Partner IT ApS
Partner IT ApS
Uafhængig tredjeparts tilsynsrapport om informationssikkerhed og foran- staltninger i henhold til databehandleraftaler med Partner IT ApS’ kunder
Pr. 15. juli 2024
Indholdsfortegnelse
2. Eksterne auditors udtalelse 4
3. Beskrivelse af behandling 6
4. Kontrolmål, kontrolaktivitet, test og resultat heraf 8
1. Ledelsens udtalelse
Partner IT ApS behandler personoplysninger på vegne af dennes kunder i henhold til indgået databehandleraf- tale.
Nedenstående er udarbejdet til brug for kunder, der benytter Partner IT ApS’ ydelser, og skal danne grundlag for at vurdere om kravene i EU's forordning om ”Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger” (herefter ”databeskyttelsesforordningen”) og databeskyttelsesloven er overholdt.
Partner IT ApS bekræfter, at:
a) Den medfølgende beskrivelse af Partner IT ApS’ behandling af personoplysninger, giver en retvisende beskrivelse af den behandling af personoplysninger der foretages ved benyttelse af Partner IT ApS’ ydelser.
(i) Redegør for, hvordan beskrivelsen af behandling af personoplysninger var udformet og im- plementeret
(ii) Ikke udelader eller forvansker oplysninger, der er relevante for omfanget af den beskrevne behandling af personoplysninger
b) De kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigts- mæssigt udformet pr. 15. juli 2024.
c) Der er etableret og opretholdt passende tekniske og organisatoriske foranstaltninger med henblik på at opfylde aftalerne med de dataansvarlige, god databehandlerskik og relevante krav til databehand- lere i henhold til databeskyttelsesforordningen og databeskyttelsesloven.
Herning, den 15. juli 2024 Partner IT ApS
Xxx Xxxx-Xxxxxxxxx CEO
2. Eksterne auditors udtalelse
Uafhængig tredjeparts tilsynsrapport om informationssikkerhed og foranstaltninger i henhold til databe- handleraftale med Partner IT ApS’ kunder
Omfang
Blanner Compliance ApS har fået til opgave at udarbejde en rapport og konklusion på Partner IT ApS’ beskri- velse af behandlingen af personoplysninger for deres kunder i henhold til indgåede databehandleraftaler, pr.
15. juli 2024 og om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, som er anført i afsnit 4.
Partner IT ApS’ ansvar
Partner IT ApS er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udtalelse, herunder fuldstændighe- den, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelsen er præsenteret; for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene samt for at udforme, implementere og effektivt udføre kontroller for at opnå de anførte kontrolmål.
Eksterne auditors ansvar
Blanner Compliance skal på grundlag af audithandlinger udtrykke en konklusion om Partner IT ApS’ beskrivelse samt om udformningen og implementeringen af kontroller, der knytter sig til de kontrolmål, der er anført i af- snit 4.
Arbejdet er udført baseret på gældende standarder der kræver, at der planlægges og udføres handlinger for at opnå viden om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og implementeret.
Opgave om at udarbejde en rapport og udtrykke en konklusion om beskrivelsen, udformningen og implemen- teringen af kontroller hos en databehandler omfatter udførelse af handlinger for at opnå bevis for oplysnin- gerne i databehandlerens beskrivelse af sin behandling af personoplysninger, samt for kontrollernes udform- ning og implementering. De valgte handlinger afhænger af den eksterne auditors vurdering, herunder vurde- ringen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller implementeret. Audithandlinger har omfattet test af implementeringen af sådanne kontroller, som anses for nødvendige for at kunne udtrykke en konklusion om at de kontrolmål, der er anført i beskrivelsen, blev op- nået. Opgaven omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, egnetheden af de heri anførte mål samt egnetheden af de kriterier, som databehandleren har specificeret og beskrevet.
Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for konklusionen.
Begrænsninger i kontroller hos en dataansvarlig
Partner IT ApS’ beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af dataansvar- lige og omfatter derfor ikke nødvendigvis alle de aspekter ved ydelsen, som hver enkelt dataansvarlig måtte anse for vigtige efter deres særlige forhold. Endvidere vil kontroller hos en databehandler som følge af deres art muligvis ikke forhindre eller opdage alle brud på persondatasikkerheden. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en data- behandler kan blive utilstrækkelige eller svigte.
