitet i logs er beskyttet mod manipulation og sletning. Inspiceret ved en st ikprøve på af logfiler har det forventede indhold i forhold t il opsætning, og at der er dokumentation for den foretagne opfølgning og håndtering af evt. sikkerhedshændelser. Inspiceret ved en st ikprøve på at der er dokumentation for den foretagne opfølgning på aktiviteter udført af systemadministratorer og andre med særlige rettigheder. | Ingen bemærkninger |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
B.10 | Personoplysninger, der anvendes t il udvikling, test eller lignende, er alt id i pseudonymiseret eller anonymiseret form. Anvendelse sker alene for at varetage den ansvarliges formål i henhold t il aftale og på dennes vegne. | Inspiceret, at der foreligger formaliserede procedurer for anvendelse af personoplysninger t il udvikling, test og lignende, der sikrer, at anvendelsen alene sker i pseudonymiseret eller anonymiseret form. Inspiceret ved en st ikprøve på 1 udviklings- og testdatabaser, at personoplysninger heri er pseudonymiseret eller anonymiseret. Inspiceret ved en st ikprøve på 1 udviklings- og testdatabaser, hvor personoplysninger ikke er pseudonymiseret eller anonymiseret, at dette er sket efter aftale med den dataansvarlige og på dennes vegne. | Ingen bemærkninger. |
B.11 | De etablerede tekniske foranstaltninger testes løbende ved sårbarhedsscanninger og penetrationstests. | Inspiceret, at der foreligger formaliserede procedurer for løbende tests af tekniske foranstaltninger, herunder gennemførsel af sårbarhedsscanninger og penetrationstests. Inspiceret ved st ikprøver, at der er dokumentation for løbende tests af de etablerede tekniske foranstaltninger. Inspiceret, at evt. afvigelser og svagheder i de tekniske foranstaltninger er rettidigt og betryggende håndteret samt meddelt de dataansvarlige i behørigt omfang. | Ingen bemærkninger |
B.12 | Ændringer t il systemer, databaser og netværk følger fastlagte procedurer, som sikrer vedligeholdelse med relevante opdateringer og patches, herunder sikkerhedspatches. | Inspiceret, at der foreligger formaliserede procedurer for håndtering af ændringer t il systemer, databaser og netværk, herunder håndtering af relevante opdateringer, patches og sikkerhedspatches. Inspiceret ved udtræk af tekniske sikkerhedsparametre og - opsætninger, at systemer, databaser og netværk er opdateret med aftalte ændringer og relevante opdateringer, patches og sikkerhedspatches. | Ingen bemærkninger |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
B.13 | Der er formaliseret forretningsgang for t ildeling og afbrydelse af brugeradgange t il personoplysninger. Brugeres adgang revurderes regelmæssigt, herunder at rettigheder fortsat kan begrundes i et arbejdsbetinget behov. | Inspiceret, at der foreligger formaliserede procedurer for t ildeling og afbrydelse af brugernes adgang t il systemer og databaser, som anvendes t il behandling af personoplysninger. Inspiceret ved en st ikprøve på 4 medarbejderes adgange t il systemer og databaser, at de t ildelte brugeradgange er godkendt, og at der er et arbejdsbetinget behov. Inspiceret ved en st ikprøve på 1 fratrådt medarbejdere, at disses adgange t il systemer og databaser er rettidigt deaktiveret eller nedlagt. Inspiceret, at der foreligger dokumentation for regelmæssig - mindst en gang årligt – vurdering og godkendelse af t ildelte brugeradgange. | Ingen bemærkninger |
B.14 | Adgang t il systemer og databaser, hvori der sker behandling af personoplysninger, der medfører højrisiko for de registrerede, sker som minimum ved anvendelse af to-faktor autentifikation. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at to-faktor autentifikation anvendes ved behandling af personoplysninger, der medfører højrisiko for de registrerede. Inspiceret, at brugernes adgang t il at udføre behandling af personoplysninger, der medfører høj-risiko for de registrerede, alene kan ske ved anvendelse af to-faktor autentifikation. | Ingen bemærkninger |
