Contract
Creditro A/S
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Uafhængig revisors ISAE 3000-erklæ- ring om informationssikkerhed og for- anstaltninger for perioden 21. februar 2023 til 31. december 2023 i henhold til databehandleraftale med den data- ansvarlige
Januar 2024
Indholdsfortegnelse
1. Ledelsens udtalelse 3
2. Uafhængig revisors erklæring 5
3. Beskrivelse af behandling 8
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
4. Kontrolmål, kontrolaktivitet, test og resultat heraf 14
1. Ledelsens udtalelse
Creditro A/S behandler personoplysninger på vegne af den dataansvarlig i henhold til databehandleraftale.
Medfølgende beskrivelse er udarbejdet til brug for den dataansvarlige, der har anvendt Creditro A/S' digi- tale løsninger, og som har en tilstrækkelig forståelse til at vurdere beskrivelsen sammen med anden infor- mation, herunder information om kontroller, som den dataansvarlige selv har udført ved vurdering af, om kravene i EU's forordning om ”Beskyttelse af fysiske personer i forbindelse med behandling af personoplys- ninger og om fri udveksling af sådanne oplysninger” og ”Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger” (herefter ”databeskyttelsesreglerne”) er overholdt.
Creditro A/S anvender Microsoft, Xxxxxxxxxx.xx, Visma Solutions, Sendinblue, Experian, MongoDB og Criipto som underdatabehandlere. Erklæringen anvender partielmetoden og omfatter ikke kontrolmål og tilknyttede kontroller, som underdatabehandlerne varetager for Creditro A/S.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Enkelte af de kontrolmål, der er anført i vores beskrivelse i afsnit 3, kan kun nås, hvis de komplementære kontroller hos den dataansvarlige er hensigtsmæssigt udformet og fungerer effektivt sammen med vores kontroller. Erklæringen omfatter ikke hensigtsmæssigheden af udformningen og funktionaliteten af disse komplementære kontroller.
Creditro A/S bekræfter, at:
a) Den medfølgende beskrivelse i afsnit 3 giver en tilfredsstillende præsentation af Creditro A/S' digitale løsninger, der har behandlet personoplysninger for dataansvarlige omfattet af databeskyttelsesreglerne i hele perioden 21. februar 2023 til 31. december 2023. Kriterierne anvendt for at give denne udtalelse var, at den medfølgende beskrivelse:
(i) Redegør for, hvordan Creditro A/S' digitale løsninger var udformet og implementeret, herunder redegør for:
De typer af ydelser, der er leveret, herunder typen af behandlede personoplysninger
De processer i både it-systemer og manuelle systemer, der er anvendt til at igangsætte, regi- strere, behandle og om nødvendigt korrigere, slette og begrænse behandling af personoplys- ninger
De processer, der er anvendt for at sikre, at den foretagne databehandling er sket i henhold til kontrakt, instruks eller aftale med den dataansvarlige
De processer, der sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt
De processer, der ved ophør af databehandling sikrer, at der efter den dataansvarliges valg sker sletning eller tilbagelevering af alle personoplysninger til den dataansvarlige, medmindre lov eller regulering foreskriver opbevaring af personoplysningerne
De processer, der i tilfælde af brud på persondatasikkerheden understøtter, at den dataansvar- lige kan foretage anmeldelse til tilsynsmyndigheden samt underretning af de registrerede
De processer, der sikrer passende tekniske og organisatoriske sikkerhedsforanstaltninger for behandlingen af personoplysninger under hensyntagen til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af
eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde be- handlet
Kontroller, som vi med henvisning til afgrænsningen af Creditro A/S' digitale løsninger har for- udsat ville være implementeret af den dataansvarlige, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen
Andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem (herunder de tilknyttede forretningsgange) og kommunikation, kontrolaktiviteter og overvågningskon- troller, som har været relevante for behandlingen af personoplysninger
(ii) Indeholder relevante oplysninger om ændringer i databehandlerens Creditro A/S' digitale løsnin- ger, til behandling af personoplysninger foretaget i perioden 21. februar 2023 til 31. december 2023
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
(iii) Ikke udelader eller forvansker oplysninger, der er relevante for omfanget af Creditro A/S' be- skrevne digitale løsninger til behandling af personoplysninger under hensyntagen til, at beskrivel- sen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af dataansvarlige og derfor ikke kan omfatte ethvert aspekt ved Creditro A/S' digitale løsninger, som den enkelte dataansvar- lige måtte anse vigtigt efter sine særlige forhold.
b) De kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigts- mæssigt udformet og fungerede effektivt i hele perioden 21. februar 2023 til 31. december 2023. Kriteri- erne anvendt for at give denne udtalelse var, at:
(i) De risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret
(ii) De identificerede kontroller ville, hvis udført som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål, og
(iii) Kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden 21. februar 2023 til 31. december 2023.
c) Der er etableret og opretholdt passende tekniske og organisatoriske foranstaltninger med henblik på at opfylde aftalerne med de dataansvarlige, god databehandlerskik og relevante krav til databehandlere i henhold til databeskyttelsesreglerne.
Esbjerg, den 4. januar 2024
Creditro A/S
Xxxxx Xxxxxxxxx Adm. direktør
2. Uafhængig revisors erklæring
Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og for- anstaltninger for perioden 21. februar 2023 til 31. december 2023 i henhold til databehand- leraftale med den dataansvarlige
Til: Creditro A/S og den dataansvarlige
Omfang
Vi har fået som opgave at afgive erklæring om Creditro A/S’ beskrivelse i afsnit 3 af Creditro A/S' digitale løsninger i henhold til databehandleraftale med den dataansvarlige i hele perioden 21. februar 2023 til 31. december 2023 (beskrivelsen) og om udformningen og funktionen af kontroller, der knytter sig til de kon- trolmål, som er anført i beskrivelsen.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nærværende erklæring omfatter, om Creditro A/S har udformet og effektivt udført hensigtsmæssige kon- troller, der knytter sig til de kontrolmål, der fremgår af afsnit 4. Erklæringen omfatter ikke en vurdering af Creditro A/S’ generelle efterlevelse af kravene i EU's forordning om ”Beskyttelse af fysiske personer i for- bindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger” og ”Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger” (herefter ”databeskyttelsesreglerne”).
Creditro A/S anvender Microsoft, Xxxxxxxxxx.xx, Visma Solutions, Sendinblue, Experian, MongoDB og Criipto som underdatabehandlere. Erklæringen anvender partielmetoden og omfatter ikke kontrolmål og tilknyttede kontroller, som underdatabehandlerne varetager for Creditro A/S.
Enkelte af de kontrolmål, der er anført i Creditro A/S’ beskrivelse i afsnit 3, kan kun nås, hvis de komple- mentære kontroller hos den dataansvarlige er hensigtsmæssigt udformet og fungerer effektivt sammen med Creditro A/S’ kontroller. Erklæringen omfatter ikke hensigtsmæssigheden af udformningen og funkti- onaliteten af disse komplementære kontroller.
Vores konklusion udtrykkes med høj grad af sikkerhed.
Creditro A/S’ ansvar
Creditro A/S er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udtalelse i afsnit 1, herunder fuld- stændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelsen er præsenteret; for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene samt for at udforme og effektivt udføre kontroller for at opnå de anførte kontrolmål.