Konklusion
Konklusionen er udformet på grundlag af de forhold, der er redegjort for i denne rapport. De kriterier, der er anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i ledelsens udtalelse. Det er vores opfattelse,
(a) at beskrivelsen af behandling af personoplysninger, således som denne var udformet og implemente- ret pr. 15. juli 2024 i alle væsentlige henseender er retvisende, og
(b) at kontrollerne, som knytter sig til de kontrolmål, der er anført i afsnit 4, i alle væsentlige henseender var hensigtsmæssigt udformet og implementeret pr. 15. juli 2024.
Beskrivelse af test af kontroller
De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultater af disse tests fremgår i afsnit 4.
Tiltænkte brugere og formål
Denne rapport og beskrivelsen af test af kontroller i afsnit 4 er udelukkende tiltænkt dataansvarlige, der har anvendt Partner IT ApS’ ydelser, som har en tilstrækkelig forståelse til at overveje den sammen med anden in- formation, herunder information om kontroller, som de dataansvarlige selv har udført, ved vurdering af, om kravene i databeskyttelsesforordningen er overholdt.
Langå, den 15. juli 2024
Xxxxx Xxxxxxx
Partner – Blanner Compliance ApS
Cand. Merc. Aud. (Revisor)
Certified Information System Auditor (CISA) Certificeret Data Protection Officer
ISO 27001 implementation certificeret
3. Beskrivelse af behandling
Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er at databe- handler hoster den dataansvarliges platforme og yder support til den dataansvarlige og dennes ansatte i den daglige drift af IT-systemer.
Karakteren af behandlingen
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om at:
• Varetage support til den dataansvarlige, hvor databehandleren kan have adgang til fuldstændige oplys- ninger hos den dataansvarlige.
• Varetage hosting af platforme, såvel som kontinuerlig driftssupport til den dataansvarlige
Databehandleren er berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sik- kerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne.
Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget):
• Logning af sin dataadgang til dataansvarliges systemer
• Sikre sin dataadgang til dataansvarliges systemer
• Sikre backup af dataansvarliges systemer
Personoplysninger
Typen af personoplysninger, der behandles:
• Almindelige personoplysninger
• Særlige kategorier af personoplysninger,
• Andre personlige oplysninger, herunder oplysninger om strafbare forhold og cpr-numre.
Kategorier af registrerede personer omfattet af databehandleraftalen:
• Dataansvarliges kunder
• Dataansvarliges ansatte
• Dataansvarliges samarbejdspartnere og leverandører
Praktiske tiltag
Der er formuleret og implementeret passende tekniske og organisatoriske foranstaltninger til at sikker be- handling af personoplysninger. Disse foranstaltninger er implementeret på baggrund af anerkendte branche- standarder herunder IS027001 og retningslinjer fra databeskyttelsesforordningen og tilsynsmyndigheden. Alle medarbejdere er gjort bekendt med de retningslinjer og trænes løbende heri. Diverse underleverandører og samarbejdspartnere er ligeledes gjort bekendt med retningslinjerne. Der bliver løbende ført kontrol med over- holdelse af retningslinjerne.
Risikovurdering
For hver behandlingsaktivitet er der foretaget en vurdering af sandsynligheden for at der sker tab af fortrolig- hed (uvedkommende får adgang til oplysningerne), integritet (oplysningerne er ikke korrekt) eller tilgængelig- hed (oplysninger mistes). I denne vurdering er der taget udgangspunkt i trusler og i de foranstaltninger der er implementeret for at beskytte oplysningernes fortrolighed, integritet og tilgængelighed.
Dernæst er konsekvensen for de registrerede blevet vurderet. Denne vurdering tager udgangspunkt i hvad konsekvensen for den registrerede er hvis der sker tab af fortrolige, integritet eller tilgængeligheden af oplys- ningerne. Vurdering er baseret på om oplysningerne er almindelige, fortrolige eller følsomme og de eventuelle indirekte konsekvenser med hensyn til typen af datasættet. Desto større sandsynlighed for at oplysningernes tab af fortrolighed, integritet eller tilgængelighed kan føre til materiel eller immateriel skade for den registre- redes, desto større er konsekvensen.