B.15 | Der er etableret fysisk adgangssikkerhed, således at kun autoriserede personer kan opnå fysisk adgang t il lokaler og datacentre, hvori der opbevares og behandles personoplysninger. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at kun autoriserede personer kan opnå fysisk adgang t il lokaler og datacentre, hvori der opbevares og behandles personoplysninger. Inspiceret dokumentation for, at kun autoriserede personer har haft fysisk adgang t il lokaler og datacentre, hvori der opbevares og behandles personoplysninger, i erklæringsperioden. | Ingen bemærkning |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organisatoriske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
C.1 | Databehandlerens ledelse har godkendt en skriftlig informationssikkerhedspolitik, som er kommunikeret t il alle relevante interessenter, herunder databehandlerens medarbejdere. It -sikkerhedspolitikken tager udgangspunkt i den Der foretages løbende – og mindst en gang årligt – vurdering af, om it -sikkerhedspolitikken skal opdateres. | Inspiceret, at der foreligger en informationssikkerhedspolitik, som ledelsen har behandlet og godkendt inden for det seneste år. Inspiceret dokumentation for, at informationssikkerhedspolitikken er kommunikeret t il relevante interessenter, herunder databehandlerens medarbejdere. | Ingen bemærkninger |
C.2 | Databehandlerens ledelse har sikret, at informationssikkerhedspolitikken ikke er i modstrid med indgåede databehandleraftaler. | Inspiceret dokumentation for ledelsens vurdering af, at informationssikkerhedspolitikken generelt lever op t il kravene om sikringsforanstaltninger og behandlingssikkerheden i indgåede databehandleraftaler. Inspiceret ved en st ikprøve på 6 databehandleraftaler, at kravene i aftalerne er dækket af informationssikkerhedspolitikkens krav t il sikringsforanstaltninger og behandlingssikkerheden. | Ingen bemærkninger |
C.3 | Der udføres en efterprøvning af databehandlerens medarbejdere i forbindelse med ansættelse. Efterprøvningen omfatter i relevant omfang: • Referencer fra t idligere ansættelser • St raffeattest • Eksamensbeviser | Inspiceret, at der foreligger formaliserede procedurer, der sikrer efterprøvning af databehandlerens medarbejdere i forbindelse med ansættelse. Inspiceret ved en st ikprøve på 6 databehandleraftaler, at kravene t il efterprøvning af medarbejdere i aftalerne er dækket af databehandlerens procedurer for efterprøvning. Inspiceret ved en st ikprøve på 1 nyansatte medarbejdere i erklæringsperioden, at der er dokumentation for, at efterprøvningen har omfattet: • Referencer fra t idligere ansættelser • St raffeattest • Eksamensbeviser | Ingen bemærkninger |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organisatoriske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
C.4 | Ved ansættelse underskriver medarbejdere en fortrolighedsaftale. Endvidere bliver medarbejderen introduceret t il informationssikkerhedspolitik og procedurer vedrørende databehandling samt anden relevant information i forbindelse med medarbejderens behandling af personoplysninger. | Inspiceret ved en st ikprøve på 1 nyansat medarbejder i erklæringsperioden, at de pågældende medarbejdere har underskrevet en fortrolighedsaftale. Inspiceret ved en st ikprøve på 1 nyansat medarbejder i erklæringsperioden, at de pågældende medarbejdere er blevet introduceret t il: • Informationssikkerhedspolitikken • Procedurer vedrørende databehandling, samt anden relevant information | Ingen bemærkninger |
C.5 | Ved fratrædelse er der hos databehandleren implementeret en proces, som sikrer, at brugerens rettigheder bliver inaktive eller ophører, herunder at aktiver inddrages. | Inspiceret procedurer, der sikrer, at fratrådte medarbejderes rettigheder inaktiveres eller ophører ved fratrædelse, og at aktiver som adgangskort, pc, mobiltelefon etc. inddrages Inspiceret ved en st ikprøve på 1 fratrådte medarbejdere i erklæringsperioden, at rettigheder er inaktiveret eller ophørt, samt at aktiver er inddraget. | Ingen bemærkninger |
