Databehandler] Uafhængig revisors ISAE 3000-erklæring med begrænset sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftale med [Dataansvarlig]
[Databehandler]
Uafhængig revisors ISAE 3000-erklæring med begrænset sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftale med [Dataansvarlig]
Erklæringen er udarbejdet til brug for de godkendte revisorer og må ikke anvendes af andre, eksempelvis konsulenter
Bemærk: Denne skabelon for erklæring indeholder en række eksempler på kontrolaktiviteter og revisionshandlinger. Disse er alene til inspiration og bør altid tilpasses til den konkrete risikovurdering, de foranstaltninger, der i øvrigt måtte være aftalt parterne imellem, og under hensyn til revisors professionelle vurdering.
19. november 2020
Indholdsfortegnelse
2. Uafhængig revisors erklæring 5
3. Beskrivelse af behandling 7
4. Kontrolmål, kontrolaktivitet, vurdering og resultat heraf 9
1. Ledelsens udtalelse
[Databehandler] behandler personoplysninger på vegne af [Dataansvarlige] i henhold til databehandleraftale [konkretiseres ved dato, version eller lignende – eksempelvis databehandleraftale for personaleadministration, version 2.3].
Medfølgende beskrivelse er udarbejdet til brug for [Dataansvarlige], der har anvendt [identifikation af behandling – eksempelvis personaleadministration i HC-System], og som har en tilstrækkelig forståelse til at vurdere beskrivelsen sammen med anden information, herunder information om kontroller, som de dataansvarlige selv har udført ved vurdering af, om kravene i EU's forordning om ”Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger” (herefter ”databeskyttelsesforordningen”) er overholdt. [Databehandler] bekræfter, at:
a) Den medfølgende beskrivelse, side [bb-cc], giver en retvisende beskrivelse af [identifikation af behandling – eksempelvis personaleadministration i HC-System], der har behandlet personoplysninger for dataansvarlige omfattet af databeskyttelsesforordningen i hele perioden fra [dato] til [dato]. Kriterierne anvendt for at give denne udtalelse var, at den medfølgende beskrivelse:
(i) Redegør for, hvordan [identifikation af behandling – eksempelvis personaleadministration i HC-System] var udformet og implementeret, herunder redegør for:
• De typer af ydelser, der er leveret, herunder typen af behandlede personoplysninger
• De processer i både it- og manuelle systemer, der er anvendt til at igangsætte, registrere, behandle og om nødvendigt korrigere, slette og begrænse behandling af personoplysninger
• De processer, der er anvendt for at sikre, at den foretagne databehandling er sket i henhold til kontrakt, instruks eller aftale med den dataansvarlige
• De processer, der sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt
• De processer, der ved ophør af databehandling sikrer, at der efter den dataansvarliges valg sker sletning eller tilbagelevering af alle personoplysninger til den dataansvarlige, medmindre lov eller regulering foreskriver opbevaring af personoplysningerne
• De processer, der i tilfælde af brud på persondatasikkerheden understøtter, at den dataansvarlige kan foretage anmeldelse til tilsynsmyndigheden samt underrettelse til de registrerede
• De processer, der sikrer passende tekniske og organisatoriske sikringsforanstaltninger for behandlingen af personoplysninger under hensyntagen til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet
• Kontroller, som vi med henvisning til [identifikation af behandling – eksempelvis personaleadministration i HC-System]’s afgrænsning har forudsat ville være implementeret af de dataansvarlige, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen
• Andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem (herunder de tilknyttede forretningsgange) og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen af personoplysninger
(ii) Indeholder relevante oplysninger om ændringer ved databehandlerens [identifikation af behandling – eksempelvis personaleadministration i HC-System] til behandling af personoplysninger foretaget i perioden fra [dato] til [dato]
(iii) Ikke udelader eller forvansker oplysninger, der er relevante for omfanget af den beskrevne [identifikation af behandling – eksempelvis personaleadministration i HC-System] til behandling af personoplysninger under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af dataansvarlige og derfor ikke kan omfatte ethvert aspekt ved [identifikation af behandling – eksempelvis personaleadministration i HC-System], som den enkelte dataansvarlige måtte anse vigtigt efter deres særlige forhold.
b) De kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var efter vores vurdering hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra [dato] til [dato]. Kriterierne anvendt for at give denne udtalelse var, at:
(i) De risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret
(ii) De identificerede kontroller ville, hvis udført som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål, og
(iii) Kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra [dato] til [dato].
c) Der er etableret og opretholdt passende tekniske og organisatoriske foranstaltninger med henblik på at opfylde aftalerne med de dataansvarlige, god databehandlerskik og relevante krav til databehandlere i henhold til databeskyttelsesforordningen.
I relation til ovenstående vurderinger bemærkes, at reguleringen vedrørende behandling af persondata er ny og kompleks. Der har endnu ikke på alle områder udviklet sig en konsistent praksis for hvordan de enkelte regler skal fortolkes. Selvom det er vores vurdering, at vi har etableret og opretholdt passende tekniske og organisatoriske foranstaltninger, kan der således vise sig at være forhold, hvor myndigheder og samarbejdspartnere anlægger en anden vurdering.
