Visma DataLøn A/S
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Visma DataLøn A/S
Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og foranstaltninger i hen- hold til databehandleraftale med Visma DataLøns kunder, som anvender DataLøn-løsningen pr 24. septem- ber 2020
Indholdsfortegnelse
Sektion I - Ledelsens udtalelse 3
Sektion II – Uafhængig revisors erklæring 5
Sektion III – Beskrivelse af behandling 8
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Komplementerende kontroller hos de dataansvarlige 10
Sektion IV - Tests udført af EY 12
Kontrolmål, kontrolaktivitet, test og resultat heraf 13
Sektion I - Ledelsens udtalelse
Visma DataLøn behandler personoplysninger på vegne af Visma DataLøns kunder, som anvender DataLøn-løs- ningen (herefter dataansvarlige) i henhold til databehandleraftale (Bilag 1 i ”Vilkår for DataLøn, Gældende fra
1. november 2019”).
Medfølgende beskrivelse er udarbejdet til brug for Visma DataLøns kunder, der har anvendt DataLøn-løsnin- gen, og som har en tilstrækkelig forståelse til at vurdere beskrivelsen sammen med anden information, herun- der information om kontroller, som de dataansvarlige selv har udført ved vurdering af, om kravene i EU's for- ordning om ”Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri ud- veksling af sådanne oplysninger” (herefter ”databeskyttelsesforordningen”) er overholdt.
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Visma DataLøn anvender underleverandører til datalagring eller infrastruktur. Beskrivelsen i sektion III medta- ger kun kontrolmål og kontrolaktiviteter hos Visma DataLøn og medtager således ikke kontrolmål og underlig- gende kontrolaktiviteter hos underleverandører. Beskrivelsen angiver også, at visse kontrolmål, der er specifi- ceret i beskrivelsen, kun kan nås, hvis underleverandørernes kontroller, der forudsættes i designet af vores kontroller, er passende designet og fungerer effektivt. Beskrivelsen omfatter ikke kontrolaktiviteter udført af underleverandører.
Beskrivelsen angiver, at visse kontrolmål, der er specificeret i beskrivelsen, kun kan opnås, hvis komplemente- rende kontroller hos de dataansvarlige, der forudsættes i designet af Visma DataLøns kontroller, er passende designet og fungerer effektivt sammen med relaterede kontroller hos Visma DataLøn. Beskrivelsen omfatter ikke kontrolaktiviteter udført af de dataansvarlige.
Visma DataLøn bekræfter, at:
a) Den medfølgende beskrivelse i sektion III, giver en retvisende beskrivelse af DataLøn-løsningen i Visma DataLøn, der har behandlet personoplysninger for dataansvarlige omfattet af databeskyttelses- forordningen pr. 24. september 2020. Kriterierne anvendt for at give denne udtalelse var, at den med- følgende beskrivelse:
(i) Redegør for, hvordan DataLøn-løsningen var udformet og implementeret, herunder redegør for:
i. De typer af ydelser, der er leveret, herunder typen af behandlede personoplysnin- ger.
ii. De processer i både manuelle og it-manuelle systemer, der er anvendt til at igang- sætte, registrere, behandle og om nødvendigt korrigere, slette og begrænse be- handling af personoplysninger.
iii. De processer, der er anvendt for at sikre, at den foretagne databehandling er sket i henhold til kontrakt, instruks eller aftale med den dataansvarlige.
iv. De processer, der sikrer, at de personer, der er autoriseret til at behandle personop- lysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbe- stemt tavshedspligt.
v. De processer, der ved ophør af databehandling sikrer, at der efter den dataansvarli- ges valg sker sletning eller tilbagelevering af alle personoplysninger til den dataan- svarlige, medmindre lov eller regulering foreskriver opbevaring af personoplysnin- gerne.
vi. De processer, der i tilfælde af brud på persondatasikkerheden understøtter, at den dataansvarlige kan foretage anmeldelse til tilsynsmyndigheden samt underrettelse til de registrerede.
vii. De processer, der sikrer passende tekniske og organisatoriske sikringsforanstaltnin- ger for behandlingen af personoplysninger under hensyntagen til de risici, som be- handling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uau- toriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
viii. Ydelser udført af underleverandører, hvis relevant, herunder om de er medtaget efter helhedsmetoden eller udeladt efter partielmetoden.
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
ix. Kontroller, som vi med henvisning til Visma DataLøns afgrænsning har forudsat ville være implementeret af de dataansvarlige, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen.
x Andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem (herunder de tilknyttede forretningsgange) og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen af personoplys- ninger.
(ii) Ikke udelader eller forvansker oplysninger, der er relevante for omfanget af DataLøn-løsnin- gen til behandling af personoplysninger under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af dataansvarlige og derfor ikke kan omfatte ethvert aspekt ved DataLøn-løsningen, som den enkelte dataansvarlige måtte anse vigtigt efter deres særlige forhold.
b) De kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigts- mæssigt udformet og implementeret pr. 24. september 2020, hvis relevante kontroller hos underleve- randører fungerer effektivt, og kunder har udført de komplementerende kontroller som forudsættes i designet af Visma DataLøns kontroller pr. 24. september 2020. Kriterierne anvendt for at give denne udtalelse var, at:
(i) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret
(ii) de identificerede kontroller ville, hvis udført som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål.
c) Der er etableret og opretholdt passende tekniske og organisatoriske foranstaltninger med henblik på at opfylde aftalerne med de dataansvarlige, god databehandlerskik og relevante krav til databehand- lere i henhold til databeskyttelsesforordningen.
København, 26. november 2020
Xxxxxx Xxxxxxxxxxx
Managing Director
Sektion II – Uafhængig revisors erklæring
Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og foranstaltninger i hen- hold til databehandleraftale mellem Visma DataLøn og Visma DataLøns kunder.
Til: Visma DataLøn og Visma DataLøns kunder
Omfang
Vi har fået som opgave at afgive erklæring om Visma DataLøns beskrivelse i sektion III af DataLøn-løsningen i henhold til databehandleraftale med Visma DataLøns kunder, som anvender DataLøn-løsningen pr. 24. sep- tember 2020 (beskrivelsen) og om udformningen og implementeringen af kontroller, der knytter sig til de kon- trolmål, som er anført i beskrivelsen.
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Vi har ikke udført handlinger vedrørende funktionaliteten af de kontroller, der indgår i beskrivelsen, og udtryk- ker derfor ingen konklusion herom.
Beskrivelsen angiver, at visse kontrolmål, der er specificeret i beskrivelsen, kun kan opnås, hvis komplemente- rende kontroller hos de dataansvarlige, der forudsættes i designet af Visma DataLøns kontroller, er passende designet og fungerer effektivt sammen med relaterede kontroller hos Visma DataLøn. Beskrivelsen omfatter ikke kontrolaktiviteter udført af dataansvarlige. Vi har ikke udført handlinger vedrørende funktionaliteten af de komplementerende kontroller hos dataansvarlige, der indgår i beskrivelsen, og udtrykker derfor ingen konklu- sion herom.