C.6 | Ved fratrædelse orienteres medarbejderen om, at den underskrevne fortrolighedsaftale fortsat er gældende, samt at medarbejderen er underlagt en generel tavshedspligt i relation t il behandling af personoplysninger, databehandleren udfører for de dataansvarlige. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at fratrådte medarbejdere gøres opmærksom på opretholdelse af fortrolighedsaftalen og generel tavshedspligt. Inspiceret ved en st ikprøve på 1 fratrådt medarbejdere i erklæringsperioden, at der er dokumentation for opretholdelse af fortrolighedsaftale og generel tavshedspligt. | Ingen bemærkninger |
C.7 | Der gennemføres løbende awareness-træning af databehandlerens medarbejdere i relation t il it -sikkerhed generelt samt behandlingssikkerhed i relation t il personoplysninger. | Inspiceret, at databehandleren udbyder awareness-træning t il medarbejderne omfattende generel it -sikkerhed og behandlingssikkerhed i relation t il personoplysninger. Inspiceret dokumentation for, at alle medarbejdere, som enten har adgang t il eller behandler personoplysninger, har gennemført den udbudte awareness-træning. | Ingen bemærkninger |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Der efterleves procedurer og kontroller, som sikrer, at personoplysninger kan slettes eller tilbageleveres såfremt der indgås aftale herom med den dataansvarlige. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
D.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der foretages opbevaring og sletning af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer for opbevaring og sletning af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Inspiceret, at procedurerne er opdateret. | Ingen bemærkninger |
D.2 | Der er aftalt følgende specifikke krav t il databehandlerens opbevaringsperioder og sletterutiner: • M ed mindre andet er angivet følger Bellcom de samme rutiner som for opbevaring af logs. Dvs man beholder data i 180 dage efter aftalens ophør. Så logs stadig er t ilgængelige. • 180 dage efter ophør af databehandler aftalen er der kontrol af at data er slette. En bekræftelse af sletningen sendes t il den data ansvarlige | Inspiceret, at de foreliggende procedurer for opbevaring og sletning indeholder de specifikke krav t il databehandlerens opbevaringsperioder og sletterutiner. Inspiceret ved en st ikprøve på 4 databehandlinger fra databehandlerens oversigt over behandlingsaktiviteter, at der er dokumentation for, at personoplysninger opbevares i overensstemmelse med de aftalte opbevaringsperioder. Inspiceret ved en st ikprøve på 4 databehandlinger fra databehandlerens oversigt over behandlingsaktiviteter, at der er dokumentation for, at personoplysninger er slettet i overensstemmelse med de aftalte sletterutiner. | Ingen bemærkninger |
D.3 | Ved ophør af behandling af personoplysninger for den dataansvarlige er data i henhold t il aftalen med den dataansvarlige: • Tilbageleveret t il den dataansvarlige og/ eller • Slet tet, hvor det ikke er i modstrid med anden lovgivning. | Inspiceret, at der foreligger formaliserede procedurer for behandling af den dataansvarliges data ved ophør af behandling af personoplysninger. Inspiceret ved en st ikprøve på 1 ophørte databehandlinger i erklæringsperioden, at der er dokumentation for, at den aftalte sletning eller t ilbagelevering af data er udført. | Ingen bemærkninger |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene opbevarer personoplysninger i overensstemmelse med aftalen med den dataansvarlige. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
E.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der alene foretages opbevaring af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer for, at der alene foretages opbevaring og behandling af personoplysninger i henhold t il databehandleraftalerne. Inspiceret, at procedurerne er opdateret. Inspiceret ved en st ikprøve på 6 databehandlinger fra databehandlerens oversigt over behandlingsaktiviteter, at der er dokumentation for, at databehandlingen sker i henhold t il databehandleraftalen. | Ingen bemærkninger |