[Databehandlerens
underskrift]
[Datoen på databehandlerens
udtalelse]
[Databehandlerens adresse]
2. Uafhængig revisors erklæring
Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftale med [Dataansvarlig].
Til: [Databehandler] og [Dataansvarlig]
Omfang
Vi har fået som opgave at afgive erklæring om a) [Databehandler]’s beskrivelse på side [bb-cc] af [identifikation af behandling – eksempelvis personaleadministration i HC-System] i henhold til databehandleraftalen med [Dataansvarlig] som dataansvarlig, i hele perioden fra [dato] til [dato] og om b+c) udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen.
Vores konklusion udtrykkes med begrænset sikkerhed.
[Databehandler]’s ansvar
[Databehandler] er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udtalelse på side [aa], herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelsen er præsenteret; for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene samt for at udforme, implementere og effektivt udføre kontroller for at opnå de anførte kontrolmål.
Revisors uafhængighed og kvalitetsstyring
Vi har overholdt kravene til uafhængighed og andre etiske krav i FSR – danske revisorers retningslinjer for revisors etiske adfærd (Etiske regler for revisorer), der bygger på de grundlæggende principper om integritet, objektivitet, faglig kompetence og fornøden omhu, fortrolighed og professionel adfærd.
[Databehandlerens revisor] er underlagt international standard om kvalitetsstyring, ISQC 1, og anvender og opretholder således et omfattende kvalitetsstyringssystem, herunder dokumenterede politikker og procedurer vedrørende overholdelse af etiske krav, faglige standarder og krav ifølge lov og øvrig regulering.
Revisors ansvar
Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om [Databehandler]’s beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse.
Vi har udført vores arbejde i overensstemmelse med ISAE 3000, Andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger og yderligere krav ifølge dansk revisorlovgivning, med henblik på at opnå begrænset sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt.
En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen, udformningen og funktionaliteten af kontroller hos en databehandler omfatter udførelse af handlinger for at opnå bevis for oplysningerne i databehandlerens beskrivelse af sit [navnet på system/ydelse] samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har ved analyse og forespørgsel omfattet vurdering af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give begrænset sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev opnået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, egnetheden af de heri anførte mål samt egnetheden af de kriterier, som databehandleren har specificeret og beskrevet på side [aa].
Omfanget af de handlinger vi har udført, er mindre end ved en erklæringsopgave med høj grad af sikkerhed. Som følge heraf er den grad af sikkerhed, der er for vores konklusion, betydeligt mindre end den sikkerhed, der ville være opnået, hvis der var udført en erklæringsopgave med høj grad af sikkerhed.
Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion.
Begrænsninger i kontroller hos en databehandler
[Databehandler]’s beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af dataansvarlige og omfatter derfor ikke nødvendigvis alle de aspekter ved [navnet på systemet/ydelsen], som hver enkelt dataansvarlig måtte anse for vigtige efter deres særlige forhold. Endvidere vil kontroller hos en databehandler som følge af deres art muligvis ikke forhindre eller opdage alle brud på persondatasikkerheden. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en databehandler kan blive utilstrækkelige eller svigte.
Konklusion
Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i ledelsens udtalelse. Under vores arbejde er vi ikke blevet bekendt med forhold, der giver os anledning til at konkludere,
(a) at beskrivelsen af [identifikation af behandling – eksempelvis personaleadministration i HC-System], således som denne var udformet og implementeret i hele perioden fra [dato] til [dato], ikke i alle væsentlige henseender er retvisende, og
(b) at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, ikke i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra [dato] til [dato], og
(c) at de vurderede kontroller, som var de kontroller, der var nødvendige for at give begrænset sikkerhed for, at kontrolmålene i beskrivelsen blev opnået i alle væsentlige henseender, ikke har fungeret effektivt i hele perioden fra [dato] til [dato].
Beskrivelse af vurdering af kontroller
De specifikke kontroller, der blev vurderet (ved analyse og forespørgsel), samt arten, den tidsmæssige placering og resultater af disse vurderinger fremgår på side [yy-zz].
Tiltænkte brugere og formål
Denne erklæring og beskrivelsen af vurdering af kontroller på side [yy-zz] er udelukkende tiltænkt dataansvarlige, der har anvendt [Databehandler]’s [navnet på system/ydelse], som har en tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kontroller, som de dataansvarlige selv har udført, ved vurdering af, om kravene i databeskyttelsesforordningen er overholdt.
[Databehandlerens
revisors underskrift]
[Datoen på databehandlerens revisors
erklæring med sikkerhed]
[Databehandlerens revisors adresse]
3. Beskrivelse af behandling
Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er: [Her indsættes en kort beskrivelse af det/de underliggende aftaleforhold mellem parterne, der er baggrunden for behovet for en databehandleraftale, gerne med henvisning til ”hovedaftalen”, databehandleraftalen og øvrige relevante aftaler, formålet med behandlingen og karakteren af behandlingen].
Karakteren af behandlingen
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om [beskriv karakteren af behandlingen].
Personoplysninger
Beskriv typen af personoplysninger, der behandles [beskriv, hvilke specifikke personoplysninger der konkret behandles i henhold til databehandleraftalen]:
Almindelige personoplysninger, herunder identifikationsoplysninger som navn og adresse eller oplysninger om økonomi, skat, gæld, væsentlige sociale problemer, andre rent private forhold, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato og -stilling, arbejdsområde og arbejdstelefon.