Revisors uafhængighed og kvalitetsstyring
Vi har overholdt kravene til uafhængighed og andre etiske krav i International Ethics Standards Board for Accountants’ internationale retningslinjer for revisorers etiske adfærd (IESBA Code), der bygger på de grundlæggende principper om integritet, objektivitet, professionel kompetence og fornøden omhu, fortro- lighed og professionel adfærd, samt etiske krav gældende i Danmark.
Vores revisionsfirma anvender International Standard on Quality Management 1, ISQM 1, som kræver, at vi designer, implementerer og driver et kvalitetsstyringssystem, herunder politikker eller procedurer vedrø- rende overholdelse af etiske krav, faglige standarder og gældende lov og øvrig regulering.
PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, CVR-nr. 33 77 12 31
Xxxxxxxxxxx 00, 0000 Xxxxxxxx
T: 3945 3945, F: 3945 3987, xxx.xxx.xx
Revisors ansvar
Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Creditro A/S’ beskrivelse samt om udformningen og funktionen af de kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse.
Vi har udført vores arbejde i overensstemmelse med ISAE 3000 (ajourført), ”Andre erklæringer med sik- kerhed end revision eller review af historiske finansielle oplysninger”, og de yderligere krav, der er gæl- dende i Danmark, med henblik på at opnå høj grad af sikkerhed for, at beskrivelsen i alle væsentlige hense- ender er tilfredsstillende præsenteret, og at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen, udformningen og funktionali- teten af kontroller hos en databehandler omfatter udførelse af handlinger for at opnå bevis for oplysnin- gerne i databehandlerens beskrivelse af Creditro A/S' digitale løsninger, samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er tilfredsstillende præsenteret, og at kontrollerne ikke er hensigtsmæssigt udfor- met eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontrol- ler, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i be- skrivelsen, blev opnået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt egnetheden af de kriterier, som databehandleren har specificeret og beskrevet i ledelsens udtalelse.
Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores kon- klusion.
Begrænsninger i kontroller hos en databehandler
Creditro A/S’ beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af dataan- svarlige og omfatter derfor ikke nødvendigvis alle de aspekter ved Creditro A/S' digitale løsninger, som hver enkelt dataansvarlige måtte anse for vigtige efter sine særlige forhold. Endvidere vil kontroller hos en databehandler som følge af deres art muligvis ikke forhindre eller opdage alle brud på persondatasikkerhe- den. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergi- vet risikoen for, at kontroller hos en databehandler kan blive utilstrækkelige eller svigte.
Konklusion
Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De krite- rier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i ledelsens udta- lelse. Det er vores opfattelse,
a) at beskrivelsen af Creditro A/S' digitale løsninger, således som det var udformet og implementeret i hele perioden 21. februar 2023 til 31. december 2023, i alle væsentlige henseender er tilfredsstillende præsenteret, og
b) at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige hense- ender var hensigtsmæssigt udformet i hele perioden 21. februar 2023 til 31. december 2023, og
c) at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev opnået i alle væsentlige henseender, har fungeret effektivt i hele perioden 21. februar 2023 til 31. december 2023.
Beskrivelse af test af kontroller
De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultaterne af disse test fremgår af afsnit 4.
Tiltænkte brugere og formål
Denne erklæring og beskrivelsen af test af kontroller i afsnit 4 er udelukkende tiltænkt dataansvarlige, der har anvendt Creditro A/S' digitale løsninger, og som har en tilstrækkelig forståelse til at overveje den sam- men med anden information, herunder information om kontroller, som de dataansvarlige selv har udført, ved vurdering af om kravene i databeskyttelsesreglerne er overholdt.
Aarhus, den 4. januar 2024 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab CVR-nr. 33 77 12 31
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Xxxxxx Xxxxxxxx Xxxxxx statsautoriseret revisor mne26801
3. Beskrivelse af behandling
Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige
Formålet med denne beskrivelse er at levere oplysninger til Creditro A/S’ kunder og deres interessenter (herunder revisorer) om efterlevelse af indholdet af EU' s generelle databeskyttelsesforordning ("GDPR").
Desuden er formålet med denne beskrivelse at give oplysninger om behandlingssikkerheden, tekniske og organisatoriske foranstaltninger samt ansvar mellem de dataansvarlige (vores kunder) og Creditro A/S.
Karakteren af behandlingen
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Den dataansvarlige har erhvervet licens til Creditro A/S' digitale løsninger, hvor den dataansvarlige ved brug af løsningerne indtaster, uploader, importerer eller på anden vis tilføjer data, herunder personoplys- ninger, til løsningerne med henblik på brug, herunder til at assistere den dataansvarlige med overholdelse af dennes forpligtelser i henhold til hvidvasklovgivning, at indhente og levere oplysninger om økonomiske forhold og kreditrelaterede forhold til den dataansvarlige samt opbevare de indhentede oplysninger for den dataansvarlige, og udsende dokumenter, med henblik på at den dataansvarlige kan opnå digital underskrift af disse samt opbevare sådanne dokumenter for den dataansvarlige. I forbindelse med leveringen af løsnin- gerne behandler databehandleren således personoplysninger på vegne af den dataansvarlige efter gæl- dende regler og i overensstemmelse med indgået databehandleraftale.
Personoplysninger
Typen af personoplysninger, der behandles, er:
1. Navn
2. Kontaktoplysninger, herunder e-mailadresse og mobiltelefonnummer
3. Relation til virksomhed, selskab eller organisation, herunder rolle som ejer, ledelsesmedlem, stil- ling
4. Hvidvaskrapporter
5. Virksomhedsrapporter
6. Økonomiske forhold
7. Kopier af identitetspapirer
8. CPR-numre
9. Omtale i medier
10. Informationer i dokumenter, som den dataansvarlige uploader til databehandlerens tjeneste
11. Informationer, som databehandleren efter aftale med den dataansvarlige indhenter til dennes brug
12. Oplysninger i dokumenter til underskrift
13. Dokumentation for underskrift, herunder elektroniske ID-oplysninger.
Creditro A/S behandler de kategorier af personoplysninger, som den dataansvarlige har instrueret Creditro A/S til og informeret om i databehandleraftalen. Ved brug af løsningen er der dog mulighed for, at den da- taansvarlige kan overlade behandling af alt slags data til Creditro A/S henset til den dataansvarliges frie mulighed for at uploade eller på anden vis tilføje løsningen data. Såfremt Creditro A/S får vished om be- handling af typer af personoplysninger, der ikke er forudsat i databehandleraftalen, vil Creditro A/S under- rette den dataansvarlige herom, men det er til enhver tid den dataansvarliges ansvar korrekt at angive de typer af personoplysninger, som brugen af løsningen omfatter. Det fremhæves, at Creditro A/S ikke foreta- ger kontrol hermed, ligesom Creditro A/S ikke kan tilgå den dataansvarliges tilføjede personoplysninger uden særskilt samtykke.