E.2 | Databehandlerens databehandling inklusive opbevaring må kun finde sted på de af den dataansvarlige godkendte lokaliteter, lande eller landområder. | Inspiceret, at databehandleren har en samlet og opdateret oversigt over behandlingsaktiviteter med angivelse af lokaliteter, lande eller landområder. Inspiceret ved en st ikprøve på 3 databehandlinger fra databehandlerens oversigt over behandlingsaktiviteter, at der er dokumentation for, at databehandlingen, herunder opbevaring af personoplysninger, alene foretages på de lokaliteter, der fremgår af databehandleraftalen – eller i øvrigt er godkendt af den dataansvarlige. | Ingen bemærkninger |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren ved opfølgning på disses tekniske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
F.1 | Der foreligger skriftlige procedurer, som indeholder krav t il databehandleren ved anvendelse af underdatabehandlere, herunder krav om underdatabehandleraftaler og instruks. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer for anvendelse af underdatabehandlere, herunder krav om underdatabehandleraftaler og instruks. Inspiceret, at procedurerne er opdateret. | Ingen bemærkninger |
F.2 | Databehandleren anvender alene underdatabehandlere t il behandling af personoplysninger, der er specifikt eller generelt godkendt af den dataansvarlige. | Inspiceret, at databehandleren har en samlet og opdateret oversigt over anvendte underdatabehandlere. Inspiceret ved en st ikprøve på 1 underdatabehandlere fra databehandlerens oversigt over underdatabehandlere, at der er dokumentation for, at underdatabehandlerens databehandling fremgår af databehandleraftalerne – eller i øvrigt er godkendt af den dataansvarlige. | Ingen bemærkninger |
F.3 | Ved ændringer i anvendelsen af generelt godkendte underdatabehandlere underretters den dataansvarlige rettidigt i forhold t il at kunne gøre indsigelse gældende og/ eller t række persondata t ilbage fra databehandleren. Ved ændringer i anvendelse af specifikt godkendte underdatabehandlere er dette godkendt af den dataansvarlige. | Inspiceret, at der foreligger formaliserede procedurer for underretning t il den dataansvarlige ved ændringer i anvendelse af underdatabehandlere. Inspiceret dokumentation for, at den dataansvarlige er underrettet ved ændring i anvendelse af underdatabehandlerne i erklæringsperioden. | Ingen bemærkninger |
F.4 | Databehandleren har pålagt underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er forudsat i databehandleraftalen el.lign. med den dataansvarlige. | Inspiceret, at der foreligger underskrevne underdatabehandleraftaler med anvendte underdatabehandlere, som fremgår af databehandlerens oversigt. Inspiceret ved en st ikprøve på 1 underdatabehandleraftaler, at disse indeholder samme krav og forpligtelser, som er anført i databehandleraftalerne mellem de dataansvarlige og databehandleren. | Ingen bemærkninger |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren ved opfølgning på disses tekniske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
F.5 | Databehandleren har en oversigt over godkendte underdatabehandlere med angivelse af: • Navn • CVR-nr. • Adresse • Beskrivelse af behandlingen | Inspiceret, at databehandleren har en samlet og opdateret oversigt over anvendte og godkendte underdatabehandlere. Inspiceret, at oversigten som minimum indeholder de krævede oplysninger om de enkelte underdatabehandlere. | Ingen bemærkninger |
F.6 | Databehandleren foretager, på baggrund af ajourført risikovurdering af den enkelte underdatabehandler og den aktivitet, der foregår hos denne, en løbende opfølgning herpå ved møder, inspektioner, gennemgang af revisionserklæring eller lignende. Den dataansvarlige orienteres om den opfølgning, der er foretaget hos underdatabehandleren. | Inspiceret, at der foreligger formaliserede procedurer for opfølgning på behandlingsaktiviteter hos underdatabehandlerne og overholdelse af underdatabehandleraftalerne. Inspiceret dokumentation for, at der er foretaget en risikovurdering af den enkelte underdatabehandler og den aktuelle behandlingsaktivitet hos denne. Inspiceret dokumentation for, at der er foretaget behørig opfølgning på tekniske og organisatoriske foranstaltninger, behandlingssikkerheden hos de anvendte underdatabehandlere, t redjelands overførselsgrundlag og lignende. Inspiceret dokumentation for, at information om opfølgning hos underdatabehandlere meddeles den dataansvarlige, således at denne kan t ilret telægge eventuelt t ilsyn. | Ingen bemærkninger |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene overfører personoplysninger til tredjelande eller internationale organisationer i overensstemmelse med aftalen med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