Særlige kategorier af personoplysninger, herunder race og etnisk oprindelse, politisk overbevisning, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data med henblik på entydig identifikation, helbredsoplysninger, seksuelle forhold eller seksuel orientering.
Andre personlige oplysninger, herunder oplysninger om strafbare forhold og cpr-numre.
Kategorier af registrerede personer omfattet af databehandleraftalen:
[F.eks.: ansatte]
[F.eks.: klienter]
[F.eks.: kunder]
[F.eks.: børn]
Praktiske tiltag
En beskrivelse af de praktiske tiltag, herunder såvel tekniske som organisatoriske, som databehandleren har gennemført for at sikre overholdelse af sine forpligtelser efter databehandleraftalen. Beskrivelsen kan bl.a. omfatte en fremstilling af etablerede og implementerede ledelsessystemer for informationssikkerhed og for behandling af personoplysninger samt beskrivelsen af andre iværksatte tiltag.
Risikovurdering
En beskrivelse af, hvordan databehandleren har foretaget en kortlægning over risikoen for de registreredes rettigheder, herunder en afvejning af disse risici i forhold til de forholdsregler (eksempelvis kontrolforanstaltninger, jf. nedenstående), der bliver truffet for at beskytte disse rettigheder.
Selve risikovurderingen består af flere dele, der begge bør beskrives:
En kortlægning af alle de risici, behandlingen medfører, og en kategorisering (scoring, sandsynlighed og alvorlighed) heraf.
En vurdering af, hvad der er passende tekniske og organisatoriske foranstaltninger til at sørge for, at forordningen overholdes, og dette kan dokumenteres.
I de særlige tilfælde, hvor en høj risiko indebærer, at den dataansvarlige skal foretage en konsekvensanalyse vedrørende databeskyttelse, beskrives tillige, hvordan databehandleren eventuelt har bistået hermed.
Kontrolforanstaltninger
En beskrivelse af, hvilke kontrolforanstaltninger databehandleren har iværksat og gennemført til måling og kontrol af virkningen af det etablerede ledelsessystem for informationssikkerhed og for behandling af personoplysninger samt resultatmålinger herfra.
Der henvises i øvrigt til afsnit 4, hvor de konkrete kontrolaktiviteter er beskrevet.
Komplementerende kontroller hos de dataansvarlige
[Her indsættes beskrivelse af de kontroller, som forudsættes implementeret af de dataansvarlige, og som er væsentlige for at opnå de kontrolmål, der er anført i beskrivelsen.]
Den dataansvarlige har følgende forpligtelser:
[F.eks.: at sikre sig, at personoplysningerne er ajourførte]
[F.eks.: at sikre sig, at instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regulering]
[F.eks.: at instruksen er hensigtsmæssig set i forhold til denne databehandleraftale og hovedydelsen.]
[F.eks.: at sikre sig, at den dataansvarliges brugere er ajourførte]
XX
4. Kontrolmål, kontrolaktivitet, vurdering og resultat heraf
Kontrolmål
A |
|||
Nr. |
Databehandlerens kontrolaktivitet |
Revisors udførte vurdering (ved analyse og forespørgsel) |
Resultat af revisors vurdering |
A.1 |
Der foreligger skriftlige procedurer, som indeholder krav om, at der alene må foretages behandling af personoplysninger, når der foreligger en instruks. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. |
Forespurgt om der foreligger formaliserede procedurer, der sikrer, at behandling af personoplysninger alene foregår i henhold til instruks. Forespurgt om hvornår procedurer er opdateret, og hvilke opdateringer der eventuelt er foretaget. Inspiceret oversigt over skriftlige procedurer og vurdereret om denne forekommer opdateret og tilstrækkelig i forhold til databehandlingens omfang. |
|
A.2 |
Databehandler udfører alene den behandling af personoplysninger, som fremgår af instruks fra dataansvarlig. |
Forespurgt om hvordan ledelsen sikrer, at behandling af personoplysninger alene foregår i henhold til instruks, og vurderet hensigtsmæssigheden heraf. Inspiceret dokumentation for, at ledelsen har foretaget vurdering af databehandlingen efterleves af databehandleren og underdatabehandlere. |
|
A.3 |
Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
|
Forespurgt om der foreligger formaliserede procedurer, der sikrer kontrol af, at behandling af personoplysninger ikke er i strid med databeskyttelsesforordningen eller anden lovgivning. Forespurgt om der forligger formaliserede procedurer for underretning af den dataansvarlige i tilfælde, hvor behandling af personoplysninger vurderes at være i strid med lovgivningen. Vurderet om det er sandsynligt, at der vil ske underretning af den dataansvarlige hvis instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. ELLER Inspiceret dokumentation for at den dataansvarlige er underrettet i tilfælde, hvor behandlingen af personoplysninger er vurderet i strid med lovgivningen. |
|
Kontrolmål
B |
|||
Nr. |
Databehandlerens kontrolaktivitet |
Revisors udførte vurdering (ved analyse og forespørgsel) |
Resultat af revisors vurdering |
B.1 |
Der foreligger skriftlige procedurer, som indeholder krav om, at der etableres aftalte sikringsforanstaltninger for behandling af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres.