Kategorier af registrerede personer omfattet af databehandleraftalen:
1. Personer, som den dataansvarlige ønsker at gennemføre hvidvaskundersøgelse af
2. Personer, der har relation til virksomheder, selskaber eller organisationer, som den dataansvarlige
ønsker at indhente oplysninger om
3. Personer, der fremgår af dokumenter, som den dataansvarlige uploader til de anvendte løsninger
4. Personer, som den dataansvarlige ønsker at indhente oplysninger om
5. Personer, der skal underskrive dokumenter
6. Personer, der er nævnt i dokumenter, som udsendes til underskrivelse.
Creditro A/S behandler kun data om de registrerede, som den dataansvarlige har instrueret Creditro A/S til og informeret om i databehandleraftalen. Ved brug af løsningen er der dog mulighed for, at den dataan- svarlige kan overlade behandling af personoplysninger om alle personkategorier henset til den dataansvar- liges frie mulighed for at uploade eller på anden vis tilføje løsningen data. Såfremt Creditro A/S får vished om behandling af kategori af personer, der ikke er forudsat i databehandleraftalen, vil Creditro A/S under- rette den dataansvarlige herom, men det er til enhver tid den dataansvarliges ansvar korrekt at angive de kategorier af personer, der er relevante for den dataansvarliges tiltænkte brug af løsningen. Det fremhæves, at Creditro A/S ikke foretager kontrol hermed, ligesom Creditro A/S ikke kan tilgå den dataansvarliges til- føjede kategorier af registrerede uden særskilt samtykke.
Instruks fra den dataansvarlige
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
1. Creditro A/S må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvar- lige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databe- handleren er underlagt. Denne instruks fremgår af den indgåede databehandleraftale og er nær- mere specificeret i gældende bilag A og C.
2. Creditro A/S underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes me- ning er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller med- lemsstaternes nationale ret.
3. Creditro A/S har sikret, at der foreligger skriftlige procedurer, som indeholder krav om, at der alene må foretages behandling af personoplysninger, når der foreligger en instruks. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. Creditro A/S udfører alene den behandling af personoplysninger, som fremgår af instruks fra den dataansvar- lige.
Praktiske tiltag
Behandling af data udgør kernen af den service, vi yder til vores kunder. Derfor er vores kunders tiltro og tillid til, at vi kan levere vores service på sikker og fortrolig vis også af helt afgørende betydning for vores forretningsgrundlag.
Vi tager derfor databeskyttelse og GDPR meget alvorligt og har et kontinuerligt fokus på at behandle vores kunders data sikkert, herunder ved fortløbende forbedring af vores tekniske og organisatoriske sikkerheds- foranstaltninger.
Følgende er en ikke-udtømmende liste over vores sikkerhedsforanstaltninger, som træffes henholdsvis af Creditro A/S og/eller tilkøbt hos leverandører:
It-sikkerhedspolitik
Retningslinjer for medarbejdersikkerhed
Styring af aktiver, herunder kontrol af udlevering og returnering af aktiver ved ansættelser og fra- trædelser
Kryptografi
Leverandørforhold og/eller tilsynsplan med underdatabehandler
Styring af persondatassikkerhedsbrud og hændelseshåndtering
Sikring af etablering af databehandleraftaler med underdatabehandlere
Sikring af, at de krav, der pålægges i henhold til lovgivning eller af kunder via kontrakter og data- behandleraftaler, tilsvarende pålægges underdatabehandlere
Kontrol og opdatering af risikovurdering, politikker og procedurer
Løbende oplæring af medarbejderne i GDPR
Kontrol af adgangsforhold efter arbejdsbetinget behov.
Anvendelse af underdatabehandlere
Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehand- lere, samt at databehandleren ved opfølgning på disses tekniske og organisatoriske foranstaltninger til be- skyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende be- handlingssikkerhed.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Når Creditro A/S gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlings- aktiviteter på vegne af den dataansvarlige, sikrer Creditro A/S gennem en kontrakt eller andet retligt doku- ment i henhold til EU-retten eller medlemsstaternes nationale ret, at underdatabehandleren pålægges de samme databeskyttelsesforpligtelser som dem, der fremgår af databehandleraftalen mellem Creditro A/S og den dataansvarlige, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger, på en sådan måde at behandlingen overholder kravene i databehandleraftalen og databeskyttelsesforordningen. Creditro A/S er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder Creditro A/S' forpligtelser efter indgået databe- handleraftale og efter databeskyttelsesforordningen.
Underdatabehandleraftale® og eventuelle senere ændringer hertil er tilgængelig på hjemmesiderne tilhø- rende Creditro A/S, hvorved den dataansvarlige herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser, som følger af disse bestemmelser, er pålagt underdatabehandleren. Bestem- melser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehand- leraftalen, gøres ikke tilgængelig for den dataansvarlige.
Risikovurdering
Creditro A/S har foretaget en kortlægning over risikoen for de registreredes rettigheder, herunder en afvej- ning af disse risici i forhold til de forholdsregler, der er truffet for at beskytte disse rettigheder. Selve risiko- vurderingen består af flere dele, herunder:
En kortlægning af alle de risici, behandlingen medfører, og en kategorisering (scoring, sandsynlig- hed og alvorlighed) heraf.
En vurdering af, hvad der er passende tekniske og organisatoriske foranstaltninger til at sørge for, at forordningen overholdes, og at dette kan dokumenteres.
I Creditro A/S' egne risikovurderinger er der ingen høj risiko for de registrerede på tværs af alle typer af registrerede og kategorier af personoplysninger.
Kontrolforanstaltninger
Creditro A/S har etableret et årshjul til systematisk måling og kontrol af behandlingssikkerheden. Konklu- sioner på kontroller fra årshjulet evalueres løbende og mindst en gang i kvartalet af ledelsen. Krævede og vedtagne forbedringer i forlængelse heraf foretages løbende, og underretning herom sker i nyhedsbreve til de dataansvarlige. Creditro A/S har etableret en række foranstaltninger og kontroller for at sikre overhol- delse af databeskyttelsesforordningen og de indgåede databehandleraftaler. De etablerede foranstaltninger og kontroller omfatter følgende kontrolmål:
Kontrolmål A
Der efterleves procedurer og kontroller, som sikrer, at instruks vedrørende behandling af person- oplysninger efterleves i overensstemmelse med den indgåede databehandleraftale.
Kontrolmål B
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekni- ske foranstaltninger til sikring af relevant behandlingssikkerhed.
Kontrolmål C
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organi- satoriske foranstaltninger til sikring af relevant behandlingssikkerhed.
Kontrolmål D
Der efterleves procedurer og kontroller, som sikrer, at personoplysninger kan slettes eller tilbagele- veres, såfremt der indgås aftale herom med den dataansvarlige.
Kontrolmål E
Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene opbevarer personop- lysninger i overensstemmelse med aftalen med den dataansvarlige.
Kontrolmål F
Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabe- handlere, samt at databehandleren ved opfølgning på disses tekniske og organisatoriske foranstalt- ninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikkerhed.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Kontrolmål G
Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene overfører personop- lysninger til tredjelande eller internationale organisationer i overensstemmelse med aftalen med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag.
Kontrolmål H
Der efterleves procedurer og kontroller, som sikrer, at databehandleren kan bistå den dataansvar- lige med udlevering, rettelse, sletning eller begrænsning af oplysninger om behandling af person- oplysninger til den registrerede.
Kontrolmål I
Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale.
Der henvises i øvrigt til afsnit 4, hvor de konkrete kontrolaktiviteter er beskrevet.
Overførsel af personoplysninger
Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
Uden dokumenteret instruks fra den dataansvarlige kan Creditro A/S således ikke inden for rammerne af databehandleraftalen:
a) overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en interna- tional organisation
b) overlade behandling af personoplysninger til en underdatabehandler i et tredjeland
c) behandle personoplysningerne i et tredjeland.