Baseret på vurderingen af sandsynligheden og konsekvensen ved behandlingsaktiviteten er der udregnet en risiko rating. Hvis denne rating vurderes til høj, bliver der udarbejdet en konsekvensanalyse og en handlings- plan for at sænke risikoen. I de tilfælde hvor dette ikke er muligt udarbejdes en konsekvensanalyse
Kontrolforanstaltninger
For at sikre implementeringen af Databeskyttelsesforordningen er der udarbejdet:
• Fortegnelse over behandlingsaktiviteter
• Liste over dataansvarlige
• Databehandleraftaler med underdatabehandlere
• Kontrol med databehandlere
• Risikovurderinger på behandlingsaktiviteter
• Interne politikker for beskyttelse af persondata og it-sikkerhed
• Awarenes træning af medarbejdere i beskyttelse af persondata og it-sikkerhed
• Databrugslog og plan for notifikation ved databrud
• Årshjul for periodiske kontroller af organisatoriske og tekniske foranstaltninger til overholdelse af Da- tabeskyttelsesforordningen og best practices indenfor generel it-sikkerhed.
Der henvises i øvrigt til afsnit 4, hvor de konkrete kontrolaktiviteter er beskrevet.
Komplementerende kontroller hos de dataansvarlige
Den dataansvarlige har følgende forpligtelser:
• at sikre sig, at personoplysningerne er ajourførte
• at sikre sig, at instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regu- lering
• at instruksen er hensigtsmæssig set i forhold til databehandleraftalen og hovedydelsen.
• at sikre sig, at den dataansvarliges brugere er ajourførte
4. Kontrolmål, kontrolaktivitet, test og resultat heraf
Kontrolmål A Der efterleves procedurer og kontroller, som sikrer, at instruks vedrørende behandling af personoplysninger efterleves i overensstemmelse med den indgående databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
A.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der alene må foretages behandling af personoplysninger, når der foreligger en instruks. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at behandling af personoplys- ninger alene foregår i henhold til instruks. Inspiceret, at procedurerne indeholder krav om minimum årlig vurdering af behov for opdatering, herunder ved ændringer i dataansvarliges in- struks eller ændringer i databehandlingen. Inspiceret, at procedurer er opdateret. | Ingen afvigelser konstateret |
A.2 | Databehandler udfører alene den behandling af personoplys- ninger, som fremgår af instruks fra dataansvarlig. | Inspiceret at behandlinger af personoplysninger, foregår i overensstemmelse med instruks. | Ingen afvigelser konstateret |
A.3 | Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestem- melser i anden EU-ret eller medlemsstaternes nationale ret. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer kontrol af, at behandling af per- sonoplysninger ikke er i strid med databeskyttel- sesforordningen eller anden lovgivning. Inspiceret, at der er procedurer for underretning af den dataansvarlige i tilfælde, hvor behandling af personoplysninger vurderes at være i strid med lovgivningen. | Ingen afvigelser konstateret Der har ikke været behov for underretning af dataansvarlige kunder. |
Kontrolmål A Der efterleves procedurer og kontroller, som sikrer, at instruks vedrørende behandling af personoplysninger efterleves i overensstemmelse med den indgående databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
Inspiceret, at den dataansvarlige er underrettet i tilfælde, hvor behandlingen af personoplysninger er vurderet i strid med lovgivningen. |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
B.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der etableres aftalte sikringsforanstaltninger for behandling af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at der etableres de aftalte sik- kerhedsforanstaltninger. Inspiceret, at procedurer er opdateret. Inspiceret, at der er etableret sikkerhedsforan- staltninger der, som minimum, lever op til den databehandleraftale, der indeholder de højeste krav til sikkerhed. | Ingen afvigelser konstateret |
B.2 | Databehandleren har foretaget en risikovurdering og på bag- grund heraf implementeret de tekniske foranstaltninger, der er vurderet relevante for at opnå en passende sikkerhed, her- under etableret de med dataansvarlige aftalte sikringsforan- staltninger. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at databehandler foretager en risikovurdering for at opnå en passende sikker- hed. Inspiceret, at den foretagne risikovurdering er opdateret og omfatter den aktuelle behandling af personoplysninger. Inspiceret, at databehandler har implementeret de tekniske foranstaltninger, som sikrer en pas- sende sikkerhed i overensstemmelse med risiko- vurderingen. | Ingen afvigelser konstateret |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