Visma DataLøn anvender underleverandører til datalagring eller infrastruktur. Beskrivelsen i sektion III medta- ger kun kontrolmål og relaterede kontroller hos Visma DataLøn og medtager således ikke kontrolmål og relate- rede kontroller hos underleverandører. Beskrivelsen angiver også, at visse kontrolmål, der er specificeret i be- skrivelsen, kun kan nås, hvis underleverandørels kontroller, der forudsættes i designet af Visma DataLøns kon- troller, er passende designet og fungerer effektivt sammen med de relaterede kontroller hos Visma DataLøn. Vores handlinger har ikke omfattet kontrolaktiviteter udført af underleverandører, og vi har ikke vurderet eg- netheden af design eller den operationelle effektivitet af kontrolaktiviteter hos underleverandører.
Visma DataLøns ansvar
Visma DataLøn er ansvarlig for udarbejdelsen af beskrivelsen i sektion III og tilhørende udtalelse i sektion I, herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelsen er præsenteret; for leveringen af de ydelser, beskrivelsen omfatter; for at anføre kontrolmålene, identifikation af de risici, der på- virker opnåelsen af kontrolmålene; udvælgelsen af de kriterier, der er præsenteret i ledelsens udtalelse samt for at udforme, implementere og effektivt udføre kontroller for at opnå de anførte kontrolmål.
Vores uafhængighed og kvalitetsstyring
Vi har overholdt kravene til uafhængighed og andre etiske krav i FSR – danske revisorers retningslinjer for revi- sors etiske adfærd (Etiske regler for revisorer) og IESBA’s Etiske regler, som er baseret på de grundlæggende principper om integritet, objektivitet, faglig kompetence og fornøden omhu, fortrolighed og professionel ad- færd.
Vi anvender ISQC 1 og opretholder derfor et omfattende system for kvalitetsstyring, herunder dokumenterede politikker og procedurer for overholdelse af etiske regler, faglige standarder samt gældende krav ifølge lov og øvrig regulering.
Vores ansvar
Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Visma DataLøns beskrivelse samt om udformningen og implementeringen af kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse.
Vi har udført vores arbejde i overensstemmelse med ISAE 3000, Andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger og yderligere krav ifølge dansk revisorlovgivning.
Denne standard kræver, at vi planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og implementeret.
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen, udformningen og implementerin- gen af kontroller hos en databehandler omfatter udførelse af handlinger for at opnå bevis for oplysningerne i databehandlerens beskrivelse af DataLøn-løsningen samt for kontrollernes udformning og implementering. De valgte handlinger afhænger af revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet og implementeret. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, egnethe- den af de heri anførte mål samt egnetheden af de kriterier, som Visma DataLøn har specificeret og beskrevet i sektion I.
Som nævnt ovenfor har vi ikke udført handlinger vedrørende funktionaliteten af de kontroller, der indgår i be- skrivelsen, og udtrykker derfor ingen konklusion herom.
Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklu- sion.
Begrænsninger i kontroller hos en dataansvarlig
Visma DataLøns beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af dataan- svarlige og omfatter derfor ikke nødvendigvis alle de aspekter ved DataLøn-løsningen, som hver enkelt dataan- svarlig måtte anse for vigtige efter deres særlige forhold. Endvidere vil kontroller hos en databehandler som følge af deres art muligvis ikke forhindre eller opdage alle brud på persondatasikkerheden.
Konklusion
Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i ledelsens udtalelse. Det er vores opfattelse,
(a) at beskrivelsen af DataLøn-løsningen, således som denne var udformet og implementeret pr. 24. sep- tember 2020, i alle væsentlige henseender er retvisende, og
(b) at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige hense- ender var hensigtsmæssigt udformet pr. 24. september 2020, hvis kontroller hos underleverandører fungerer effektivt, og hvis dataansvarlige har designet og implementeret de komplementerende kon- troller, der forudsættes i designet af Visma DataLøns kontroller pr. 24. september 2020.
Beskrivelse af test af kontroller
De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultater af disse tests fremgår i sektion IV.
Tiltænkte brugere og formål
Denne erklæring og beskrivelsen af test af kontroller i sektion IV er udelukkende tiltænkt dataansvarlige, der har anvendt DataLøn-løsningen, som har en tilstrækkelig forståelse til at overveje den sammen med anden in- formation, herunder information om kontroller, som de dataansvarlige selv har udført, ved vurdering af, om kravene i databeskyttelsesforordningen er overholdt.
København, den 26. november 2020
EY
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Godkendt Revisionspartnerselskab CVR-nr. 30 70 02 28
Xxxx X. Xxxxxxxxxxxx Xxxxxxx Xxxxxx
statsaut. revisor Senior Manager, CISA mne34106
Sektion III – Beskrivelse af behandling
Visma DataLøn A/S leverer DataLøn, et standard IT-system, der laver løn for over 60.000 kunder, herunder over 500.000 lønsedler om måneden.
Systemet består af en lønmotor, der udfører beregninger, indberetninger til myndigheder og generer lønsed- ler. DataLøn systemet inkluderer:
• Standard set-up til at dække kundens lønbehov
• Mulighed for ubegrænsede prøveberegninger
• Opdateringer til at sikre overholdelse af dansk lovgivning
• Mulighed for lønbehandling med obligatorisk og valgfri indberetning til tredjeparter, herunder myn- digheder og pensionsselskaber
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
• Tilbagelevering af data i elektronisk form
• Support til lønbehandling og brug af systemet
Visma DataLøn A/S anvender eksterne leverandører, herunder Nets Danmark A/S, ATEA A/S og Visma IT & Communications (VITC) til visse dele af IT leverancen (datalagring og infrastruktur). Disse leverandører håndte- res igennem Visma Enterprise Operations afdeling, hvilket omfatter IT-infrastruktur, samt eksterne leverandø- rer.
Visma DataLøn A/S anvender et internt system ("CRM") til kundehåndtering. CRM giver overblik over kunder, abonnementsstatus, oprettede supportsager og lignende. Systemet anvendes af Visma DataLøn A/S kundeser- vice samt marketing.
Til adgangsstyring anvendes SSO, som er vores fælles single sign on modul, der anvendes DataLøn frontends og API'er.
Systemet indeholder brugeroplysninger samt rettigheder (claims).
Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er levering af et en standard it-løsningen, der på baggrund af Kundens indberetninger til Visma DataLøn foretager lønbe- handling for Kunden, i henhold til Visma DataLøns regler og vilkår (Hovedaftalen).
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig om lønbehand- ling, herunder:
• beregne medarbejdernes løn
• foretage alle beregninger og indberetninger til og foranlediger pengeoverførsler til SKAT, ATP, ferie- og barselsfonde, pensionskasser m.v. på Kundens vegne
• foretage indberetning af statistik til arbejdsgiverforening og Danmarks Statistik på Kundens vegne
• sende lønsedler til Medarbejdernes e-Boks
• xxxxxx Xxxxxxx lønbilag i et elektronisk arkiv i fem år efter udløbet af det år, hvor lønbilaget produ- ceres
• yde hjælp til opstart og oprettelse af Kunden og Medarbejderne
• levere support- og konsulentydelser telefonisk og online fra Visma DataLøns lønkonsulenter, når Kun- den har brug for hjælp.
Visma DataLøn foretager ingen udvikling eller tilpasning af DataLøn i forhold til Kundens specifikke behov eller ønsker.