Den dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, er angivet i databehandleraftalens bilag C.
De registreredes rettigheder
Under hensyntagen til behandlingens karakter bistår Creditro A/S så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges for- pligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyt- telsesforordningens kapitel III.
Dette indebærer, at Creditro A/S så vidt muligt bistår den dataansvarlige i forbindelse med, at den dataan- svarlige skal sikre overholdelsen af:
a) Oplysningspligten ved indsamling af personoplysninger hos den registrerede
b) Oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
c) Indsigtsretten
d) Retten til berigtigelse
e) Retten til sletning (”retten til at blive glemt”)
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
f) Retten til begrænsning af behandling
g) Underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller be- grænsning af behandling
h) Retten til dataportabilitet
i) Retten til indsigelse
j) Retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering.
Håndtering af persondatasikkerhedsbrud
Creditro A/S underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
Underretningen til den dataansvarlige sker om muligt senest 24 timer efter, at Creditro A/S er blevet be- kendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33.
I overensstemmelse med den indgåede databehandleraftale bistår Creditro A/S den dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed. Det betyder, at Creditro A/S skal bi- stå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3 skal fremgå af den dataan- svarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:
a) Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registre- ringer af personoplysninger
b) De sandsynlige konsekvenser af bruddet på persondatasikkerheden
c) De foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere brud- det på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
I databehandleraftalens bilag C findes nærmere angivet information, som Creditro A/S tilvejebringer i for- bindelse med sin bistand til den dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasik- kerheden til den kompetente tilsynsmyndighed.
Fortegnelse
Creditro A/S fører en fortegnelse over alle kategorier af behandlingsaktiviteter, der foretages på vegne af de dataansvarlige. Ledelsen hos Creditro A/S har sikret, at fortegnelsen over kategorier af behandlingsaktivi- teter for de enkelte dataansvarlige indeholder:
Navn og kontaktoplysninger på databehandleren, de dataansvarlige, den dataansvarliges eventuelle repræsentanter og databeskyttelsesrådgivere
De kategorier af behandling, der foretages på vegne af den enkelte dataansvarlige
Når det er relevant, oplysninger om overførsel til et tredjeland eller en international organisation samt dokumentation for passende garantier
Hvis det er muligt, en generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltnin- ger.
Der henvises i øvrigt til afsnit 4, hvor de konkrete kontrolaktiviteter er beskrevet.
Komplementære kontroller hos de dataansvarlige
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Foruden databehandlerens kontrolforanstaltninger gælder følgende:
Ved kryptering i transit er det den dataansvarliges eget ansvar at sikre, at der som minimum an- vendes TLS 1.2 i løsningen.
Ved anmodning om support er det den dataansvarliges ansvar at sikre, at der alene gives adgang til eller deles sådanne oplysninger, som løsningen af supporthenvendelsen forudsætter.
Den dataansvarlige skal sikre, at adgange og rettigheder til løsningen er korrekte.
Den dataansvarlige skal sikre, at personoplysninger er ajourførte.
Den dataansvarlige skal sikre, at den fornødne hjemmel til behandlingen er til stede.
Den dataansvarlige skal sikre sig, at instruksen er lovlig set i forhold til den til enhver tid gældende databeskyttelsesretlige regulering, samt at instruksen er hensigtsmæssig set i forhold til den indgå- ede abonnementsaftale om levering af den digitale løsning og den databehandleraftale, der ligele- des er indgået i den forbindelse.
Ved valg af løsningen er den dataansvarlige bekendt med funktionen for sletning af data. Løsnin- gen understøtter og forudsætter således, at den dataansvarlige selv skal udøve sletning eller tilba- getrækning af data, herunder tilføjede personoplysninger. Den dataansvarlige kan ved anmodning herom lade Creditro A/S forestå dette som nærmere beskrevet i den indgåede databehandleraftale.
Løsningen understøtter ligeledes den dataansvarliges ansvar ved anmodninger fra registrerede, som den dataansvarlige således selv vil kunne opfylde, dog således at Creditro A/S anerkender sin pligt til at bistå ved anmodninger herom.
4. Kontrolmål, kontrolaktivitet, test og resultat heraf
Kontrolmål A:
Der efterleves procedurer og kontroller, som sikrer, at instruks vedrørende behandling af personoplysninger efterleves i overensstemmelse med den ind- gåede databehandleraftale.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
A.1 Der foreligger skriftlige procedurer, som indehol- der krav om, at der alene må foretages behand- ling af personoplysninger, når der foreligger en instruks.
Der foretages løbende – og mindst én gang årligt
– vurdering af, om procedurerne skal opdateres.
A.2 Databehandleren udfører alene den behandling af personoplysninger, som fremgår af instruks fra den dataansvarlige.
A.3 Databehandleren underretter omgående den da- taansvarlige, hvis en instruks efter databehandle- rens mening er i strid med databeskyttelsesfor- ordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at behandling af personoplysninger alene foregår i henhold til instruks.
Inspiceret, at procedurerne indeholder krav om mini- mum årlig vurdering af behov for opdatering, herun- der ved ændringer i dataansvarliges instruks eller æn- dringer i databehandlingen.
Inspiceret, at procedurerne er opdateret.
Inspiceret, at ledelsen sikrer, at behandlingen af per- sonoplysninger alene foregår i henhold til instruks.
Inspiceret ved en stikprøve på behandlinger af person- oplysninger, at disse foregår i overensstemmelse med instruks.
Inspiceret, at der foreligger formaliserede procedurer, der sikrer kontrol af, at behandling af personoplysnin- ger ikke er i strid med databeskyttelsesforordningen eller anden lovgivning.
Inspiceret, at der er procedurer for underretning af den dataansvarlige, i tilfælde hvor behandling af per- sonoplysninger vurderes at være i strid med lovgivnin- gen.
Inspiceret, at den dataansvarlige er underrettet, i til- fælde hvor behandlingen af personoplysninger er vur- deret i strid med lovgivningen.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlings- sikkerhed.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
B.1 Der foreligger skriftlige procedurer, som indehol- der krav om, at der etableres aftalte sikkerheds- foranstaltninger for behandling af personoplys- ninger i overensstemmelse med aftalen med den dataansvarlige.
Der foretages løbende – og mindst én gang årligt
– vurdering af, om procedurerne skal opdateres.
B.2 Databehandleren har foretaget en risikovurdering og på baggrund heraf implementeret de tekniske foranstaltninger, der er vurderet relevante for at opnå en passende sikkerhed, herunder etableret de sikkerhedsforanstaltninger, der er aftalt med den dataansvarlige.
B.3 Der er for de systemer og databaser, der anven- des til behandling af personoplysninger, installe- ret antivirus, som løbende opdateres.
B.4 Ekstern adgang til systemer og databaser, der an- vendes til behandling af personoplysninger, sker gennem sikret firewall.
Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at der etableres de aftalte sikkerhedsforan- staltninger.
Inspiceret, at procedurerne er opdateret.
Inspiceret ved en stikprøve på databehandleraftaler, at der er etableret de aftalte sikkerhedsforanstaltnin- ger.
Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at databehandleren foretager en risikovur- dering for at opnå en passende sikkerhed.