Inspiceret, at databehandler har implementeret de sikringsforanstaltninger, der er aftalt med de dataansvarlige. | |||
B.3 | Der er for de systemer og databaser, der anvendes til behand- ling af personoplysninger, installeret antivirus, som løbende opdateres. | Inspiceret, at der for de systemer og databaser, der anvendes til behandling af personoplysnin- ger, er installeret antivirus software. Inspiceret, at antivirus software er opdateret. | Ingen afvigelser konstateret |
B.4 | Ekstern adgang til systemer og databaser, der anvendes til be- handling af personoplysninger, sker gennem sikret firewall. | Inspiceret, at ekstern adgang til systemer og da- tabaser, der anvendes til behandling af person- oplysninger, alene sker gennem en firewall. Inspiceret, at firewall er passende konfigurere. | Ingen afvigelser konstateret |
B.5 | Adgang til personoplysninger er isoleret til brugere med ar- bejdsbetinget behov herfor. | Inspiceret, at der foreligger formaliserede proce- durer for begrænsning af brugeres adgang til per- sonoplysninger. Inspiceret, at der foreligger formaliserede proce- durer for opfølgning på, at brugeres adgang til personoplysninger er i overensstemmelse med deres arbejdsbetingede behov. Inspiceret, at de aftalte tekniske foranstaltninger understøtter opretholdelsen af begrænsningen i | Ingen afvigelser konstateret Der har ikke været nye ansættelser siden sidste audit og dermed har det ikke været muligt at teste tildeling af adgange. |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
brugernes arbejdsbetingede adgang til personop- lysninger. Inspiceret, at adgange til systemer og databaser, er begrænset til medarbejdernes arbejdsbetin- gede behov. Inspiceret, at nyansatte medarbejdere har fået tildelt de korrekte rettigheder, baseret på deres arbejdsmæssige behov. | |||
B.6 | Der er for de systemer og databaser, der anvendes til behand- ling af personoplysninger, etableret systemovervågning med alarmering. Overvågningen omfatter: • at servere kører og svarer • at services er kører • ressourceovervågning | Inspiceret, at der for systemer og databaser, der anvendes til behandling af personoplysning, er etableret systemovervågning med alarmering. | Ingen afvigelser konstateret |
B.7 | Der anvendes effektiv kryptering ved transmission af fortrolige og følsomme personoplysninger via internettet. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at transmission af følsomme og fortrolige oplysninger over internettet er | Ingen afvigelser konstateret |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
beskyttet af stærk kryptering baseret på en aner- kendt algoritme. Inspiceret, at teknologiske løsninger til kryptering har været tilgængelige og aktiveret. Inspiceret, at der anvendes kryptering af trans- missioner af følsomme og fortrolige personoplys- ninger via internettet. Forespurgt, om der har været ukrypterede trans- missioner af følsomme og fortrolige personoplys- ninger i det seneste år, samt om de dataansvar- lige er behørigt orienteret herom. | |||
B.8 | Der er etableret logning af databehandlerens aktiviteter på dataansvarliges servere: • Logon af systemadministratorer • Systemadministrators visning af password • Clearing af log | Inspiceret, at der foreligger formaliserede proce- durer for opsætning af logning af brugeraktivite- ter på dataansvarliges servere. Inspiceret, at logning af brugeraktiviteter på da- taansvarliges servere, er konfigureret og aktive- ret. Inspiceret, at sletning af logs bliver logget. | Ingen afvigelser konstateret |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
B.9 | Det sikres at relevante opdatering og patches, herunder sik- kerhedspatches, bliver installeret. | Inspiceret, at der foreligger formaliserede proce- durer for håndtering af patches og sikkerhedspat- ches. | Ingen afvigelser konstateret |
B.10 | Adgange til dataansvarliges databaser, hvori der sker behand- ling af personoplysninger er sikret med passende adgangskrav, herunder sikre passwords og to-faktor autentikation. | Inspiceret, at der foreligger formaliserede proce- durer for adgangskrav, herunder sikre passwords og to-faktor autentikation. Inspiceret, at krav til password er passende. Inspiceret, at adgang til dataansvarliges data skal ske gennem VPN med to-faktor når brugeren ikke er på databehandlerens netværk. | Ingen afvigelser konstateret |
B.11 | Der er etableret fysisk adgangssikkerhed, således at kun auto- riserede personer kan opnå fysisk adgang til lokaler og data- centre, hvori der opbevares og behandles personoplysninger. Fysisk sikkerhed i datacentre er outsourcet til underdatabe- handlere og krav til fysisk sikkerhed er defineret i aftaler. Databehandlerens kontorfaciliteter er sikret med personligt adgangskort og alarmer. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at kun autoriserede personer kan opnå fysisk adgang til lokaler og datacentre, hvori der opbevares og behandles personoplys- ninger. Inspiceret, at der er aftaler med datacentre ved- rørende fysisk sikkerhed. Inspiceret, at databehandlerens kontorfaciliteter er passende sikret. | Ingen afvigelser konstateret |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