|
Forespurgt om der foreligger formaliserede procedurer, der sikrer, at der etableres de aftalte sikkerhedsforanstaltninger. Forespurgt om hvornår procedurer er opdateret, og hvilke opdateringer der eventuelt er foretaget. Inspiceret oversigt over skriftlige procedurer og vurdereret om denne forekommer opdateret og tilstrækkelig i forhold til aftalte sikringsforanstaltninger. |
|
B.2 |
Databehandleren har foretaget en risikovurdering og på baggrund heraf implementeret de tekniske foranstaltninger, der er vurderet relevante for at opnå en passende sikkerhed, herunder etableret de med dataansvarlige aftalte sikringsforanstaltninger.
|
Forespurgt om der foreligger formaliserede procedurer, der sikrer, at databehandler foretager en risikovurdering for at opnå en passende sikkerhed. Forespurgt om den foretagne risikovurdering er opdateret og omfatter den aktuelle behandling af personoplysninger. Forespurgt databehandler om hvilke tekniske foranstaltninger der er implementeret, og hvordan disse sikrer en passende sikkerhed i overensstemmelse med risikovurderingen. Inspiceret dokumentation for at databehandler har implementeret de sikringsforanstaltninger, der er aftalt med en enkelt udvalgt dataansvarlig. |
|
B.3 |
Der er for de systemer og databaser, der anvendes til behandling af personoplysninger, installeret antivirus, som løbende opdateres.
|
Forespurgt om der for de systemer og databaser, der anvendes til behandling af personoplysninger, er installeret antivirus software. Inspiceret dokumentation for at antivirus software er installeret og opdateret på et system og en database. |
|
B.4 |
Ekstern adgang til systemer og databaser, der anvendes til behandling af personoplysninger, sker gennem sikret firewall. |
Forespurgt om ekstern adgang til systemer og databaser, der anvendes til behandling af personoplysninger, alene sker gennem en firewall. Inspiceret dokumentation for at den seneste kontrol af at firewallen konfigureret i henhold til intern politik herfor. |
|
B.5 |
Interne netværk er segmenteret for at sikre begrænset adgang til systemer og databaser, der anvendes til behandling af personoplysninger. |
Forespurgt, om interne netværk er segmenteret med henblik på at sikre begrænset adgang til systemer og databaser, der anvendes til behandling af personoplysninger. Inspiceret netværksdiagrammer og anden netværksdokumentation for vurdering af om segmentering er behørig. |
|
B.6 |
Adgang til personoplysninger er isoleret til brugere med arbejdsbetinget behov herfor. |
Forespurgt om der foreligger formaliserede procedurer for begrænsning af brugeres adgang til personoplysninger. Forespurgt om der foreligger formaliserede procedurer for periodisk opfølgning på, at brugeres adgang til personoplysninger er i overensstemmelse med deres arbejdsbetingede behov. Inspiceret dokumentation for at periodisk opfølgning er udført efter planen. Inspiceret for en enkelt bruger for hver gruppe af brugere at brugeres adgange til systemer og databaser, at de er begrænset til medarbejdernes arbejdsbetingede behov. |
|
B.7 |
Der er for de systemer og databaser, der anvendes til behandling af personoplysninger, etableret systemovervågning med alarmering. Overvågningen omfatter:
|
Forespurgt om der for systemer og databaser, der anvendes til behandling af personoplysning, er etableret systemovervågning med alarmering. Inspiceret for en tilfældig udvalgt alarm, at der er sket opfølgning, samt at forholdet er meddelt de dataansvarlige i behørigt omfang. |
|
B.8 |
Der anvendes effektiv kryptering ved transmission af fortrolige og følsomme personoplysninger via internettet og med e-mail. |
Forespurgt om der foreligger formaliserede procedurer, der sikrer, at transmission af følsomme og fortrolige oplysninger over internettet er beskyttet af stærk kryptering baseret på en anerkendt algoritme. Forespurgt om teknologiske løsninger til kryptering har været tilgængelige og aktiveret i hele erklæringsperioden. Inspiceret opsætning af enkelte tilfældigt udvalgte transmissions veje at kryptering er effektiv. Forespurgt, om der har været ukrypterede transmissioner af følsomme og fortrolige personoplysninger i erklæringsperioden, samt om de dataansvarlige er behørigt orienteret herom. |
|
B.9 |
Der er etableret logning i systemer, databaser og netværk af følende forhold:
|
Forespurgt om der foreligger formaliserede procedurer for opsætning af logning af brugeraktiviteter i systemer, databaser og netværk, der anvendes til behandling og transmission af personoplysninger, herunder gennemgang og opfølgning på logs. Forespurgt om logning af brugeraktiviteter i systemer, databaser og netværk, der anvendes til behandling og transmission af personoplysninger, har været konfigureret og aktiveret i hele erklæringsperioden. Forespurgt om opsamlede oplysninger om brugeraktivitet i logs er beskyttet mod manipulation og sletning. Inspiceret ud fra en tilfældigt udvalgt dags logning, at logfiler har det forventede indhold i forhold til opsætning, samt inspiceret dokumentation for den foretagne opfølgning og håndtering af evt. sikkerhedshændelser, aktiviteter udført af systemadministratorer og andre med særlige rettigheder mv. |