• Almindelige personoplysninger
• identifikationsoplysninger
• stamoplysninger (ansættelsesoplysninger)
• ferieafregning
• pensionsafregning
• skatteafregning
• kontooplysninger
• Andre oplysninger
• CPR-numre
Kategorier af registrerede personer omfattet af databehandleraftalen:
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
• Kunders ansatte
• Kundens kontaktperson
Visma DataLøn har etableret et ledelsesrammeværk til initiering og styring af implementering samt drift af in- formationssikkerhed og databeskyttelse.
Ansvar for databeskyttelse og informationssikkerhed varetages af Visma DataLøns Information Security Board, samt Data Protection Manager og Security Manager. Området understøttes derudover af Visma-koncernens DPO.
Visma DataLøn har implementeret politikker, kontroller og pro- cesser, som dækker de nedenfor beskrevne informationssikker- hedsområder:
• Organisering af informationssikkerhed
• Personalesikkerhed
• Styring af aktiver
• Adgangsstyring
• Kryptografi
• Fysisk sikring og miljøsikring
• Driftssikkerhed
• Kommunikationssikkerhed
• Anskaffelse, udvikling og vedligeholdelse af systemer
• Leverandørforhold
• Styring af informationssikkerhedsbrud
• Informationssikkerhedsaspekter ved nødberedskabs- og reetableringsstyring
• Compliance
Formålet med Xxxxxxxxxxxxxxx er at give retning, forventninger og intentioner til styring af informationssikker- hedsrisici i Visma DataLøn.
• Vurderede sikkerhedsrisici skal analyseres.
• Trusler og sårbarheder skal vurderes.
• Konsekvenser (positive eller negative) af risiko på mål.
• Konsekvenser (positive eller negative) af risiko på aktiver.
• Sandsynligheden for, at disse konsekvenser kan forekomme.
I de særlige tilfælde, hvor en høj risiko indebærer, at den dataansvarlige skal foretage en konsekvensanalyse vedrørende databeskyttelse, beskrives tillige, hvordan databehandleren eventuelt har bistået hermed.
Rapportering og opfølgning på sikkerhedsrisici skal udføres i henhold til de definerede behov fra Division og Group.
Visma DataLøn A/S har struktureret deres kontroller omkring de tekniske sikkerhedsforanstaltninger, med af- sæt i ISO27001.
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Metoden til udførelse af risikostyring i Visma DataLøn er baseret på internationalt anerkendte principper og standarder, der er tilpasset organisationen. Metoden giver vejledning og inkluderer processerne for, hvordan effektiv risikostyring skal udføres.
• Kontrolmål A
Der er procedurer og kontroller, som sikrer, at instruks vedrørende behandling af personoplysninger kan efterleves i overensstemmelse med den indgående databehandleraftale.
• Kontrolmål B
Der er procedurer og kontroller, som sikrer, at Visma DataLøn har implementeret tekniske foranstalt- ninger til sikring af relevant behandlingssikkerhed.
• Kontrolmål C
Der er procedurer og kontroller, som sikrer, at Visma DataLøn har implementeret organisatoriske for- anstaltninger til sikring af relevant behandlingssikkerhed.
• Kontrolmål D
Der er procedurer og kontroller, som sikrer, at personoplysninger kan slettes eller tilbageleveres, så- fremt der indgås aftale herom med den dataansvarlige.
• Kontrolmål E
Der er procedurer og kontroller, som sikrer, at Visma DataLøn alene opbevarer personoplysninger i overensstemmelse med aftalen med den dataansvarlige.
• Kontrolmål F
Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabe- handlere, samt at databehandleren ved opfølgning på disses tekniske og organisatoriske foranstalt- ninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikkerhed.
• Kontrolmål G
Der efterleves procedurer og kontroller, som sikrer, at databehandleren kan bistå den dataansvarlige med udlevering, rettelse, sletning eller begrænsning af oplysninger om behandling af personoplysnin- ger til den registrerede.
• Kontrolmål H
Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale.
Komplementerende kontroller hos de dataansvarlige
Den Dataansvarlige har ansvaret for, at behandlingen af Personoplysninger lever op til kravene i Databeskyttel- sesforordningen og Databeskyttelsesloven.
Den Dataansvarlige er ved brug af de tjenester, som Visma DataLøn stiller til rådighed i henhold til Hovedafta- len, forpligtet til at behandle Personoplysninger i overensstemmelse med bestemmelserne i gældende lovgiv- ning, herunder bl.a. ved at:
• sikre sig, at behandlingen af Personoplysninger opfylder Databeskyttelsesforordningen.
• sikre sig, at de registrerede er oplyst om behandlingen af Personoplysninger.
• sikre sig, at instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regule- ring.
• sikre sig, at instruksen er hensigtsmæssig set i forhold til denne databehandleraftale og hovedydel- sen.
• sikre sig, at den dataansvarliges brugere er ajourførte.
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
• sikre sig, at de har indført detaljerede procedurer til varetagelse af den registreredes rettigheder.
Sektion IV - Tests udført af EY Formål og omfang
Vores test af kontrollers udformning og implementering har omfattet de kontrolmål og tilknyttede kontroller,
der er udvalgt af ledelsen, og som fremgår af afsnit 1. Eventuelle andre kontrolmål, tilknyttede kontroller og kontroller hos underleverandører til Visma DataLøn, der anvender løsningen, beskrevet i afsnit 1, er ikke om- fattet af vores test.
Test af design og implementering har omfattet de kontroller, som blev vurderet nødvendige for at kunne opnå høj grad af sikkerhed, for at de anførte kontrolmål blev opnået pr. 24. september 2020.
Udførte tests
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
De udførte tests i forbindelse med fastlæggelsen af kontrollers design og implementering er beskrevet neden- for:
Inspektion Gennemlæsning af dokumenter og rapporter, som indeholder angivelse omkring udførelse af kontrollen. Dette omfatter bl.a. gennemlæsning af og stillingtagen til rapporter og anden dokumentation for at vurdere, om spe- cifikke kontroller er designet, så de kan forventes at blive effektive, hvis de implementeres. Desuden vurderes det ved en stikprøve på én, om kontrol- ler overvåges og kontrolleres tilstrækkeligt.
På de tekniske platforme, databaser og netværkskomponenter har vi te- stet den specifikke systemopsætning for at påse, om kontroller er designet og implementeret pr. 24. september 2020.
Forespørgsler Forespørgsel af passende personale hos Visma DataLøn. Forespørgsler har omfattet spørgsmål om, hvordan kontroller udføres.
Observation Vi har ved en stikprøve på én observeret kontrollens implementering.