B.12 | Interne netværk er segmenteret for at sikre begrænset adgang til systemer og databaser, der anvendes til behandling af per- sonoplysninger. | Forespurgt, om interne netværk er segmenteret med henblik på at sikre begrænset adgang til sy- stemer og databaser, der anvendes til behandling af personoplysninger. | Ingen afvigelser konstateret |
B.13 | Det er etableret en beredskabsplan som kan aktiveres i til- fælde af hændelser der tilsigter det, så supporten til dataan- svarlige kunder kan opretholdes. | Inspiceret, at der er etableret en operationel be- redskabsplan. Inspiceret, at beredskabsplanen er gennemgået indenfor det seneste år. | Ingen afvigelser konstateret |
B.14 | Der bliver foretaget backup af databaser, samt restoretest hvor det er aftalt med den dataansvarlige. Backuppen gemmes krypteret. | Inspiceret, at der foreligger formaliserede proce- durer for backup af databaser. Inspiceret, at backups lavet for dataansvarlige gemmes krypteret. Inspiceret, at der foretages restore test af backup. | Ingen afvigelser konstateret |
Kontrolmål C Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organisatoriske foranstaltninger til sikring af relevant behandlingssikker- hed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
C.1 | Databehandlerens ledelse har godkendt en skriftlig informati- onssikkerhedspolitik, som er kommunikeret til alle relevante interessenter, herunder databehandlerens medarbejdere. It- sikkerhedspolitikken tager udgangspunkt i den gennemførte risikovurdering. Der foretages løbende – og mindst en gang årligt – vurdering af, om it-sikkerhedspolitikken skal opdateres. | Inspiceret, at der foreligger en informationssik- kerhedspolitik, som ledelsen har behandlet og godkendt inden for det seneste år. Inspiceret dokumentation for, at informationssik- kerhedspolitikken er kommunikeret til relevante interessenter, herunder databehandlerens med- arbejdere. | Ingen afvigelser konstateret |
C.2 | Databehandlerens ledelse har sikret, at informationssikker- hedspolitikken ikke er i modstrid med indgåede databehand- leraftaler. | Inspiceret dokumentation for ledelsens vurdering af, at informationssikkerhedspolitikken generelt lever op til kravene om sikringsforanstaltninger og behandlingssikkerheden i indgåede databe- handleraftaler. Inspiceret, at kravene i den databehandleraftale der har de højeste krav til sikkerhed, som mini- mum, er dækket af informationssikkerhedspoli- tikkens krav til sikringsforanstaltninger og be- handlingssikkerheden. | Ingen afvigelser konstateret |
C.3 | Der udføres en efterprøvning af databehandlerens medarbej- dere i forbindelse med ansættelse. Efterprøvningen omfatter i relevant omfang: • Referencer fra tidligere ansættelser • Eksamensbeviser | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer efterprøvning af databehandle- rens medarbejdere i forbindelse med ansættelse. | Ingen afvigelser konstateret Der har ikke været nye ansættelser siden sidste audit og dermed har det ikke været |
Kontrolmål C Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organisatoriske foranstaltninger til sikring af relevant behandlingssikker- hed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
Forespurgt, at efterprøvningen af medarbejdere- omfatter: • Referencer fra tidligere ansættelser • Eksamensbeviser | muligt at teste efterprøvning af medarbej- dere. | ||
C.4 | Ved ansættelse underskriver medarbejdere en fortrolighedsaf- tale. Endvidere bliver medarbejderen introduceret til informa- tionssikkerhedspolitik og procedurer vedrørende databehand- ling samt anden relevant information i forbindelse med med- arbejderens behandling af personoplysninger. | Inspiceret, at medarbejdere har underskrevet en fortrolighedsaftale. Inspiceret, at medarbejdere er blevet introduce- ret til: • Informationssikkerhedspolitikken • Intern persondatapolitik | Ingen afvigelser konstateret |
C.5 | Ved fratrædelse er der hos databehandleren implementeret en proces, som sikrer, at brugerens rettigheder bliver inaktive eller ophører, herunder at aktiver inddrages. | Inspiceret procedurer, der sikrer, at fratrådte medarbejderes rettigheder inaktiveres eller op- hører ved fratrædelse, og at aktiver som ad- gangskort, pc, mobiltelefon etc. inddrages Inspiceret, at fratrådte medarbejderes rettighe- der er inaktiveret eller ophørt, samt forespurgt på at aktiver er inddraget. | Ingen afvigelser konstateret Der har ikke været fratrædelser siden sid- ste audit og dermed har det ikke været muligt at teste proceduren. |