|
B.10 |
Personoplysninger, der anvendes til udvikling, test eller lignende, er altid i pseudonymiseret eller anonymiseret form. Anvendelse sker alene for at varetage den ansvarliges formål i henhold til aftale og på dennes vegne. |
Forespurgt om der foreligger formaliserede procedurer for anvendelse af personoplysninger til udvikling, test og lignende, der sikrer, at anvendelsen alene sker i pseudonymiseret eller anonymiseret form. Inspiceret ved for en tilfældigt udvalgt udviklings- henholdsvis testdatabase, at personoplysninger heri er pseudonymiseret eller anonymiseret. |
|
B.11 |
De etablerede tekniske foranstaltninger testes løbende ved sårbarhedsscanninger og penetrationstests. |
Forespurgt om der foreligger formaliserede procedurer for løbende tests af tekniske foranstaltninger, herunder gennemførsel af sårbarhedsscanninger og penetrationstests. Inspiceret dokumentation for de seneste tests af de etablerede tekniske foranstaltninger. Forespurgt om evt. afvigelser og svagheder i de tekniske foranstaltninger er rettidigt og betryggende håndteret samt meddelt de dataansvarlige i behørigt omfang. |
|
B.12 |
Ændringer til systemer, databaser og netværk følger fastlagte procedurer, som sikrer vedligeholdelse med relevante opdateringer og patches, herunder sikkerhedspatches. |
Forespurgt om der foreligger formaliserede procedurer for håndtering af ændringer til systemer, databaser og netværk, herunder håndtering af relevante opdateringer, patches og sikkerhedspatches. Inspiceret ved udtræk eller opslag af tekniske sikkerhedsparametre og -opsætninger, for en enkelt af hver type systemer, databaser og netværk der anvendes, at disse er opdateret med aftalte ændringer og relevante opdateringer, patches og sikkerhedspatches. |
|
B.13 |
Der er formaliseret forretningsgang for tildeling og afbrydelse af brugeradgange til personoplysninger. Brugeres adgang revurderes regelmæssigt, herunder at rettigheder fortsat kan begrundes i et arbejdsbetinget behov. |
Forespurgt om der foreligger formaliserede procedurer for tildeling og afbrydelse af brugernes adgang til systemer og databaser, som anvendes til behandling af personoplysninger. Inspiceret for en enkelt medarbejder for hver gruppe af medarbejdere at adgange til systemer og databaser, er godkendt, og at der er et arbejdsbetinget behov. Inspiceret for en enkelt tilfældig udvalgt fratrådt medarbejder, at dennes adgange til systemer og databaser er rettidigt deaktiveret eller nedlagt. Inspiceret dokumentation for at periodisk vurdering og godkendelse af tildelte brugeradgange er udført efter planen. |
|
B.14 |
Adgang til systemer og databaser, hvori der sker behandling af personoplysninger, der medfører højrisiko for de registrerede, sker som minimum ved anvendelse af to-faktor autentifikation. |
Forespurgt om der foreligger formaliserede procedurer, der sikrer, at to-faktor autentifikation anvendes ved behandling af personoplysninger, der medfører højrisiko for de registrerede. Observeret, at brugernes adgang til at udføre behandling af personoplysninger, der medfører høj-risiko for de registrerede, alene kan ske ved anvendelse af to-faktor autentifikation. |
|
B.15 |
Der er etableret fysisk adgangssikkerhed, således at kun autoriserede personer kan opnå fysisk adgang til lokaler og datacentre, hvori der opbevares og behandles personoplysninger. |
Forespurgt om der foreligger formaliserede procedurer, der sikrer, at kun autoriserede personer kan opnå fysisk adgang til lokaler og datacentre, hvori der opbevares og behandles personoplysninger. Observeret for tilfældigt udvalgte lokaler og datacentre, hvori der opbevares og behandles personoplysninger, at det er sandsynligt at kun autoriserede personer har haft fysisk adgang hertil i erklæringsperioden. |
|
Kontrolmål
C |
|||
Nr. |
Databehandlerens kontrolaktivitet |
Revisors udførte vurdering (ved analyse og forespørgsel) |
Resultat af revisors vurdering |
C.1 |
Databehandlerens ledelse har godkendt en skriftlig informationssikkerhedspolitik, som er kommunikeret til alle relevante interessenter, herunder databehandlerens medarbejdere. It-sikkerhedspolitikken tager udgangspunkt i den gennemførte risikovurdering. Der foretages løbende – og mindst en gang årligt – vurdering af, om it-sikkerhedspolitikken skal opdateres. |
Forespurgt om der foreligger en informationssikkerhedspolitik, som ledelsen har behandlet og godkendt inden for det seneste år. Forespørg om hvordan informationssikkerhedspolitikken er kommunikeret til relevante interessenter, herunder databehandlerens medarbejdere. |
|
C.2 |
Databehandlerens ledelse har sikret, at informationssikkerhedspolitikken ikke er i modstrid med indgåede databehandleraftaler. |
Inspiceret dokumentation for ledelsens vurdering af, at informationssikkerhedspolitikken generelt lever op til kravene om sikringsforanstaltninger og behandlingssikkerheden i indgåede databehandleraftaler. Inspiceret ved en repræsentativ databehandleraftale, at kravene i aftalerne er dækket af informationssikkerhedspolitikkens krav til sikringsforanstaltninger og behandlingssikkerheden. |
|
C.3 |