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål, kontrolaktivitet, test og resultat heraf
Kontrolmål A Der er procedurer og kontroller, som sikrer, at instruks vedrørende behandling af personoplysninger kan efterleves i overensstemmelse med den indgående databe- handleraftale. | |||
Nr. | Visma DataLøns kontrolaktivitet | Tests udført af EY | Resultat af test |
A.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der alene må foretages behandling af personoplysninger, når der foreligger en instruks. Der er krav om løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at behandling af personoplys- ninger alene foregår i henhold til instruks. Inspiceret, at procedurer er opdateret. | Ingen afvigelser konstateret. |
A.2 | Visma DataLøn udfører alene den behandling af personoplys- ninger, som fremgår af instruks fra dataansvarlig. | Inspiceret, at ledelsen sikrer, at behandling af personoplysninger alene foregår i henhold til in- struks. | Ingen afvigelser konstateret. |
Kontrolmål A Der er procedurer og kontroller, som sikrer, at instruks vedrørende behandling af personoplysninger kan efterleves i overensstemmelse med den indgående databe- handleraftale. | |||
Nr. | Visma DataLøns kontrolaktivitet | Tests udført af EY | Resultat af test |
A.3 | Visma DataLøn underretter omgående den dataansvarlige skriftligt, hvis en instruks efter Visma DataLøns mening er i strid med databeskyttelsesforordningen eller databeskyttel- sesbestemmelser i anden EU-ret eller medlemsstaternes nati- onale ret. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer kontrol af, at behandling af per- sonoplysninger ikke er i strid med databeskyttel- sesforordningen eller anden lovgivning. Inspiceret, at der er procedurer for underretning af den dataansvarlige i tilfælde, hvor behandling af personoplysninger vurderes at være i strid med lovgivningen. Forespurgt, om der er er konstateret tilfælde, hvor behandlingen af personoplysninger er vur- deret i strid med lovgivningen. | Vi har fået oplyst at Visma DataLøn ikke har konstateret tilfælde, hvor instruksen har været i strid med lovgivningen, hvorfor det derfor ikke har været muligt at teste implementeringen af kontrollen. Ingen afvigelser konstateret. |
A.4 | Relevante lov-, myndigheds- og kontraktkrav samt organisatio- nens metode til overholdelse af disse krav skal være klart identificeret, dokumenteret og opdateret for hvert informati- onssystem og for organisationen. | Inspiceret, at der er procedurer for identifikation og overvågning af relevante lov-, myndigheds- og kontraktkrav, samt at organisationens metode til overholdelse af disse krav er klart identificeret, dokumenteret og opdateret for hvert informati- onssystem og for organisationen: | Ingen afvigelser konstateret. |
A.5 | Privatlivets fred og personoplysninger skal beskyttes i overens- stemmelse med relevant lovgivning og eventuelle forskrifter. | Inspiceret, at der er procedurer for privatlivets fred, og at personoplysninger er beskyttet i over- ensstemmelse med relevant lovgivning og even- tuelle forskrifter. Inspiceret, at procedurer er opdateret. | Ingen afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål B Der er procedurer og kontroller, som sikrer, at Visma DataLøn har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Visma DataLøns kontrolaktivitet | Test udført af EY | Resultat af test |
B.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der etableres aftalte sikringsforanstaltninger for behandling af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at der etableres de aftalte sik- kerhedsforanstaltninger. Inspiceret, at procedurer er opdateret. Inspiceret, at der er etableret de aftalte sikrings- foranstaltninger i overensstemmelse med data- behandleraftalen. | Ingen afvigelser konstateret. |
B.2 | Visma DataLøn har foretaget en risikovurdering og på bag- grund heraf implementeret de tekniske foranstaltninger, der er vurderet relevante for at opnå en passende sikkerhed, her- under etableret de med dataansvarlige aftalte sikringsforan- staltninger. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at databehandler foretager en risikovurdering for at opnå en passende sikker- hed. Inspiceret, at den foretagne risikovurdering er opdateret og omfatter den aktuelle behandling af personoplysninger. Inspiceret, at databehandler har implementeret de tekniske foranstaltninger, som sikrer en pas- sende sikkerhed i overensstemmelse med risiko- vurderingen. Inspiceret, at databehandler har implementeret de sikringsforanstaltninger, der er aftalt med de dataansvarlige. | Ingen afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål B Der er procedurer og kontroller, som sikrer, at Visma DataLøn har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
B.3 | Der er for de systemer og databaser, der anvendes til behand- ling af personoplysninger, installeret antivirus, som er opdate- ret. | Inspiceret, at der for de systemer og databaser, der anvendes til behandling af personoplysnin- ger, er installeret antivirus software. Inspiceret, at antivirus software er opdateret. | Ingen afvigelser konstateret. |
B.4 | Ekstern adgang til systemer og databaser, der anvendes til be- handling af personoplysninger, sker gennem sikret firewall. | Inspiceret, at ekstern adgang til systemer og da- tabaser, der anvendes til behandling af person- oplysninger, alene sker gennem en firewall. Inspiceret, at firewall er konfigureret i henhold til intern politik herfor. | Ingen afvigelser konstateret. |
B.5 | Adgang til personoplysninger er isoleret til brugere med ar- bejdsbetinget behov herfor. | Inspiceret, at der foreligger formaliserede proce- durer for begrænsning af brugeres adgang til per- sonoplysninger. Inspiceret, at de aftalte tekniske foranstaltninger understøtter opretholdelsen af begrænsningen i brugernes arbejdsbetingede adgang til personop- lysninger. | Ingen afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål B Der er procedurer og kontroller, som sikrer, at Visma DataLøn har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
B.6 | Der er for de systemer og databaser, der anvendes til behand- ling af personoplysninger, etableret systemovervågning med alarmering. | Inspiceret, at der for systemer og databaser, der anvendes til behandling af personoplysning, er etableret systemovervågning med alarmering. | Der er ikke etableret alarmering på sy- stemovervågning internt hos Visma Data- Løn. Ingen yderligere afvigelser konstateret. |
B.7 | Der anvendes effektiv kryptering ved transmission af fortrolige og følsomme personoplysninger via internettet. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at transmission af følsomme og fortrolige oplysninger over internettet er beskyt- tet af stærk kryptering baseret på en anerkendt algoritme. Inspiceret, at der anvendes kryptering af trans- missioner af følsomme og fortrolige personoplys- ninger via internettet eller med e-mail. Forespurgt, om der har været ukrypterede trans- missioner af følsomme og fortrolige personoplys- ninger, samt om de dataansvarlige er behørigt orienteret herom. | Ingen afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål B Der er procedurer og kontroller, som sikrer, at Visma DataLøn har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