Kontrolmål C Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organisatoriske foranstaltninger til sikring af relevant behandlingssikker- hed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
C.6 | Ved fratrædelse orienteres medarbejderen om, at den under- skrevne fortrolighedsaftale fortsat er gældende, samt at med- arbejderen er underlagt en generel tavshedspligt i relation til behandling af personoplysninger, databehandleren udfører for de dataansvarlige. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at fratrådte medarbejdere gø- res opmærksom på opretholdelse af fortrolighed- saftalen og generel tavshedspligt. Inspiceret, at der er i opsigelsesbrevet, er angivet oplysning om opretholdelse af fortrolighedsaftale og generel tavshedspligt for fratrådte medarbej- dere. | Ingen afvigelser konstateret Der har ikke været fratrædelser siden sid- ste audit og dermed har det ikke været muligt at teste proceduren. |
C.7 | Der gennemføres løbende awareness-træning af databehand- lerens medarbejdere i relation til it-sikkerhed generelt samt behandlingssikkerhed i relation til personoplysninger. | Inspiceret, at databehandleren udfører aware- ness-træning af medarbejderne omfattende ge- nerel it-sikkerhed og behandlingssikkerhed i rela- tion til personoplysninger. | Ingen afvigelser konstateret |
Kontrolmål D Der efterleves procedurer og kontroller, som sikrer, at personoplysninger kan slettes eller tilbageleveres såfremt der indgås aftale herom med den dataansvarlige. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
D.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der foretages opbevaring og sletning af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer for opbevaring og sletning af personoplys- ninger i overensstemmelse med aftalen med den dataansvarlige. Inspiceret, at procedurerne er opdateret. | Ingen afvigelser konstateret |
D.2 | Der er aftalt følgende specifikke krav til databehandlerens op- bevaringsperioder og sletterutiner: ”Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvar- lige, samt at slette eksisterende kopier.” | Inspiceret, at de foreliggende procedurer for op- bevaring og sletning indeholder de specifikke krav til databehandlerens opbevaringsperioder og sletterutiner. Inspiceret, at sletning på ophørte aftaler er fore- taget efter aftale med kunden. Inspiceret, at der for ophørte databehandlinger er dokumentation for, at den aftalte sletning eller tilbagelevering af data er udført. | Ingen afvigelser konstateret Der har ikke været ophør af aftaler siden sidste audit og dermed har det ikke været muligt at teste proceduren. |
D.3 | Ved ophør af behandling af personoplysninger for den dataan- svarlige er data i henhold til aftalen med den dataansvarlige: • Tilbageleveret til den dataansvarlige og/eller • Slettet, hvor det ikke er i modstrid med anden lovgiv- ning. | Inspiceret, at der foreligger formaliserede proce- durer for behandling af den dataansvarliges data ved ophør af behandling af personoplysninger. | Ingen afvigelser konstateret Der har ikke været ophør af aftaler siden sidste audit og dermed har det ikke været muligt at teste proceduren. |
Kontrolmål D Der efterleves procedurer og kontroller, som sikrer, at personoplysninger kan slettes eller tilbageleveres såfremt der indgås aftale herom med den dataansvarlige. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
Inspiceret, at der for ophørte databehandlinger er dokumentation for, at den aftalte sletning eller tilbagelevering af data er udført. |
Kontrolmål E Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene opbevarer personoplysninger i overensstemmelse med aftalen med den dataansvar- lige. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
E.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der alene foretages opbevaring af personoplysninger i over- ensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer for, at der alene foretages opbevaring og behandling af personoplysninger i henhold til da- tabehandleraftalerne. Inspiceret, at procedurerne er opdateret. Inspiceret, at der er dokumentation for, at data- behandlingen sker i henhold til databehandleraf- talen. | Ingen afvigelser konstateret |
E.2 | Databehandlerens databehandling inklusive opbevaring må kun finde sted på de af den dataansvarlige godkendte lokalite- ter, lande eller landområder. | Inspiceret, at databehandleren har en samlet og opdateret oversigt over behandlingsaktiviteter med angivelse af lokaliteter, lande eller landom- råder. Inspiceret, at der er dokumentation for, at data- behandlingen, herunder opbevaring af personop- lysninger, alene foretages på de lokaliteter, der fremgår af databehandleraftalen – eller i øvrigt er godkendt af den dataansvarlige. | Ingen afvigelser konstateret |