Der udføres en efterprøvning af databehandlerens medarbejdere i forbindelse med ansættelse. Efterprøvningen omfatter i relevant omfang:
|
Forespurgt om der foreligger formaliserede procedurer, der sikrer efterprøvning af databehandlerens medarbejdere i forbindelse med ansættelse. Inspiceret for en tilfældigt udvalgt nyansat medarbejder i erklæringsperioden, at der er dokumentation for, at efterprøvningen har omfattet:
|
|
C.4 |
Ved ansættelse underskriver medarbejdere en fortrolighedsaftale. Endvidere bliver medarbejderen introduceret til informationssikkerhedspolitik og procedurer vedrørende databehandling samt anden relevant information i forbindelse med medarbejderens behandling af personoplysninger. |
Inspiceret for en tilfældigt udvalgt nyansat medarbejder i erklæringsperioden, at den pågældende medarbejder har underskrevet en fortrolighedsaftale og er blevet introduceret til:
|
|
C.5 |
Ved fratrædelse er der hos databehandleren implementeret en proces, som sikrer, at brugerens rettigheder bliver inaktive eller ophører, herunder at aktiver inddrages. |
Forespurgt om der foreligger procedurer, der sikrer, at fratrådte medarbejderes rettigheder inaktiveres eller ophører ved fratrædelse, og at aktiver som adgangskort, pc, mobiltelefon etc. inddrages. Inspiceret for en tilfældigt udvalgt fratrådt medarbejder i erklæringsperioden, at rettigheder er inaktiveret eller ophørt, samt at aktiver er inddraget. |
|
C.6 |
Ved fratrædelse orienteres medarbejderen om, at den underskrevne fortrolighedsaftale fortsat er gældende, samt at medarbejderen er underlagt en generel tavshedspligt i relation til behandling af personoplysninger, databehandleren udfører for de dataansvarlige. |
Forespurgt om der foreligger formaliserede procedurer, der sikrer, at fratrådte medarbejdere gøres opmærksom på opretholdelse af fortrolighedsaftalen og generel tavshedspligt. Inspiceret for en tilfældigt udvalgt fratrådt medarbejder i erklæringsperioden, at der er dokumentation for opretholdelse af fortrolighedsaftale og generel tavshedspligt. |
|
C.7 |
Der gennemføres løbende awareness-træning af databehandlerens medarbejdere i relation til it-sikkerhed generelt samt behandlingssikkerhed i relation til personoplysninger. |
Forespurgt om databehandleren udbyder awareness-træning til medarbejderne omfattende generel it-sikkerhed og behandlingssikkerhed i relation til personoplysninger. Inspiceret dokumentation for, at alle medarbejdere, som enten har adgang til eller behandler personoplysninger, har gennemført den udbudte awareness-træning. |
|
Kontrolmål
D |
|||
Nr. |
Databehandlerens kontrolaktivitet |
Revisors udførte vurdering (ved analyse og forespørgsel) |
Resultat af revisors vurdering |
D.1 |
Der foreligger skriftlige procedurer, som indeholder krav om, at der foretages opbevaring og sletning af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres.
|
Forespurgt om der foreligger formaliserede procedurer for opbevaring og sletning af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Forespurgt om hvornår procedurer er opdateret, og hvilke opdateringer der eventuelt er foretaget. Inspiceret oversigt over skriftlige procedurer og vurdereret om denne forekommer opdateret og tilstrækkelig i forhold til aftalte opbevaring og sletning af personoplysninger. |
|
D.2 |
Der er aftalt følgende specifikke krav til databehandlerens opbevaringsperioder og sletterutiner:
|
Forespurgt om de foreliggende procedurer for opbevaring og sletning indeholder de specifikke krav til databehandlerens opbevaringsperioder og sletterutiner. Inspiceret for en tilfældigt udvalgt databehandling fra databehandlerens oversigt over behandlingsaktiviteter, at der er dokumentation for, at personoplysninger opbevares i overensstemmelse med de aftalte opbevaringsperioder og sletterutiner. |
|
D.3 |
Ved ophør af behandling af personoplysninger for den dataansvarlige er data i henhold til aftalen med den dataansvarlige:
|
Forespurgt om der foreligger formaliserede procedurer for behandling af den dataansvarliges data ved ophør af behandling af personoplysninger. Inspiceret for en tilfældigt udvalgt ophørte databehandling i erklæringsperioden, at der er dokumentation for, at den aftalte sletning eller tilbagelevering af data er udført. |
|
Kontrolmål
E |
|||
Nr. |
Databehandlerens kontrolaktivitet |
Revisors udførte vurdering (ved analyse og forespørgsel) |
Resultat af revisors vurdering |
E.1 |
Der foreligger skriftlige procedurer, som indeholder krav om, at der alene foretages opbevaring af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. |
Forespurgt om der foreligger formaliserede procedurer for, at der alene foretages opbevaring og behandling af personoplysninger i henhold til databehandleraftalerne. Forespurgt om hvornår procedurer er opdateret, og hvilke opdateringer der eventuelt er foretaget. Inspiceret for en tilfældigt udvalgt databehandling fra databehandlerens oversigt over behandlingsaktiviteter, at der er dokumentation for, at databehandlingen sker i henhold til databehandleraftalen. |
|
E.2 |
Databehandlerens databehandling inklusive opbevaring må kun finde sted på de af den dataansvarlige godkendte lokaliteter, lande eller landområder.