B.8 | Der er etableret logning i systemer og databaser af følgende forhold: • Aktiviteter, der udføres af systemadministratorer og andre med særlige rettigheder. • Sikkerhedshændelser omfattende: o Ændringer i logopsætninger, herunder deak- tivering af logning. o Ændringer i systemrettigheder til brugere. o Fejlede forsøg på log-on til systemer, data- baser og netværk. Logoplysninger er beskyttet mod manipulation og tekniske fejl og gennemgås løbende. | Inspiceret, at der foreligger formaliserede proce- durer for opsætning af logning af brugeraktivite- ter i systemer, databaser og netværk, der anven- des til behandling og transmission af personop- lysninger, herunder gennemgang og opfølgning på logs. Inspiceret, at logning af brugeraktiviteter i syste- mer, databaser og netværk, der anvendes til be- handling og transmission af personoplysninger, er konfigureret og aktiveret. Inspiceret, at opsamlede oplysninger om bruger- aktivitet i logs er beskyttet mod manipulation og sletning. | Der foretages ikke periodisk opfølgning på aktiviteter udført af Visma DataLøns egne systemadministratorer og andre med sær- lige rettigheder. Vi er blevet informeret om, at logs kan gennemgås reaktivt ved behov. Ingen yderligere afvigelser konstateret. |
B.9 | Personoplysninger, der anvendes til udvikling, test eller lig- nende, er altid i pseudonymiseret eller anonymiseret form. Anvendelse sker alene for at varetage den ansvarliges formål i henhold til aftale og på dennes vegne. | Inspiceret, at der foreligger formaliserede proce- durer for anvendelse af personoplysninger til ud- vikling, test og lignende, der sikrer, at anvendel- sen alene sker i pseudonymiseret eller anonymi- seret form. Forespurgt , om der anvendes personoplysnin- ger, der ikke er pseudonymiseret eller anonymi- seret i udviklings- og testmiljøer. | Ingen afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål B Der er procedurer og kontroller, som sikrer, at Visma DataLøn har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
B.10 | Ændringer til systemer, databaser og netværk følger fastlagte procedurer, som sikrer vedligeholdelse med relevante opdate- ringer og patches, herunder sikkerhedspatches. | Inspiceret, at der foreligger formaliserede proce- durer for håndtering af ændringer til systemer, databaser og netværk, herunder håndtering af relevante opdateringer, patches og sikkerheds- patches. Inspiceret ved stikprøve på tre typer af ændrin- ger (Emergency, Ekstern og Intern), at procedu- rer for håndtering af ændringer til systemer, da- tabaser og netværk er implementeret. Inspiceret ved gennemgang erklæringer fra un- derleverandører, at systemer, databaser og net- værk er opdateret med aftalte ændringer og rele- vante opdateringer, patches og sikkerhedspat- ches. | Ingen afvigelser konstateret. |
B.11 | Der er formaliseret forretningsgang for tildeling og afbrydelse af brugeradgange til personoplysninger. Brugeres adgang re- vurderes regelmæssigt, herunder at rettigheder fortsat kan begrundes i et arbejdsbetinget behov. | Inspiceret, at der foreligger formaliserede proce- durer for tildeling og afbrydelse af brugernes ad- gang til systemer og databaser, som anvendes til behandling af personoplysninger. Inspiceret, at der foreligger formaliserede proce- durer for opfølgning på, at brugeres adgang til personoplysninger er i overensstemmelse med deres arbejdsbetingede behov. Inspiceret ved en stikprøve på én medarbejders adgange til systemer og databaser, at de tildelte brugeradgange er godkendt, og at der er et ar- bejdsbetinget behov. | Procedurer for adgangsstyring ikke inde- holder en beskrivelse af, hvordan en perio- disk gennemgang af brugere og deres ret- tigheder skal foretages. Ingen yderligere afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Inspiceret ved en stikprøve på én fratrådt medar- bejdere, at disses adgange til systemer og data- baser er rettidigt deaktiveret eller nedlagt. Inspiceret, at der foreligger dokumentation for regelmæssig – mindst en gang årligt – vurdering og godkendelse af tildelte brugeradgange. | |||
Kontrolmål B Der er procedurer og kontroller, som sikrer, at Visma DataLøn har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
B.12 | Der er etableret fysisk adgangssikkerhed, så kun autoriserede personer kan opnå fysisk adgang til lokaler og datacentre, hvor der opbevares og behandles personoplysninger. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at kun autoriserede personer kan opnå fysisk adgang til lokaler og datacentre, hvori der opbevares og behandles personoplys- ninger. Observeret, at kun autoriserede personer har fy- sisk adgang til lokaler og datacentre, hvori der opbevares og behandles personoplysninger. Inspiceret ved gennemgang af erklæringer fra un- derleverandører, at der er etableret fysisk ad- gangssikkerhed, så kun autoriserede personer kan opnå fysisk adgang til lokaler og datacentre, hvor der opbevares og behandles personoplys- ninger. | Ingen afvigelser konstateret. |
B.13 | Information skal klassificeres efter lovmæssige krav, værdi og efter, hvor følsom og kritisk informationen er i forhold til uau- toriseret offentliggørelse eller ændring. | Inspiceret, at der vedligeholdes et klassificerings- skema, samt at dette er godkendt og gjort til- gængeligt for medarbejdere. | Ingen afvigelser konstateret. |
B.14 | Der skal udarbejdes og implementeres procedurer til håndte- ring af aktiver i overensstemmelse med det informationsklas- sifikationssystem, som organisationen har vedtaget. | Inspiceret, at et register over aktiver er vedlige- holdt, godkendt og indeholder klassificering af: • Kategori • Miljø | Ingen afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
• Klassificering • Acceptable use • Intellectual property rights | |||
B.15 | Aktiver i relation til information og informationsbehandlings- faciliteter skal identificeres, og der skal udarbejdes og vedlige- holdes en fortegnelse over disse aktiver. | Inspiceret, at et register over aktiver er vedlige- holdt, godkendt og indeholder relevant informa- tion og informationsbehandlingsaktiver. | Ingen afvigelser konstateret. |
Kontrolmål B Der er procedurer og kontroller, som sikrer, at Visma DataLøn har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
B.16 | Regler for accepteret brug af information og aktiver i relation til information og informationsbehandlingsfaciliteter skal iden- tificeres, dokumenteres og implementeres. | Inspiceret, at regler for brug af identificerede ak- tiver i relation til information og informationsbe- handlingsfaciliteter er dokumenteret og imple- menteret. Inspiceret, at politikken for brug af informations- aktiver er kommunikeret og tilgængelig for med- arbejdere. | Ingen afvigelser konstateret. |
B.17 | Organisationen skal fastlægge krav til informationssikkerhed og informationssikkerhedskontinuitet i kritiske situationer, fx i tilfælde af en krise eller katastrofe. | Inspiceret, at der foreligger en formaliseret poli- tik for informationssikkerhed og informationssik- kerhedskontinuitet i kritiske situationer, samt at denne er opdateret og godkendt. | Ingen afvigelser konstateret. |
B.18 | Organisationen skal fastlægge, dokumentere, implementere og vedligeholde processer, procedurer og kontroller for at sikre den nødvendige informationssikkerhedskontinuitet i en kritisk situation. | Inspiceret, at der er fastlagt, dokumenteret og implementeret procedurer og kontroller for at sikre den nødvendige informationssikkerheds- kontinuitet i en kritisk situation, samt at disse er vedligeholdt og godkendt. | Ingen afvigelser konstateret. |
B.19 | Organisationen skal verificere de etablerede og implemente- rede kontroller vedrørende informationssikkerhedskontinuite- ten med jævne mellemrum med henblik på at sikre, at de er tidssvarende og effektive i kritiske situationer. | Inspiceret, at der er fastlagt, dokumenteret og implementeret procedurer og kontroller for at sikre den nødvendige informationssikkerheds- kontinuitet i en kritisk situation. | Ingen afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Inspiceret, at de underliggende procedurer for in- formationssikkerhedskontinuitet er verificeret og godkendt. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål C Der er procedurer og kontroller, som sikrer, at Visma DataLøn har implementeret organisatoriske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Visma DataLøns kontrolaktivitet | Tests udført af EY | Resultat af test |