Kontrolmål F Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren ved opfølgning på disses tekni- ske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikker- hed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
F.1 | Der foreligger skriftlige procedurer, som indeholder krav til da- tabehandleren ved anvendelse af underdatabehandlere, her- under krav om underdatabehandleraftaler og instruks. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer for anvendelse af underdatabehandlere, herunder krav om underdatabehandleraftaler og instruks. Inspiceret, at procedurerne er opdateret. | Ingen afvigelser konstateret |
F.2 | Databehandleren anvender alene underdatabehandlere til be- handling af personoplysninger, der er specifikt eller generelt godkendt af den dataansvarlige. | Inspiceret, at databehandleren har en samlet og opdateret oversigt over anvendte underdatabe- handlere. Inspiceret, at der er dokumentation for, at under- databehandlerens databehandling fremgår af da- tabehandleraftalerne – eller i øvrigt er godkendt af den dataansvarlige. | Ingen afvigelser konstateret |
F.3 | Ved ændringer i anvendelsen af generelt godkendte underda- tabehandlere underretters den dataansvarlige rettidigt i for- hold til at kunne gøre indsigelse gældende og/eller trække persondata tilbage fra databehandleren. Ved ændringer i an- vendelse af specifikt godkendte underdatabehandlere er dette godkendt af den dataansvarlige. | Inspiceret, at der foreligger formaliserede proce- durer for underretning til den dataansvarlige ved ændringer i anvendelse af underdatabehandlere. Inspiceret dokumentation for, at den dataansvar- lige er underrettet ved ændring i anvendelse af underdatabehandlere. | Ingen afvigelser konstateret |
Kontrolmål F Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren ved opfølgning på disses tekni- ske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikker- hed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
F.4 | Databehandleren har pålagt underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er forudsat i data- behandleraftalen el.lign. med den dataansvarlige. | Inspiceret, at der foreligger underskrevne under- databehandleraftaler med anvendte underdata- behandlere, som fremgår af databehandlerens oversigt. Inspiceret, at underdatabehandleraftaler inde- holder samme krav og forpligtelser, som er an- ført i databehandleraftalerne mellem de dataan- svarlige og databehandleren. | Ingen afvigelser konstateret |
F.5 | Databehandleren har en oversigt over godkendte underdata- behandlere med angivelse af: • Navn • CVR-nr. • Adresse • Beskrivelse af behandlingen | Inspiceret, at databehandleren har en samlet og opdateret oversigt over anvendte og godkendte underdatabehandlere. Inspiceret, at oversigten som minimum indehol- der de krævede oplysninger om de enkelte un- derdatabehandlere. | Ingen afvigelser konstateret |
F.6 | Databehandleren foretager, på baggrund af ajourført risiko- vurdering af den enkelte underdatabehandler og den aktivitet, der foregår hos denne, en løbende opfølgning herpå ved mø- der, inspektioner, gennemgang af revisionserklæring eller lig- nende. Den dataansvarlige orienteres om den opfølgning, der er foretaget hos underdatabehandleren. | Inspiceret, at der foreligger formaliserede proce- durer for opfølgning på behandlingsaktiviteter hos underdatabehandlerne og overholdelse af underdatabehandleraftalerne. Inspiceret dokumentation for, at der er foretaget en risikovurdering af den enkelte | Ingen afvigelser konstateret |
Kontrolmål F Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren ved opfølgning på disses tekni- ske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikker- hed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
underdatabehandler og den aktuelle behand- lingsaktivitet hos denne. Inspiceret dokumentation for, at der er foretaget behørig opfølgning på tekniske og organisatori- ske foranstaltninger, behandlingssikkerheden hos de anvendte underdatabehandlere, tredjelands overførselsgrundlag og lignende. |
Kontrolmål G Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene overfører personoplysninger til tredjelande eller internationale organisationer i over- ensstemmelse med aftalen med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
G.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren alene overfører personoplysninger til tredjelande eller internationale organisationer i overensstem- melse med aftalen med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at personoplysninger alene overføres til tredjelande eller internationale or- ganisationer i henhold til aftale med den dataan- svarlige på baggrund af et gyldigt overførsels- grundlag. Inspiceret, at procedurerne er opdateret. | Ingen afvigelser konstateret Der overføres ikke data til usikre tredje- lande. |