Inspiceret, at den foretagne risikovurdering er opdate- ret og omfatter den aktuelle behandling af personop- lysninger.
Inspiceret, at databehandleren har implementeret de tekniske foranstaltninger, som sikrer en passende sik- kerhed i overensstemmelse med risikovurderingen.
Inspiceret, at databehandleren har implementeret de sikkerhedsforanstaltninger, der er aftalt med den da- taansvarlige.
Inspiceret, at der for de systemer og databaser, der anvendes til behandling af personoplysninger, er in- stalleret antivirussoftware.
Inspiceret, at antivirussoftware er opdateret.
Inspiceret, at ekstern adgang til systemer og databa- ser, der anvendes til behandling af personoplysninger, alene sker gennem en firewall.
Inspiceret, at firewallen er konfigureret i henhold til den interne politik herfor.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlings- sikkerhed.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
B.5 Interne netværk er segmenteret for at sikre be- grænset adgang til systemer og databaser, der an- vendes til behandling af personoplysninger.
B.6 Adgang til personoplysninger er isoleret til bru- gere med et arbejdsbetinget behov herfor.
B.7 Der er for de systemer og databaser, der anven- des til behandling af personoplysninger, etableret systemovervågning med alarmering.
Forespurgt, om interne netværk er segmenteret med henblik på at sikre begrænset adgang til systemer og databaser, der anvendes til behandling af personop- lysninger.
Inspiceret netværksdiagrammer og anden netværks- dokumentation for at sikre behørig segmentering.
Inspiceret, at der foreligger formaliserede procedurer for begrænsning af brugeres adgang til personoplys- ninger.
Inspiceret, at der foreligger formaliserede procedurer for opfølgning på, at brugernes adgang til personop- lysninger er i overensstemmelse med deres arbejdsbe- tingede behov.
Inspiceret, at de aftalte tekniske foranstaltninger un- derstøtter opretholdelsen af begrænsningen i bruger- nes arbejdsbetingede adgang til personoplysninger.
Inspiceret ved en stikprøve på brugeres adgange til sy- stemer og databaser, at de er begrænset til medarbej- dernes arbejdsbetingede behov.
Inspiceret, at der for systemer og databaser, der an- vendes til behandling af personoplysning, er etableret systemovervågning med alarmering.
Inspiceret, at der ved en stikprøve på alarmer er sket opfølgning, samt at forholdet er meddelt de dataan- svarlige i behørigt omfang.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlings- sikkerhed.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
B.8 Der anvendes effektiv kryptering ved transmis- sion af fortrolige og følsomme personoplysninger via internettet og med e-mail.
Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at transmission af følsomme og fortrolige oplysninger over internettet er beskyttet af stærk kryptering baseret på en anerkendt algoritme.
Inspiceret, at teknologiske løsninger til kryptering har været tilgængelige og aktiveret i hele erklæringsperio- den.
Inspiceret, at der anvendes kryptering af transmissio- ner af følsomme og fortrolige personoplysninger via internettet eller med e-mail.
Forespurgt, om der har været ukrypterede transmissi- oner af følsomme og fortrolige personoplysninger i er- klæringsperioden, samt om de dataansvarlige er behø- rigt orienteret herom.
Løsningerne understøtter TLS 1.3 og
1.2. Det er konstateret, at løsningerne fortsat understøtter TLS 1.1 og 1.0, hvorfor databehandleren har oplyst, at det er den dataansvarliges ansvar at an- vende passende krypteringsteknologi baseret på egen risikovurdering herfor.
Ingen yderligere afvigelser noteret.
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlings- sikkerhed.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
B.9 Der er etableret logning i systemer, databaser og netværk.
Logoplysningerne er beskyttet mod manipulation og tekniske fejl og gennemgås løbende.
B.10 Personoplysninger, der anvendes til udvikling, test eller lignende, er altid i pseudonymiseret el- ler anonymiseret form. Anvendelse sker alene for at varetage den ansvarliges formål i henhold til aftale og på dennes vegne.
Inspiceret, at der foreligger formaliserede procedurer for opsætning af logning af brugeraktiviteter i syste- mer, databaser og netværk, der anvendes til behand- ling og transmission af personoplysninger, herunder gennemgang af og opfølgning på logge.
Inspiceret, at logning af brugeraktiviteter i systemer, databaser og netværk, der anvendes til behandling og transmission af personoplysninger, er konfigureret og aktiveret.
Inspiceret, at opsamlede oplysninger om brugeraktivi- tet i logge er beskyttet mod manipulation og sletning.
Inspiceret ved en stikprøve på logning, at logfilerne har det forventede indhold i forhold til opsætning, og at der er dokumentation for den foretagne opfølgning og håndtering af eventuelle sikkerhedshændelser.
Inspiceret ved en stikprøve på logning, at der er doku- mentation for den foretagne opfølgning på aktiviteter udført af systemadministratorer og andre med særlige rettigheder.
Inspiceret, at der foreligger formaliserede procedurer for anvendelse af personoplysninger til udvikling, test og lignende, der sikrer, at anvendelsen alene sker i pseudonymiseret eller anonymiseret form.
Inspiceret ved en stikprøve på udviklings- og testdata- baser, at personoplysningerne heri er pseudonymise- ret eller anonymiseret.
Inspiceret ved en stikprøve på udviklings- og testdata- baser, hvor personoplysningerne ikke er pseudonymi- seret eller anonymiseret, at dette er sket efter aftale med den dataansvarlige og på dennes vegne.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlings- sikkerhed.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
B.11 De etablerede tekniske foranstaltninger testes lø- bende ved sårbarhedsscanninger og penetrations- tests.
B.12 Ændringer til systemer, databaser og netværk føl- ger fastlagte procedurer, som sikrer vedligehol- delse med relevante opdateringer og patches, herunder sikkerhedspatches.
Inspiceret, at der foreligger formaliserede procedurer for løbende tests af tekniske foranstaltninger, herun- der gennemførelse af sårbarhedsscanninger og penet- rationstests.
Inspiceret ved stikprøver, at der er dokumentation for løbende tests af de etablerede tekniske foranstaltnin- ger.
Inspiceret, at eventuelle afvigelser og svagheder i de tekniske foranstaltninger er rettidigt og betryggende håndteret samt meddelt til de dataansvarlige i behø- rigt omfang.
Inspiceret, at der foreligger formaliserede procedurer for håndtering af ændringer til systemer, databaser og netværk, herunder håndtering af relevante opdaterin- ger, patches og sikkerhedspatches.
Inspiceret ved udtræk af tekniske sikkerhedspara- metre og -opsætninger, at systemer, databaser og net- værk er opdateret med aftalte ændringer og relevante opdateringer, patches og sikkerhedspatches.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlings- sikkerhed.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
B.13 Der er en formaliseret forretningsgang for tilde- ling og afbrydelse af brugeradgange til personop- lysninger. Brugernes adgang revurderes regel- mæssigt, herunder om rettigheder fortsat kan be- grundes i et arbejdsbetinget behov.
B.14 Adgang til systemer og databaser, hvori der sker behandling af personoplysninger, der medfører høj risiko for de registrerede, sker som minimum ved anvendelse af tofaktorautentifikation.
B.15 Der er etableret fysisk adgangssikkerhed, således at kun autoriserede personer kan opnå fysisk ad- gang til lokaler og datacentre, hvori der opbeva- res og behandles personoplysninger.