C.1 | Databehandlerens ledelse har godkendt en skriftlig informa- tionssikkerhedspolitik, som er kommunikeret til alle rele- vante interessenter, herunder databehandlerens medarbej- dere. It-sikkerhedspolitikken tager udgangspunkt i den gen- nemførte risikovurdering. | Inspiceret, at der foreligger en informationssik- kerhedspolitik, som ledelsen har behandlet og godkendt inden for det seneste år. Inspiceret dokumentation for, at informations- sikkerhedspolitikken er kommunikeret til rele- vante interessenter, herunder databehandle- rens medarbejdere. | Ingen afvigelser konstateret. |
C.2 | Databehandlerens ledelse har sikret, at informationssikker- hedspolitikken ikke er i modstrid med indgåede databehand- leraftaler. | Inspiceret dokumentation for ledelsens vurde- ring af, at informationssikkerhedspolitikken ge- nerelt lever op til kravene om sikringsforanstalt- ninger og behandlingssikkerheden i indgåede databehandleraftaler. Inspiceret ved et eksempel på en databehand- leraftale, at kravene i aftalerne er dækket af in- formationssikkerhedspolitikkens krav til sik- ringsforanstaltninger og behandlingssikkerhe- den. | Ingen afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål C Der er procedurer og kontroller, som sikrer, at Visma DataLøn har implementeret organisatoriske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Visma DataLøns kontrolaktivitet | Tests udført af EY | Resultat af test |
C.3 | Der udføres en efterprøvning af databehandlerens medar- bejdere i forbindelse med ansættelse. Efterprøvningen om- fatter i relevant omfang: • Referencer fra tidligere ansættelser • Straffeattest • Eksamensbevis | Inspiceret, at der foreligger formaliserede pro- cedurer, der sikrer efterprøvning af databe- handlerens medarbejdere i forbindelse med an- sættelse. Inspiceret ved et eksempel på en nyansat med- arbejder, at kravene til efterprøvning af medar- bejdere i aftalerne er dækket af databehandle- rens procedurer for efterprøvning. Inspiceret ved et eksempel på en nyansat med- arbejder, at der er dokumentation for, at efter- prøvningen har omfattet. • Referencer fra tidligere ansættelser • Straffeattest • Eksamensbevis | Ingen afvigelser konstateret. |
C.4 | Ved ansættelse underskriver medarbejdere en fortroligheds- aftale. Endvidere bliver medarbejderen introduceret til infor- mationssikkerhedspolitik og procedurer vedrørende databe- handling samt anden relevant information i forbindelse med medarbejderens behandling af personoplysninger. | Inspiceret ved et eksempel på en nyansat med- arbejder, at den pågældende medarbejder har underskrevet en fortrolighedsaftale. Inspiceret ved et eksempel på en nyansat med- arbejder, at den pågældende medarbejder er blevet introduceret til: • Informationssikkerhedspolitikken. • Procedurer vedrørende databehand- ling, samt anden relevant information. | Ingen afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål C Der er procedurer og kontroller, som sikrer, at Visma DataLøn har implementeret organisatoriske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Visma DataLøns kontrolaktivitet | Tests udført af EY | Resultat af test |
C.5 | Ved fratrædelse er der hos databehandleren implementeret en proces, som sikrer, at brugerens rettigheder bliver inak- tive eller ophører, herunder at aktiver inddrages. | Inspiceret procedurer, der sikrer, at fratrådte medarbejderes rettigheder inaktiveres eller op- hører ved fratrædelse, og at aktiver som ad- gangskort, pc, mobiltelefon osv. inddrages. | Ingen afvigelser konstateret. |
C.6 | Ved fratrædelse orienteres medarbejderen om, at den un- derskrevne fortrolighedsaftale fortsat er gældende, samt at medarbejderen er underlagt en generel tavshedspligt i rela- tion til behandling af personoplysninger, databehandleren udfører for de dataansvarlige. | Inspiceret, at der foreligger formaliserede pro- cedurer, der sikrer, at fratrådte medarbejdere gøres opmærksom på opretholdelse af fortrolig- hedsaftalen og generel tavshedspligt. Inspiceret ved et eksempel på en fratrådt med- arbejder, at der er dokumentation for oprethol- delse af fortrolighedsaftale og generel tavsheds- pligt. | Ingen afvigelser konstateret. |
C.7 | Der gennemføres løbende awareness-træning af databe- handlerens medarbejdere i relation til it-sikkerhed generelt samt behandlingssikkerhed i relation til personoplysninger. | Inspiceret, at databehandleren udbyder aware- ness-træning til medarbejderne omfattende ge- nerel it-sikkerhed og behandlingssikkerhed i re- lation til personoplysninger. Inspiceret dokumentation for, at alle medarbej- dere, som enten har adgang til eller behandler personoplysninger, har gennemført den ud- budte awareness-træning: | Ingen afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål D Der er procedurer og kontroller, som sikrer, at personoplysninger kan slettes eller tilbageleveres, såfremt der indgås aftale herom med den dataansvarlige. | |||
Nr. | Visma DataLøns kontrolaktivitet | Tests udført af EY | Resultat af test |
D.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der foretages opbevaring og sletning af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurer er opdateret. | Inspiceret, at der foreligger formaliserede proce- durer for opbevaring og sletning af personoplys- ninger i overensstemmelse med aftalen med den dataansvarlige. Inspiceret, at procedurerne er opdateret. | Ingen afvigelser konstateret. |
D.2 | Der er aftalt følgende specifikke krav til databehandlerens op- bevaringsperioder og sletterutiner: • Visma DataLøn optager telefonsamtaler, såfremt der er givet samtykke hertil, mellem Kunden og Visma DataLøns kundecentre for at kunne fastslå samtaler- nes indhold. Samtalerne opbevares i seks måneder, hvorefter de slettes. • Dokumenter på aktive kunder slettes efter løbende + fem år. • Grundmateriale opbevares i 45 dage. | Inspiceret, at de foreliggende procedurer for op- bevaring og sletning indeholder de specifikke krav til databehandlerens opbevaringsperioder og sletterutiner. Inspiceret ved en stikprøve på en databehandling fra databehandlerens oversigt over behandlings- aktiviteter, at der er dokumentation for, at per- sonoplysninger opbevares i overensstemmelse med de aftalte opbevaringsperioder. Inspiceret ved en stikprøve på en databehandling fra databehandlerens oversigt over behandlings- aktiviteter, at der er dokumentation for, at per- sonoplysninger er slettet i overensstemmelse med de aftalte sletterutiner. | Ingen afvigelser konstateret. |
D.3 | Ved ophør af behandling af personoplysninger for den dataan- svarlige er data i henhold til aftalen med den dataansvarlige: • tilbageleveret til den dataansvarlige og/eller • slettet, hvor det ikke er i modstrid med anden lovgiv- ning. | Inspiceret, at der foreligger formaliserede proce- durer for behandling af den dataansvarliges data ved ophør af behandling af personoplysninger. Inspiceret ved en stikprøve på en ophørt databe- handling, at der er dokumentation for, at den af- talte sletning eller tilbagelevering af data er ud- ført. | Ingen afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål E Der er procedurer og kontroller, som sikrer, at Visma DataLøn alene opbevarer personoplysninger i overensstemmelse med aftalen med den dataansvarlige. | |||
Nr. | Visma DataLøn kontrolaktivitet | Tests udført af EY | Resultat af test |