|
Forespurgt om databehandleren har en samlet og opdateret oversigt over behandlingsaktiviteter med angivelse af lokaliteter, lande eller landområder. Inspiceret for en tilfældigt udvalgt databehandling fra databehandlerens oversigt over behandlingsaktiviteter, at der er dokumentation for, at databehandlingen, herunder opbevaring af personoplysninger, alene foretages på de lokaliteter, der fremgår af databehandleraftalen – eller i øvrigt er godkendt af den dataansvarlige. |
|
Kontrolmål
F |
|||
Nr. |
Databehandlerens kontrolaktivitet |
Revisors udførte vurdering (ved analyse og forespørgsel) |
Resultat af revisors vurdering |
F.1 |
Der foreligger skriftlige procedurer, som indeholder krav til databehandleren ved anvendelse af underdatabehandlere, herunder krav om underdatabehandleraftaler og instruks. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres.
|
Forespurgt om der foreligger formaliserede procedurer for anvendelse af underdatabehandlere, herunder krav om underdatabehandleraftaler og instruks. Forespurgt om hvornår procedurer er opdateret, og hvilke opdateringer der eventuelt er foretaget. Inspiceret oversigt over skriftlige procedurer og vurdereret om denne forekommer opdateret og tilstrækkelig i forhold til anvendelse af underdatabehandlere. |
|
F.2 |
Databehandleren anvender alene underdatabehandlere til behandling af personoplysninger, der er specifikt eller generelt godkendt af den dataansvarlige. |
Forespurgt om databehandleren har en samlet og opdateret oversigt over anvendte underdatabehandlere. Inspiceret for en tilfældigt udvalgt underdatabehandler fra databehandlerens oversigt over underdatabehandlere, at der er dokumentation for, at underdatabehandlerens databehandling fremgår af databehandleraftalerne – eller i øvrigt er godkendt af den dataansvarlige (specifikt eller indirekte). |
|
F.3 |
Ved ændringer i anvendelsen af generelt godkendte underdatabehandlere underretters den dataansvarlige rettidigt i forhold til at kunne gøre indsigelse gældende og/eller trække persondata tilbage fra databehandleren. Ved ændringer i anvendelse af specifikt godkendte underdatabehandlere er dette godkendt af den dataansvarlige. |
Forespurgt om der foreligger formaliserede procedurer for underretning til den dataansvarlige ved ændringer i anvendelse af underdatabehandlere. Inspiceret dokumentation for, at den dataansvarlige er underrettet ved ændring i anvendelse af underdatabehandlerne i erklæringsperioden. |
|
F.4 |
Databehandleren har pålagt underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er forudsat i databehandleraftalen el.lign. med den dataansvarlige.
|
Forespurgt om der foreligger underskrevne underdatabehandleraftaler med anvendte underdatabehandlere, som fremgår af databehandlerens oversigt. Inspiceret for en tilfældigt udvalgt underdatabehandleraftale, at denne indeholder samme krav og forpligtelser, som er anført i databehandleraftalerne mellem de dataansvarlige og databehandleren. |
|
F.5 |
Databehandleren har en oversigt over godkendte underdatabehandlere med angivelse af:
|
Forespurgt om databehandleren har en samlet og opdateret oversigt over anvendte og godkendte underdatabehandlere. Inspiceret for en enkelt underdatabehandler at oversigten som indeholder de krævede oplysninger. |
|
F.6 |
Databehandleren foretager, på baggrund af ajourført risikovurdering af den enkelte underdatabehandler og den aktivitet, der foregår hos denne, en løbende opfølgning herpå ved møder, inspektioner, gennemgang af revisionserklæring eller lignende. Den dataansvarlige orienteres om den opfølgning, der er foretaget hos underdatabehandleren.
|
Forespurgt om der foreligger formaliserede procedurer for opfølgning på behandlingsaktiviteter hos underdatabehandlerne og overholdelse af underdatabehandleraftalerne. Inspiceret dokumentation for, at der er foretaget en risikovurdering af en tilfældigt udvalgt underdatabehandler og den aktuelle behandlingsaktivitet hos denne, samt at de er foretaget planlagt opfølgning i overensstemmelse med risikovurderingen. |
|
Kontrolmål
G |
|||
Nr. |
Databehandlerens kontrolaktivitet |
Revisors udførte vurdering (ved analyse og forespørgsel) |
Resultat af revisors vurdering |
G.1 |
Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren alene overfører personoplysninger til tredjelande eller internationale organisationer i overensstemmelse med aftalen med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. |
Forespurgt om der foreligger formaliserede procedurer, der sikrer, at personoplysninger alene overføres til tredjelande eller internationale organisationer i henhold til aftale med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag. Forespurgt om hvornår procedurer er opdateret, og hvilke opdateringer der eventuelt er foretaget. Inspiceret oversigt over skriftlige procedurer og vurdereret om denne forekommer opdateret og tilstrækkelig i forhold til overførsel af personoplysninger. |
|
G.2 |
Databehandleren må kun overføre personoplysninger til tredjelande eller internationale organisationer efter instruks fra den dataansvarlige.