Inspiceret, at der foreligger formaliserede procedurer for tildeling og afbrydelse af brugernes adgang til sy- stemer og databaser, som anvendes til behandling af personoplysninger.
Inspiceret ved en stikprøve på medarbejderes adgange til systemer og databaser, at de tildelte brugeradgange er godkendt, og at der er et arbejdsbetinget behov.
Inspiceret ved en stikprøve på fratrådte medarbejdere, at disses adgange til systemer og databaser er rettidigt deaktiveret eller nedlagt.
Inspiceret, at der foreligger dokumentation for en re- gelmæssig – mindst årlig – vurdering og godkendelse af tildelte brugeradgange.
Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at tofaktorautentifikation anvendes ved be- handling af personoplysninger, der medfører høj ri- siko for de registrerede.
Inspiceret, at brugernes adgang til at udføre behand- ling af personoplysninger, der medfører høj risiko for de registrerede, alene kan ske ved anvendelse af tofak- torautentifikation.
Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at kun autoriserede personer kan opnå fy- sisk adgang til lokaler og datacentre, hvori der opbe- vares og behandles personoplysninger.
Inspiceret dokumentation for, at kun autoriserede personer har haft fysisk adgang til lokaler og datacen- tre, hvori der opbevares og behandles personoplysnin- ger, i erklæringsperioden.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organisatoriske foranstaltninger til sikring af relevant be- handlingssikkerhed.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
C.1 Databehandlerens ledelse har godkendt en skrift- lig informationssikkerhedspolitik, som er kom- munikeret til alle relevante interessenter, herun- der databehandlerens medarbejdere. Informati- onssikkerhedspolitikken tager udgangspunkt i den gennemførte risikovurdering.
Der foretages løbende – og mindst én gang årligt
– vurdering af, om informationssikkerhedspoli- tikken skal opdateres.
C.2 Databehandlerens ledelse har sikret, at informa- tionssikkerhedspolitikken ikke er i modstrid med indgåede databehandleraftaler.
C.3 Der udføres en efterprøvning af databehandle- rens medarbejdere i forbindelse med ansættelse.
Inspiceret, at der foreligger en informationssikker- hedspolitik, som ledelsen har behandlet og godkendt inden for det seneste år.
Inspiceret dokumentation for, at informationssikker- hedspolitikken er kommunikeret til relevante interes- senter, herunder databehandlerens medarbejdere.
Inspiceret dokumentation for ledelsens vurdering af, at informationssikkerhedspolitikken generelt lever op til kravene om sikkerhedsforanstaltninger og behand- lingssikkerheden i indgåede databehandleraftaler.
Inspiceret ved en stikprøve på databehandleraftaler, at kravene i aftalerne er dækket af informationssikker- hedspolitikkens krav til sikkerhedsforanstaltninger og behandlingssikkerheden.
Inspiceret, at der foreligger formaliserede procedurer, der sikrer efterprøvning af databehandlerens medar- bejdere i forbindelse med ansættelse.
Inspiceret ved en stikprøve på databehandleraftaler, at kravene til efterprøvning af medarbejdere i afta- lerne er dækket af databehandlerens procedurer for efterprøvning.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organisatoriske foranstaltninger til sikring af relevant be- handlingssikkerhed.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
C.4 Ved ansættelse underskriver medarbejderne en fortrolighedsaftale. Endvidere bliver medarbej- derne introduceret til informationssikkerhedspo- litik og procedurer vedrørende databehandling samt anden relevant information i forbindelse med medarbejdernes behandling af personoplys- ninger.
C.5 Ved fratrædelse er der hos databehandleren im- plementeret en proces, som sikrer, at brugerens rettigheder bliver inaktive eller ophører, herun- der at aktiver inddrages.
C.6 Ved fratrædelse orienteres medarbejderen om, at den underskrevne fortrolighedsaftale fortsat er gældende, samt at medarbejderen er underlagt en generel tavshedspligt i relation til behandling af personoplysninger, som databehandleren udfører for de dataansvarlige.
Inspiceret ved en stikprøve på nyansatte medarbej- dere i erklæringsperioden, at de pågældende medar- bejdere har underskrevet en fortrolighedsaftale.
Inspiceret ved en stikprøve på nyansatte medarbej- dere i erklæringsperioden, at de pågældende medar- bejdere er blevet introduceret til:
Informationssikkerhedspolitikken
Procedurer vedrørende databehandling samt anden relevant information.
Inspiceret procedurer, der sikrer, at fratrådte medar- bejderes rettigheder inaktiveres eller ophører ved fra- trædelsen, og at aktiver som adgangskort, pc, mobilte- lefon etc. inddrages.
Inspiceret ved en stikprøve på fratrådte medarbejdere i erklæringsperioden, at rettighederne er inaktiveret eller ophørt, samt at aktiverne er inddraget.
Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at fratrådte medarbejdere gøres opmærk- som på opretholdelse af fortrolighedsaftalen og gene- rel tavshedspligt.
Inspiceret ved en stikprøve på fratrådte medarbejdere i erklæringsperioden, at der er dokumentation for op- retholdelse af fortrolighedsaftalen og generel tavs- hedspligt.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organisatoriske foranstaltninger til sikring af relevant be- handlingssikkerhed.
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
C.7 Der gennemføres løbende awareness-træning af databehandlerens medarbejdere i relation til it- sikkerhed generelt samt behandlingssikkerhed i relation til personoplysninger.
Inspiceret, at databehandleren udbyder awareness- træning til medarbejderne omfattende generel it-sik- kerhed og behandlingssikkerhed i relation til person- oplysninger.
Inspiceret dokumentation for, at alle medarbejdere, som enten har adgang til eller behandler personoplys- ninger, har gennemført den udbudte awareness-træ- ning.
Ingen afvigelser noteret.
Der efterleves procedurer og kontroller, som sikrer, at personoplysninger kan slettes eller tilbageleveres, såfremt der indgås aftale herom med den data- ansvarlige.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
D.1 Der foreligger skriftlige procedurer, som indehol- der krav om, at der foretages opbevaring og slet- ning af personoplysninger i overensstemmelse med aftalen med den dataansvarlige.
Der foretages løbende – og mindst én gang årligt
– vurdering af, om procedurerne skal opdateres.
D.2 Der er aftalt specifikke krav til databehandlerens opbevaringsperioder og sletterutiner i de enkelte databehandleraftaler, hvis det er relevant.
D.3 Ved ophør af behandlingen af personoplysninger for den dataansvarlige er data i henhold til afta- len med den dataansvarlige:
Tilbageleveret til den dataansvarlige og/eller
Slettet, hvor det ikke er i modstrid med anden lovgivning.
Inspiceret, at der foreligger formaliserede procedurer for opbevaring og sletning af personoplysninger i overensstemmelse med aftalen med den dataansvar- lige.
Inspiceret, at procedurerne er opdateret.
Inspiceret, at de foreliggende procedurer for opbeva- ring og sletning indeholder de specifikke krav til data- behandlerens opbevaringsperioder og sletterutiner.
Inspiceret ved en stikprøve på databehandlinger fra databehandlerens oversigt over behandlingsaktivite- ter, at der er dokumentation for, at personoplysninger opbevares i overensstemmelse med de aftalte opbeva- ringsperioder.