E.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der alene foretages opbevaring af personoplysninger i over- ensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer for, at der alene foretages opbevaring og behandling af personoplysninger i henhold til da- tabehandleraftalerne. Inspiceret, at procedurerne er opdateret. Inspiceret ved en stikprøve på en databehandling fra databehandlerens oversigt over behandlings- aktiviteter, at der er dokumentation for, at data- behandlingen sker i henhold til databehandleraf- talen. | Ingen afvigelser konstateret. |
E.2 | Databehandlerens databehandling inklusive opbevaring må kun finde sted på de af den dataansvarlige godkendte lokalite- ter, lande eller landområder. | Inspiceret, at databehandleren har en samlet og opdateret oversigt over behandlingsaktiviteter med angivelse af lokaliteter, lande eller landom- råder. Inspiceret ved et eksempel på en databehandling fra databehandlerens oversigt over behandlings- aktiviteter, at der er dokumentation for, at data- behandlingen, herunder opbevaring af personop- lysninger, alene foretages på de lokaliteter, der fremgår af databehandleraftalen – eller i øvrigt er godkendt af den dataansvarlige. | Ingen afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål F Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren ved opfølgning på disses tekni- ske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikker- hed. | |||
Nr. | Visma DataLøns kontrolaktivitet | Tests udført af EY | Resultat af test |
F.1 | Der foreligger skriftlige procedurer, som indeholder krav til da- tabehandleren ved anvendelse af underdatabehandlere, her- under krav om underdatabehandleraftaler og instruks. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer for anvendelse af underdatabehandlere, herunder krav om underdatabehandleraftaler og instruks. Inspiceret, at procedurerne er opdateret. | Ingen afvigelser konstateret. |
F.2 | Databehandleren anvender alene underdatabehandlere til be- handling af personoplysninger, der er specifikt eller generelt godkendt af den dataansvarlige. | Inspiceret, at databehandleren har en samlet og opdateret oversigt over anvendte underdatabe- handlere. Inspiceret ved et eksempel på en underdatabe- handler fra databehandlerens oversigt over un- derdatabehandlere, at der er dokumentation for, at underdatabehandlerens databehandling frem- går af databehandleraftalen – eller i øvrigt er godkendt af den dataansvarlige. | Ingen afvigelser konstateret. |
F.3 | Ved ændringer i anvendelsen af generelt godkendte underda- tabehandlere underretters den dataansvarlige rettidigt i for- hold til at kunne gøre indsigelse gældende og/eller trække persondata tilbage fra databehandleren. Ved ændringer i an- vendelse af specifikt godkendte underdatabehandlere er dette godkendt af den dataansvarlige. | Inspiceret, at der foreligger formaliserede proce- durer for underretning til den dataansvarlige ved ændringer i anvendelse af underdatabehandlere. Inspiceret dokumentation for, at den dataansvar- lige er blevet underrettet ved seneste ændring i anvendelse af underdatabehandlerne. | Ingen afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål F Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren ved opfølgning på disses tekni- ske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikker- hed. | |||
Nr. | Visma DataLøns kontrolaktivitet | Tests udført af EY | Resultat af test |
F.4 | Databehandleren har pålagt underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er forudsat i data- behandleraftalen el.lign. med den dataansvarlige. | Inspiceret, at der foreligger underskrevne under- databehandleraftaler med anvendte underdata- behandlere, som fremgår af databehandlerens oversigt. Inspiceret ved en stikprøve på en underdatabe- handleraftale, at denne indeholder samme krav og forpligtelser, som er anført i databehandleraf- talerne mellem de dataansvarlige og databe- handleren. | Ingen afvigelser konstateret. |
F.5 | Databehandleren har en oversigt over godkendte underdata- behandlere med angivelse af: • Navn • CVR-nr. • Adresse • Beskrivelse af behandlingen | Inspiceret, at databehandleren har en samlet og opdateret oversigt over anvendte og godkendte underdatabehandlere. Inspiceret, at oversigten som minimum indehol- der de krævede oplysninger om de enkelte un- derdatabehandlere. | Ingen afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål F Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren ved opfølgning på disses tekni- ske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikker- hed. | |||
Nr. | Visma DataLøns kontrolaktivitet | Tests udført af EY | Resultat af test |
F.6 | Databehandleren foretager, på baggrund af ajourført risiko- vurdering af den enkelte underdatabehandler og den aktivitet, der foregår hos denne, en løbende opfølgning herpå ved mø- der, inspektioner, gennemgang af revisionserklæring eller lig- nende. Den dataansvarlige orienteres om den opfølgning, der er foretaget hos underdatabehandleren. | Inspiceret, at der foreligger formaliserede proce- durer for opfølgning på behandlingsaktiviteter hos underdatabehandlerne og overholdelse af underdatabehandleraftalerne. Inspiceret dokumentation for, at der er foretaget en risikovurdering af den enkelte underdatabe- handler og den aktuelle behandlingsaktivitet hos denne. Inspiceret dokumentation for, at der er foretaget behørig opfølgning på tekniske og organisatori- ske foranstaltninger, behandlingssikkerheden hos de anvendte underdatabehandlere, tredjelands overførselsgrundlag og lignende. | Ingen afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål G Der efterleves procedurer og kontroller, som sikrer, at databehandleren kan bistå den dataansvarlige med udlevering, rettelse, sletning eller begrænsning af oplysnin- ger om behandling af personoplysninger til den registrerede. | |||
Nr. | Visma DataLøns kontrolaktivitet | Tests udført af EY | Resultat af test |
G.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren skal bistå den dataansvarlige i relation til de registreredes rettigheder. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer for databehandlerens bistand af den data- ansvarlige i relation til de registreredes rettighe- der. Inspiceret, at procedurerne er opdateret. | Ingen afvigelser konstateret. |
G.2 | Databehandleren har etableret procedurer, som i det omfang, dette er aftalt, muliggør en rettidig bistand til den dataansvar- lige i relation til udlevering, rettelse, sletning eller begræns- ning af og oplysning om behandling af personoplysninger til den registrerede. | Forespurgt, om der foreligger procedurer for bi- stand til den dataansvarlige, som indeholder de- taljerede procedurer for: • Udlevering af oplysninger. • Rettelse af oplysninger. • Sletning af oplysninger. • Begrænsning af behandling af person- oplysninger. • Oplysning om behandling af personop- lysninger til den registrerede. | Der er ikke detaljerede procedurer i rela- tion til håndteringen af den registreredes rettigheder. Der henvises til komplemente- rende kontroller hos dataansvarlige. Vi har konstateret, at der ikke er modtaget henvendelser, og det har dermed ikke væ- ret muligt at teste implementeringen af kontrollen. Ingen yderligere afgivelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål H Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale. | |||
Nr. | Visma DataLøns kontrolaktivitet | Tests udført af EY | Resultat af test |
H.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren skal underrette de dataansvarlige ved brud på persondatasikkerheden. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer, der indeholder krav til underretning af de dataansvarlige ved brud på persondatasikkerhe- den. Inspiceret, at proceduren er opdateret. | Der er ikke angivet passende frister for rapportering af brud på persondatasikker- heden. Ingen yderligere afvigelser konstateret. |