|
Forespurgt om databehandleren har en samlet og opdateret oversigt over overførsler af personoplysninger til tredjelande eller internationale organisationer. Inspiceret for en tilfældigt udvalgt dataoverførsel fra databehandlerens oversigt over overførsler, at der er dokumentation for, at overførslen er aftalt med den dataansvarlige i databehandleraftalen eller udført efter modtaget instruks fra den dataansvarlige. |
|
G.3 |
Databehandleren har i forbindelse med overførsel af personoplysninger til tredjelande eller internationale organisationer vurderet og dokumenteret, at der eksisterer et gyldigt overførselsgrundlag. |
Forespurgt om der foreligger formaliserede procedurer for sikring af et gyldigt overførselsgrundlag. Forespurgt om hvornår procedurer er opdateret, og hvilke opdateringer der eventuelt er foretaget. Inspiceret for en tilfældigt udvalgt dataoverførsel fra databehandlerens oversigt over overførsler, at der er dokumentation for et gyldigt overførselsgrundlag i databehandleraftalen med den dataansvarlige, samt at der kun er sket overførsler, i det omfang dette er aftalt med den dataansvarlige. |
|
Kontrolmål
H |
|||
Nr. |
Databehandlerens kontrolaktivitet |
Revisors udførte vurdering (ved analyse og forespørgsel) |
Resultat af revisors vurdering |
H.1 |
Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren skal bistå den dataansvarlige i relation til de registreredes rettigheder. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. |
Forespurgt om der foreligger formaliserede procedurer for databehandlerens bistand af den dataansvarlige i relation til de registreredes rettigheder. Forespurgt om hvornår procedurer er opdateret, og hvilke opdateringer der eventuelt er foretaget. Inspiceret oversigt over skriftlige procedurer og vurdereret om denne forekommer opdateret og tilstrækkelig i forhold til bistand til den dataansvarlige. |
|
H.2 |
Databehandleren har etableret procedurer, som i det omfang, dette er aftalt, muliggør en rettidig bistand til den dataansvarlige i relation til udlevering, rettelse, sletning eller begrænsning af og oplysning om behandling af personoplysninger til den registrerede.
|
Forespurgt om de foreliggende procedurer for bistand til den dataansvarlige indeholder detaljerede procedurer for:
Vurderet om det er sandsynligt, at de anvendte systemer og databaser understøtter gennemførelsen af de nævnte detaljerede procedurer. |
|
Kontrolmål
I |
|||
Nr. |
Databehandlerens kontrolaktivitet |
Revisors udførte vurdering (ved analyse og forespørgsel) |
Resultat af revisors vurdering |
I.1 |
Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren skal underrette de dataansvarlige ved brud på persondatasikkerheden. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. |
Forespurgt om der foreligger formaliserede procedurer, der indeholder krav til underretning af de dataansvarlige ved brud på persondatasikkerheden. Forespurgt om hvornår procedurer er opdateret, og hvilke opdateringer der eventuelt er foretaget. Inspiceret oversigt over skriftlige procedurer og vurdereret om denne forekommer opdateret og tilstrækkelig i forhold til håndtering af sikkerhedsbrud. |
|
I.2 |
Databehandleren har etableret følgende kontroller for identifikation af eventuelle brud på persondatasikkerheden:
|
Forespurgt om databehandler udbyder awareness- træning til medarbejderne i relation til identifikation af eventuelle brud på persondatasikkerheden. Inspiceret dokumentation for, at netværkstrafik overvåges, samt at der sker opfølgning på anormaliteter, overvågningsalarmer, overførsel af store filer mv. Forespurgt om hvordan det sikres at der sker rettidig opfølgning på logning af adgang til personoplysninger, herunder opfølgning på gentagne forsøg på adgang. Inspiceret dokumentation for, at XX |
|
I.3 |
Databehandleren har ved eventuelle brud på persondatasikkerheden underrettet den dataansvarlige uden unødig forsinkelse og senest XX timer efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en underdatabehandler. |
Forespurgt om databehandleren har en oversigt over sikkerhedshændelser med angivelse af, om den enkelte hændelse har medført brud på persondatasikkerheden. Forespurgt underdatabehandlerne, om de har konstateret nogen brud på persondatasikkerheden i erklæringsperioden Forespurgt om databehandleren har medtaget eventuelle brud på persondatasikkerheden hos underdatabehandlere i databehandlerens oversigt over sikkerhedshændelser. Forespurgt om samtlige registrerede brud på persondatasikkerheden hos databehandleren eller underdatabehandlerne er meddelt de berørte dataansvarlige uden unødig forsinkelse og senest XX timer efter, at databehandleren er blevet opmærksom på brud på persondatasikkerheden. |
|
I.4 |
Databehandleren har etableret procedurer for bistand til den dataansvarlige ved dennes anmeldelse til Datatilsynet:
|
Forespurgt om de foreliggende procedurer for underretning af de dataansvarlige ved brud på persondatasikkerheden indeholder detaljerede procedurer for:
Vurderet om det er sandsynligt, at de foreliggende procedurer understøtter, at der træffes foranstaltninger for håndtering af bruddet på persondatasikkerheden. |
|