Inspiceret ved en stikprøve på databehandlinger fra databehandlerens oversigt over behandlingsaktivite- ter, at der er dokumentation for, at personoplysnin- gerne er slettet i overensstemmelse med de aftalte sletterutiner.
Inspiceret, at der foreligger formaliserede procedurer for behandlingen af den dataansvarliges data ved op- hør af behandlingen af personoplysninger.
Inspiceret ved en stikprøve på ophørte databehandlin- ger i erklæringsperioden, at der er dokumentation for, at den aftalte sletning eller tilbagelevering af data er udført.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene opbevarer personoplysninger i overensstemmelse med aftalen med den dataansvarlige.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
E.1 Der foreligger skriftlige procedurer, som indehol- der krav om, at der alene foretages opbevaring af personoplysninger i overensstemmelse med afta- len med den dataansvarlige.
Der foretages løbende – og mindst én gang årligt
– vurdering af, om procedurerne skal opdateres.
E.2 Databehandlerens databehandling inklusive op- bevaring må kun finde sted på de af den dataan- svarlige godkendte lokaliteter, lande eller land- områder.
Inspiceret, at der foreligger formaliserede procedurer for, at der alene foretages opbevaring og behandling af personoplysninger i henhold til databehandlerafta- lerne.
Inspiceret, at procedurerne er opdateret.
Inspiceret ved en stikprøve på databehandlinger fra databehandlerens oversigt over behandlingsaktivite- ter, at der er dokumentation for, at databehandlingen sker i henhold til databehandleraftalen.
Inspiceret, at databehandleren har en samlet og opda- teret oversigt over behandlingsaktiviteter med angi- velse af lokaliteter, lande eller landområder.
Inspiceret ved en stikprøve på databehandlinger fra databehandlerens oversigt over behandlingsaktivite- ter, at der er dokumentation for, at databehandlingen, herunder opbevaring af personoplysninger, alene fo- retages på de lokaliteter, der fremgår af databehand- leraftalen – eller i øvrigt er godkendt af den dataan- svarlige.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren sikrer en betryg- gende behandlingssikkerhed ved opfølgning på disses tekniske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og be- handlingen af personoplysninger.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
F.1 Der foreligger skriftlige procedurer, som indehol- der krav til databehandleren ved anvendelse af underdatabehandlere, herunder krav om under- databehandleraftaler og instruks.
Der foretages løbende – og mindst én gang årligt
– vurdering af, om procedurerne skal opdateres.
F.2 Databehandleren anvender alene underdatabe- handlere til behandling af personoplysninger, der er specifikt eller generelt godkendt af den dataan- svarlige.
F.3 Ved ændringer i anvendelsen af generelt god- kendte underdatabehandlere underrettes den da- taansvarlige rettidigt i forhold til at kunne gøre indsigelse gældende og/eller trække persondata tilbage fra databehandleren. Ved ændringer i an- vendelsen af specifikt godkendte underdatabe- handlere er dette godkendt af den dataansvarlige.
F.4 Databehandleren har pålagt underdatabehandle- ren de samme databeskyttelsesforpligtelser som dem, der er forudsat i databehandleraftalen el.lign. med den dataansvarlige.
Inspiceret, at der foreligger formaliserede procedurer for anvendelse af underdatabehandlere, herunder krav om underdatabehandleraftaler og instruks.
Inspiceret, at procedurerne er opdateret.
Inspiceret, at databehandleren har en samlet og opda- teret oversigt over anvendte underdatabehandlere.
Inspiceret ved en stikprøve på underdatabehandlere fra databehandlerens oversigt over underdatabehand- lere, at der er dokumentation for, at underdatabe- handlerens databehandling fremgår af databehandler- aftalerne – eller i øvrigt er godkendt af den dataan- svarlige.
Inspiceret, at der foreligger formaliserede procedurer for underretning til den dataansvarlige ved ændringer i anvendelsen af underdatabehandlere.
Inspiceret dokumentation for, at den dataansvarlige er underrettet ved ændringer i anvendelsen af under- databehandlerne i erklæringsperioden.
Inspiceret, at der foreligger underskrevne underdata- behandleraftaler med anvendte underdatabehandlere, som fremgår af databehandlerens oversigt.
Inspiceret ved en stikprøve på underdatabehandleraf- taler, at disse indeholder samme krav og forpligtelser, som er anført i databehandleraftalerne mellem de da- taansvarlige og databehandleren.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren sikrer en betryg- gende behandlingssikkerhed ved opfølgning på disses tekniske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og be- handlingen af personoplysninger.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
F.5 Databehandleren har en oversigt over godkendte underdatabehandlere med angivelse af:
Navn
CVR-nr.
Adresse
Beskrivelse af behandlingen.
F.6 På baggrund af en ajourført risikovurdering af den enkelte underdatabehandler og den aktivitet, der foregår hos denne, foretager databehandleren en løbende opfølgning herpå ved møder, inspekti- oner, gennemgang af revisionserklæring eller lig- nende. Den dataansvarlige orienteres om den op- følgning, der er foretaget hos underdatabehand- leren.
Inspiceret, at databehandleren har en samlet og opda- teret oversigt over anvendte og godkendte underdata- behandlere.
Inspiceret, at oversigten som minimum indeholder de krævede oplysninger om de enkelte underdatabehand- lere.
Inspiceret, at der foreligger formaliserede procedurer for opfølgning på behandlingsaktiviteter hos underda- tabehandlerne og overholdelse af underdatabehand- leraftalerne.
Inspiceret dokumentation for, at der er foretaget en ri- sikovurdering af den enkelte underdatabehandler og den aktuelle behandlingsaktivitet hos denne.
Inspiceret dokumentation for, at der er foretaget be- hørig opfølgning på tekniske og organisatoriske foran- staltninger, behandlingssikkerheden hos de anvendte underdatabehandlere, tredjelands overførselsgrundlag og lignende.
Inspiceret dokumentation for, at information om op- følgning hos underdatabehandlere meddeles den da- taansvarlige, således at denne kan tilrettelægge even- tuelt tilsyn.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Kontrolmål G:
Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene overfører personoplysninger til tredjelande eller internationale organisati- oner i overensstemmelse med aftalen med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
G.1 Der foreligger skriftlige procedurer, som indehol- der krav om, at databehandleren alene overfører personoplysninger til tredjelande eller internatio- nale organisationer i overensstemmelse med afta- len med den dataansvarlige på baggrund af et gyl- digt overførselsgrundlag.
Der foretages løbende – og mindst én gang årligt
– vurdering af, om procedurerne skal opdateres.
G.2 Databehandleren må kun overføre personoplys- ninger til tredjelande eller internationale organi- sationer efter instruks fra den dataansvarlige.
G.3 Databehandleren har i forbindelse med overførsel af personoplysninger til tredjelande eller interna- tionale organisationer vurderet og dokumenteret, at der eksisterer et gyldigt overførselsgrundlag.
Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at personoplysninger alene overføres til tredjelande eller internationale organisationer i hen- hold til aftale med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag.
Inspiceret, at procedurerne er opdateret.
Inspiceret, at databehandleren har en samlet og opda- teret oversigt over overførsler af personoplysninger til tredjelande eller internationale organisationer.
Inspiceret ved en stikprøve på dataoverførsler fra da- tabehandlerens oversigt over overførsler, at der er do- kumentation for, at overførslen er aftalt med den da- taansvarlige i databehandleraftalen eller senere god- kendt.