G.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren alene overfører personoplysninger t il t redjelande eller internationale organisationer i overensstemmelse med aftalen med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at personoplysninger alene overføres t il t redjelande eller internationale organisationer i henhold t il aftale med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag. Inspiceret, at procedurerne er opdateret. | Ingen bemærkninger |
G.2 | Databehandleren må kun overføre personoplysninger t il t redjelande eller internationale organisationer efter instruks fra den dataansvarlige. | Inspiceret, at databehandleren har en samlet og opdateret oversigt over overførsler af personoplysninger t il t redjelande eller internationale organisationer. Inspiceret ved en st ikprøve på dataoverførsler fra databehandlerens oversigt over overførsler, at der er dokumentation for, at overførslen er aftalt med den dataansvarlige i databehandleraftalen eller senere godkendt. | Ingen bemærkninger |
G.3 | Databehandleren har i forbindelse med overførsel af personoplysninger t il t redjelande eller internationale organisationer vurderet og dokumenteret, at der eksisterer et gyldigt overførselsgrundlag. | Inspiceret, at der foreligger formaliserede procedurer for sikring af et gyldigt overførselsgrundlag. Inspiceret, at procedurerne er opdateret. Inspiceret ved en st ikprøve på dataoverførsel fra databehandlerens oversigt over overførsler, at der er dokumentation for et gyldigt overførselsgrundlag i databehandleraftalen med den dataansvarlige, samt at der kun er sket overførsler, i det omfang dette er aftalt med den dataansvarlige. | Ingen bemærkninger |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Der efterleves procedurer og kontroller, som sikrer, at databehandleren kan bistå den dataansvarlige med udlevering, rettelse, sletning eller begrænsning af oplysninger om behandling af personoplysninger til den registrerede. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
H.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren skal bistå den dataansvarlige i relation t il de registreredes rettigheder. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer for databehandlerens bistand af den dataansvarlige i relation t il de registreredes rettigheder. Inspiceret, at procedurerne er opdateret. | Ingen bemærkninger |
X.2 | Databehandleren har etableret procedurer, som i det omfang, dette er aftalt, muliggør en rettidig bistand t il den dataansvarlige i relation t il udlevering, rettelse, sletning eller begrænsning af og oplysning om behandling af personoplysninger t il den registrerede. | Inspiceret, at de foreliggende procedurer for bistand t il den dataansvarlige indeholder detaljerede procedurer for: • Udlevering af oplysninger • Rettelse af oplysninger • Slet ning af oplysninger • Begrænsning af behandling af personoplysninger • Oplysning om behandling af personoplysninger t il den registrerede. Inspiceret dokumentation for, at de anvendte systemer og databaser understøtter gennemførelsen af de nævnte detaljerede procedurer. | Ingen bemærkninger |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
I.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren skal underrette de dataansvarlige ved brud på persondatasikkerheden. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer, der indeholder krav t il underretning af de dataansvarlige ved brud på persondatasikkerheden. Inspiceret, at proceduren er opdateret. | Ingen bemærkninger |