H.2 | Databehandleren har etableret følgende kontroller for identi- fikation af eventuelle brud på persondatasikkerheden: • Awareness hos medarbejdere. • Logning af tilgang til personoplysninger. • Scanning af dark websites og markedspladser for læk af personoplysninger. | Inspiceret, at databehandler udbyder awareness- træning til medarbejderne i relation til identifika- tion af eventuelle brud på persondatasikkerhe- den. Inspiceret dokumentation for, at netværkstrafik overvåges, samt at der sker opfølgning på anor- maliteter, overvågningsalarmer, overførsel af store filer m.v. Inspiceret dokumentation for, at der sker rettidig opfølgning på logning af adgang til personoplys- ninger, herunder opfølgning på gentagne forsøg på adgang. Observeret, at der er implementeret løsning, som scanner dark websites og markedspladser for læk af personoplysninger. | Der er ikke etableret periodisk opfølgning på logaktiviteter for at identificere eventu- elle brud på persondatasikkerheden. Ingen yderligere afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål H Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale. | |||
Nr. | Visma DataLøns kontrolaktivitet | Tests udført af EY | Resultat af test |
H.3 | Databehandleren har ved eventuelle brud på persondatasik- kerheden underrettet den dataansvarlige uden unødig forsin- kelse og senest 24 timer efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databe- handleren eller en underdatabehandler. | Inspiceret, at databehandleren har en oversigt over sikkerhedshændelser med angivelse af, om den enkelte hændelse har medført brud på per- sondatasikkerheden. Forespurgt underdatabehandlerne, om de har konstateret nogen brud på persondatasikkerhe- den. Inspiceret, at databehandleren har medtaget eventuelle brud på persondatasikkerheden hos underdatabehandlere i databehandlerens over- sigt over sikkerhedshændelser. Inspiceret, at et eksempel på et registreret brud på persondatasikkerheden hos databehandleren eller underdatabehandlerne er meddelt de be- rørte dataansvarlige uden unødig forsinkelse og senest 24 timer efter, at databehandleren er ble- vet opmærksom på brud på persondatasikkerhe- den. | Ingen afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
Kontrolmål H Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale. | |||
Nr. | Visma DataLøns kontrolaktivitet | Tests udført af EY | Resultat af test |
H.4 | Databehandleren har etableret procedurer for bistand til den dataansvarlige ved dennes anmeldelse til Datatilsynet: • Karakteren af bruddet på persondatasikkerheden. • Sandsynlige konsekvenser af bruddet på persondata- sikkerheden. • Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden. | Inspiceret, at de foreliggende procedurer for un- derretning af de dataansvarlige ved brud på per- sondatasikkerheden indeholder detaljerede pro- cedurer for: • Beskrivelse af karakteren af bruddet på persondatasikkerheden. • Beskrivelse af sandsynlige konsekvenser af bruddet på persondatasikkerheden. • Beskrivelse af foranstaltninger, som er truffet eller foreslås truffet for at hånd- tere bruddet på persondatasikkerheden. Inspiceret dokumentation for, at de foreliggende procedurer understøtter, at der træffes foran- staltninger for håndtering af bruddet på person- datasikkerheden. | Foranstaltninger, som Visma DataLøn har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, frem- går ikke klart af procedure for viderefor- midling af brud på persondatasikkerheden til dataansvarlige. Ingen yderligere afvigelser konstateret. |
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
The document is signed using Visma Addo digital signing service.
The signatures in this document are legally binding. The signers identities are registered and listed below.
Xxxx X Xxxxxxxxxxxx
Associate Partner
(Xxxxxx'x name supplied by Xxxxxx Xxxx) 26-11-2020 12:20
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
“With my signature, I confirm the content of the document above.”
Xxxxxx Xxxxxxxxxxx
Managing Director
(Xxxxxx'x name supplied by Xxxxxx Xxxx) 26-11-2020 10:48
Xxxxxxx Xxxxxx
Senior Manager
(Xxxxxx'x name supplied by Xxxxxx Xxxx) 26-11-2020 10:48
This document is digitally signed using Visma Addo signing service. Signing Certificates in this document are secure and encrypted using the mathematical hash of the original document.
The document is locked for changes and time-stamped with a certificate from a trusted third party. All cryptographic signing certificates are embedded in the PDF, in case of sending them for validation in the future.
How to verify that the document is original
This document is protected with Adobe CDS certificate. When you open the document in Adobe Reader, you can see that the document is certified by Visma Addo signing service. This is your guarantee that the content of the document is unchanged.
You have the opportunity to verify the cryptographic signing certificates in the document with Visma Addo's validator on this website xxxxx://xxxxxxxxx.xxx/XxxXxxxx/#/XxxXxXxxxxxxxxx
In addition to this document, one or more documents and attachments can be associated with the transaction.
Visma Addo identification number: c4e554fc-cefa-4b4e-871c-0c48f7b61149
All documents included in the transaction are listed below. The event log describes signers' events related to the signing of the document.
Documents in the transaction
This document
Visma Dataløn - ISAE 3000 GDPR pr. 24.09.2020.pdf
The documents and attachemnts above have been signed and sent to all parties by e-mail or as a download link. Signer is responsible for downloading and securing the content of the documents and attachments.
Download documents
As a signer you have received a link to download the documents. The documents will be available for 10 days whereupon they will be deleted from Visma Addo.
Event log for document
Event log for the document
2020-11-26 10:43 The signing process has started 2020-11-26 10:43 The signing process has started 2020-11-26 10:43 The signing process has started
2020-11-26 10:43 A notification has been sent to Xxxxxx Xxxxxxxxxxx 2020-11-26 10:43 A notification has been sent to Xxxx X Xxxxxxxxxxxx 2020-11-26 10:43 A notification has been sent to Xxxxxxx Xxxxxx
2020-11-26 10:47 The authentication screen has been accessed via the link sent to Xxxxxx Xxxxxxxxxxx with method 2 faktor identifikation from IP address: 128.76.231.196
2020-11-26 10:47 The authentication screen has been accessed via the link sent to Xxxxxxx Xxxxxx with method 2 faktor identifikation from IP address: 93.162.215.81
2020-11-26 10:47 The document was opened via the link sent to Xxxxxx Xxxxxxxxxxx 2020-11-26 10:48 The document was opened via the link sent to Xxxxxxx Xxxxxx
2020-11-26 10:48 The document was signed by Xxxxxx Xxxxxxxxxxx (IP: 128.76.231.196) 2020-11-26 10:48 All documents have been signed by Xxxxxx Xxxxxxxxxxx
2020-11-26 10:48 The document was signed by Xxxxxxx Xxxxxx (IP: 93.162.215.81) 2020-11-26 10:48 All documents have been signed by Xxxxxxx Xxxxxx
2020-11-26 12:10 The authentication screen has been accessed via the link sent to Xxxx X Xxxxxxxxxxxx with method 2 faktor identifikation from IP address: 213.32.242.143
2020-11-26 12:10 The document was opened via the link sent to Xxxx X Xxxxxxxxxxxx 2020-11-26 12:20 The document was signed by Xxxx X Xxxxxxxxxxxx (IP: 213.32.242.143) 2020-11-26 12:20 All documents have been signed by Xxxx X Xxxxxxxxxxxx
Visma Addo
Visma Consulting • Xxxxxxxxxxxx 00 • 2800 Kgs. Lyngby • Denmark xxxx@xxxxx.xxx • xxx.xxxxx.xx/xxxx