Inspiceret, at der foreligger formaliserede procedurer for sikring af et gyldigt overførselsgrundlag.
Inspiceret, at procedurerne er opdateret.
Inspiceret ved en stikprøve på dataoverførsler fra da- tabehandlerens oversigt over overførsler, at der er do- kumentation for et gyldigt overførselsgrundlag i data- behandleraftalen med den dataansvarlige, samt at der kun er sket overførsler, i det omfang dette er aftalt med den dataansvarlige.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Kontrolmål H:
Der efterleves procedurer og kontroller, som sikrer, at databehandleren kan bistå den dataansvarlige med udlevering, rettelse, sletning eller begræns- ning af oplysninger om behandling af personoplysninger til den registrerede.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
H.1 Der foreligger skriftlige procedurer, som indehol- der krav om, at databehandleren skal bistå den dataansvarlige i relation til de registreredes ret- tigheder.
Der foretages løbende – og mindst én gang årligt
– vurdering af, om procedurerne skal opdateres.
H.2 Databehandleren har etableret procedurer, som i det omfang, dette er aftalt, muliggør en rettidig bistand til den dataansvarlige i relation til udleve- ring, rettelse, sletning eller begrænsning af og op- lysning om behandling af personoplysninger til den registrerede.
Inspiceret, at der foreligger formaliserede procedurer for databehandlerens bistand til den dataansvarlige i relation til de registreredes rettigheder.
Inspiceret, at procedurerne er opdateret.
Inspiceret, at de foreliggende procedurer for bistand til den dataansvarlige indeholder detaljerede procedu- rer for:
Udlevering af oplysninger
Rettelse af oplysninger
Sletning af oplysninger
Begrænsning af behandling af personoplys- ninger
Oplysning om behandling af personoplysnin- ger til den registrerede.
Inspiceret dokumentation for, at de anvendte syste- mer og databaser understøtter gennemførelsen af de nævnte detaljerede procedurer.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraf- tale.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
I.1 Der foreligger skriftlige procedurer, som indehol- der krav om, at databehandleren skal underrette de dataansvarlige ved brud på persondatasikker- heden.
Der foretages løbende – og mindst én gang årligt
– vurdering af, om procedurerne skal opdateres.
I.2 Databehandleren har etableret følgende kontrol- ler for identifikation af eventuelle brud på per- sondatasikkerheden:
Awareness hos medarbejdere
Overvågning af netværkstrafik
Opfølgning på logning af adgang til per- sonoplysninger.
Inspiceret, at der foreligger formaliserede procedurer, der indeholder krav til underretning af de dataansvar- lige ved brud på persondatasikkerheden.
Inspiceret, at procedurerne er opdateret.
Inspiceret, at databehandleren udbyder awareness- træning til medarbejderne i relation til identifikation af eventuelle brud på persondatasikkerheden.
Inspiceret dokumentation for, at netværkstrafikken overvåges, samt at der sker opfølgning på anormalite- ter, overvågningsalarmer, overførsel af store filer mv.
Inspiceret dokumentation for, at der sker rettidig op- følgning på logning af adgang til personoplysninger, herunder opfølgning på gentagne forsøg på adgang.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraf- tale.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
Nr. Databehandlerens kontrolaktivitet PwC’s udførte test Resultat af test
I.3 Databehandleren har ved eventuelle brud på per- sondatasikkerheden underrettet den dataansvar- lige uden unødig forsinkelse og senest 72 timer efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehand- leren eller en underdatabehandler.
I.4 Databehandleren har etableret procedurer for bi- stand til den dataansvarlige ved dennes anmel- delse til Datatilsynet. Disse procedurer skal inde- holde anvisninger på beskrivelser af:
Karakteren af bruddet på persondatasik- kerheden
Sandsynlige konsekvenser af bruddet på persondatasikkerheden
Foranstaltninger, som er truffet eller fo- reslås truffet for at håndtere bruddet på persondatasikkerheden.
Inspiceret, at databehandleren har en oversigt over sikkerhedshændelser med angivelse af, om den en- kelte hændelse har medført brud på persondatasikker- heden.
Forespurgt underdatabehandlerne, om de har konsta- teret nogen brud på persondatasikkerheden i erklæ- ringsperioden.
Inspiceret, at databehandleren har medtaget eventu- elle brud på persondatasikkerheden hos underdatabe- handlere i databehandlerens oversigt over sikkerheds- hændelser.
Inspiceret, at samtlige registrerede brud på personda- tasikkerheden hos databehandleren eller underdata- behandlerne er meddelt de berørte dataansvarlige uden unødig forsinkelse og senest 72 timer efter, at databehandleren er blevet opmærksom på brud på persondatasikkerheden.
Inspiceret, at de foreliggende procedurer for underret- ning af de dataansvarlige ved brud på persondatasik- kerheden indeholder detaljerede anvisninger på:
Beskrivelse af karakteren af bruddet på per- sondatasikkerheden
Beskrivelse af sandsynlige konsekvenser af bruddet på persondatasikkerheden
Beskrivelse af foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden.
Inspiceret dokumentation for, at de foreliggende pro- cedurer understøtter, at der træffes foranstaltninger for håndtering af bruddet på persondatasikkerheden.
Ingen afvigelser noteret.
Ingen afvigelser noteret.
Underskrifterne i dette dokument er juridisk bindende. Dokumentet er underskrevet via Penneo™ sikker digital underskrift. Underskrivernes identiteter er blevet registereret, og informationerne er listet herunder.
Penneo dokumentnøgle: 80503-XEHJJ-6HK0S-LOKH2-J2VIJ-G2W8P
“Med min underskrift bekræfter jeg indholdet og alle datoer i dette dokument.”
Xxxxx Xxxxxxxxx | Xxxxxx Xxxxxxxx Xxxxxx |
Kunde | PRICEWATERHOUSECOOPERS STATSAUTORISERET |
Serienummer: 295161bc-0b48-4b5f-a31c-c657be1e98d4 | REVISIONSPARTNERSELSKAB CVR: 33771231 |
IP: 00.000.xxx.xxx | Statsautoriseret revisor |
2024-01-04 10:12:29 UTC | Serienummer: 1845f1c8-669f-42ab-ba7e-8a1f6ea3011e |
IP: 00.000.xxx.xxx | |
2024-01-04 10:22:52 UTC |
Dette dokument er underskrevet digitalt via Xxxxxx.xxx. Signeringsbeviserne i dokumentet er sikret og valideret ved anvendelse af den matematiske hashværdi af det originale dokument. Dokumentet er låst for ændringer og tidsstemplet med et certifikat fra en betroet tredjepart. Alle kryptografiske signeringsbeviser er indlejret i denne PDF, i tilfælde af de skal anvendes til validering i fremtiden.
Sådan kan du sikre, at dokumentet er originalt
Dette dokument er beskyttet med et Adobe CDS certifikat. Når du åbner dokumentet
i Adobe Reader, kan du se, at dokumentet er certificeret af Penneo e-signature service <xxxxxx@xxxxxx.xxx>. Dette er din garanti for, at indholdet af dokumentet er uændret.
Du har mulighed for at efterprøve de kryptografiske signeringsbeviser indlejret i dokumentet ved at anvende Penneos validator på følgende websted: https:// xxxxxx.xxx/xxxxxxxxx