G.2 | Databehandleren må kun overføre personoplysninger til tred- jelande eller internationale organisationer efter instruks fra den dataansvarlige. | Inspiceret, at databehandleren har en samlet og opdateret oversigt over overførsler af personop- lysninger til tredjelande eller internationale orga- nisationer. | Ingen afvigelser konstateret Der overføres ikke data til usikre tredje- lande. |
Kontrolmål H Der efterleves procedurer og kontroller, som sikrer, at databehandleren kan bistå den dataansvarlige med udlevering, rettelse, sletning eller begrænsning af oplysnin- ger om behandling af personoplysninger til den registrerede. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
H.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren skal bistå den dataansvarlige i relation til de registreredes rettigheder. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer for databehandlerens bistand af den data- ansvarlige i relation til de registreredes rettighe- der. Inspiceret, at procedurerne er opdateret. | Ingen afvigelser konstateret |
H.2 | Databehandleren har etableret procedurer, som i det omfang, dette er aftalt, muliggør en rettidig bistand til den dataansvar- lige i relation til udlevering, rettelse, sletning eller begræns- ning af og oplysning om behandling af personoplysninger til den registrerede. | Inspiceret, at de foreliggende procedurer for bi- stand til den dataansvarlige indeholder detalje- rede procedurer for: • Udlevering af oplysninger • Rettelse af oplysninger • Sletning af oplysninger • Begrænsning af behandling af person- oplysninger • Oplysning om behandling af personop- lysninger til den registrerede. Inspiceret dokumentation for, at de anvendte sy- stemer og databaser understøtter gennemførel- sen af de nævnte detaljerede procedurer. | Ingen afvigelser konstateret |
Kontrolmål I Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
I.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren skal underrette de dataansvarlige ved brud på persondatasikkerheden. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer, der indeholder krav til underretning af de dataansvarlige ved brud på persondatasikkerhe- den. Inspiceret, at proceduren er opdateret. | Ingen afvigelser konstateret |
I.2 | Databehandleren har etableret følgende kontroller for identi- fikation af eventuelle brud på persondatasikkerheden: • Awareness hos medarbejdere • Overvågning af servere • Logning af brugeraktivitet | Inspiceret, at databehandle awareness- træner medarbejderne i relation til identifikation af eventuelle brud på persondatasikkerheden. Inspiceret dokumentation for, at servere overvå- ges, samt at der sker opfølgning på overvågnings- alarmer. Inspiceret at der sker logning af brugeraktivite- ter. | Ingen afvigelser konstateret |
I.3 | Databehandleren har ved eventuelle brud på persondatasik- kerheden underrettet den dataansvarlige uden unødig forsin- kelse efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en un- derdatabehandler. | Inspiceret, at databehandleren har en oversigt over sikkerhedshændelser med angivelse af, om den enkelte hændelse har medført brud på per- sondatasikkerheden. Inspiceret, at databehandleren har medtaget eventuelle brud på persondatasikkerheden hos underdatabehandlere i databehandlerens over- sigt over sikkerhedshændelser. | Ingen afvigelser konstateret Der har ikke været brud på sikkerheden si- den sidste audit, som har påvirket tilgæn- gelig, fortrolighed eller integritet af kunde- data. |
Kontrolmål I Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
Inspiceret, at samtlige registrerede brud på per- sondatasikkerheden hos databehandleren eller underdatabehandlerne er meddelt de berørte dataansvarlige uden unødig forsinkelse. | |||
I.4 | Databehandleren har etableret procedurer for bistand til den dataansvarlige ved dennes anmeldelse til Datatilsynet: • Karakteren af bruddet på persondatasikkerheden • Sandsynlige konsekvenser af bruddet på persondata- sikkerheden • Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden. | Inspiceret, at de foreliggende procedurer for un- derretning af de dataansvarlige ved brud på per- sondatasikkerheden indeholder detaljerede pro- cedurer for: • Beskrivelse af karakteren af bruddet på persondatasikkerheden • Beskrivelse af sandsynlige konsekvenser af bruddet på persondatasikkerheden • Beskrivelse af foranstaltninger, som er truffet eller foreslås truffet for at hånd- tere bruddet på persondatasikkerheden. Inspiceret dokumentation for, at de foreliggende procedurer understøtter, at der træffes foran- staltninger for håndtering af bruddet på person- datasikkerheden. | Ingen afvigelser konstateret |