I.2 | Databehandleren har etableret følgende kontroller for identifikation af eventuelle brud på persondatasikkerheden: • Awareness hos medarbejdere • Overvågning af netværkstrafik • Opfølgning på logning af t ilgang t il personoplysninger | Inspiceret, at databehandler udbyder awareness- t ræning t il medarbejderne i relation t il identifikation af eventuelle brud på persondatasikkerheden. Inspiceret dokumentation for, at netværkstrafik overvåges, samt at der sker opfølgning på anormaliteter, overvågningsalarmer, overførsel af store filer mv. Inspiceret dokumentation for, at der sker rettidig opfølgning på logning af adgang t il personoplysninger, herunder opfølgning på gentagne forsøg på adgang. | Ingen bemærkninger |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
I.3 | Databehandleren har ved eventuelle brud på persondatasikkerheden underrettet den dataansvarlige uden unødig forsinkelse og senest 72 t imer efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en underdatabehandler. | Inspiceret, at databehandleren har en oversigt over sikkerhedshændelser med angivelse af, om den enkelte hændelse har medført brud på persondatasikkerheden. Forespurgt underdatabehandlerne, om de har konstateret nogen brud på persondatasikkerheden i erklæringsperioden Inspiceret, at databehandleren har medtaget eventuelle brud på persondatasikkerheden hos underdatabehandlere i databehandlerens oversigt over sikkerhedshændelser. Inspiceret, at samtlige registrerede brud på persondata- sikkerheden hos databehandleren eller underdatabehandlerne er meddelt de berørte dataansvarlige uden unødig forsinkelse og senest 72 t imer efter, at databehandleren er blevet opmærksom på brud på persondatasikkerheden. | Ingen bemærkninger |
I.4 | Databehandleren har etableret procedurer for bistand t il den dataansvarlige ved dennes anmeldelse t il Datatilsynet: • Karakteren af bruddet på persondatasikkerheden • Sandsynlige konsekvenser af bruddet på persondatasikkerheden • Foranstaltninger, som er t ruffet eller foreslås | Inspiceret, at de foreliggende procedurer for underretning af de dataansvarlige ved brud på persondatasikkerheden indeholder detaljerede procedurer for: • Beskrivelse af karakteren af bruddet på persondatasikkerheden • Beskrivelse af sandsynlige konsekvenser af bruddet på persondatasikkerheden • Beskrivelse af foranstaltninger, som er t ruffet eller Inspiceret dokumentation for, at de foreliggende procedurer understøtter, at der t ræffes foranstaltninger for håndtering af bruddet på persondatasikkerheden. ELLER HVISBRUD I PERIODEN Inspiceret dokumentation for, at der ved brud på persondatasikkerheden er t ruffet foranstaltninger, som har håndteret bruddet på persondatasikkerheden. | Ingen bemærkninger |
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
Underskrifterne i dette dokument er juridisk bindende. Dokumentet er underskrevet via Penneo™ sikker digital underskrift. Underskrivernes identiteter er blevet registereret, og informationerne er listet herunder.
Penneo dokumentnøgle: YKH5T-F5S83-CH3G1-A5X44-EEY2Q-VD0WJ
“Med min underskrift bekræfter jeg indholdet og alle datoer i dette dokument.”
Xxxxx Xxxx Underskriver Serienummer: 088751f7-2414-4438-ae5f-9f27cb202cf3 IP: 00.000.xxx.xxx 2023-12-27 12:09:02 UTC | Xxxx Xxxxxxx Xxxxxxxx BELLCOM HOSTING ApS CVR: 31779626 Underskriver Serienummer: d0cd5a52-2207-45c3-8f58-c7e89a423164 IP: 000.00.xxx.xxx 2023-12-27 12:35:51 UTC |
Xxxxx Xxxxxxxx Xxxxxx Registreret revisor Serienummer: 6a99e4f2-6dad-4bcc-a2dc-bfa8b3fa8210 IP: 000.000.xxx.xxx 2023-12-27 13:11:54 UTC |
Dette dokument er underskrevet digitalt via Xxxxxx.xxx. Signeringsbeviserne i dokumentet er sikret og valideret ved anvendelse af den matematiske hashværdi af det originale dokument. Dokumentet er låst for ændringer og tidsstemplet med et certifikat fra en betroet tredjepart. Alle kryptografiske signeringsbeviser er indlejret i denne PDF, i tilfælde af de skal anvendes til validering i fremtiden.
Sådan kan du sikre, at dokumentet er originalt
Dette dokument er beskyttet med et Adobe CDS certifikat. Når du åbner dokumentet
i Adobe Reader, kan du se, at dokumentet er certificeret af Penneo e-signature service <xxxxxx@xxxxxx.xxx>. Dette er din garanti for, at indholdet af dokumentet er uændret.
Du har mulighed for at efterprøve de kryptografiske signeringsbeviser indlejret i dokumentet ved at anvende Penneos validator på følgende websted: https:// xxxxxx.xxx/xxxxxxxxx