Forsikring & Pension September 2017
Forsikring & Pension September 2017
Adgangskontrolanlæg (ADK)
Certificering af ADK-virksomheder
Forsikring & Pension Xxxxxx Xxxxxxx Allé 1 2900 Hellerup
Tlf. 00 00 00 00
Indholdsfortegnelse
20 Krav til certificeringsorganet 2
30 Certificeringens gyldighedsområder 3
50 Krav til virksomhedens dokumentation 3
70 Krav til virksomhedens medarbejdere 5
80 Virksomhedens eventuelle brug af underleverandører 6
100 Registrering hos Forsikring & Pension 6
10 Forord
10.10 Denne kravspecifikation omhandler kvalitetskrav til brug for certificering af virk- somheder, der til slutbrugere sælger, projekterer, installerer og servicerer ADK- anlæg.
10.20 Adgangskontrolanlæg installeres med det formål at registrere, styre og dokumente- re personers adgang til og fra hele bygningen eller rundt mellem bygningsområder og -afsnit.
10.30 Virksomheder, der ønsker at blive certificerede som ADK-installatørvirksomhed, skal anvende denne kravspecifikation til at sikre, at ADK-anlæggene sælges, pro- jekteres, installeres og serviceres i henhold til Teknisk Specifikation for ADK-anlæg, af SikkerhedsBranchen og som findes i Appendiks A til kapitel 2 i Forsikring & Pen- sions Suppleringskatalog.
10.40 Kravspecifikationen skal indgå i en akkrediteret certificering, der udføres i henhold til gældende ISO 9001 standard.
20 Krav til certificeringsorganet
20.10 Det certificerende organ skal være akkrediteret af DANAK (eller et tilsvarende ak- krediteringsorgan inden for EU/EØS) i henhold til DS/EN ISO/IEC 17 021 – til certi- ficering af virksomheders kvalitetsledelsessystemer i overensstemmelse med DS/ISO 9001.
20.20 Det certificerende organ er forpligtet til at udføre audit af de certificerede ADK- installatørvirksomheder på baggrund af gældende lovgivning, normer, standarder og branchekataloger, særligt:
a) Forsikrings & Pensions Suppleringskatalog, kapitel 2
b) Forsikrings & Pensions Suppleringskatalog, kapitel 2, appendiks A ”Kravspecifi- kation”
c) DS/EN 60839-11-1:2013 Elektroniske adgangskontrolsystemer – System- og komponentkrav
d) DS/EN 60839-11-2:2013 Elektroniske adgangskontrolanlæg – Anvendelsesvej- ledning
e) EU-Persondataforordningen 2016/679
20.30 Det certificerende organ skal gennemføre en kontrol af, at kvalitetsledelsessyste- met er implementeret i virksomhedens interne forretningsgange, således at ADK- anlæg sælges, projekteres, installeres og serviceres i henhold til denne kravspecifi- kation.
20.40 Det certificerende organ skal føre kontrol med, at ADK-virksomheden har et bered- skab, der sikrer, at der kan ydes service på ADK-anlæg inden for de kontraktlige aftalte terminer.
20.50 Det certificerende organ skal ved udstedelse af ADK-certifikat anføre, at der ved auditeringen af virksomheden er gjort brug af denne kravspecifikations kravele- menter.
30 Certificeringens gyldighedsområder
30.10 Kravspecifikationen gælder for virksomheder, der til slutbrugere sælger, projekte- rer, installerer og servicerer produkter til brug for ADK-anlæg, og som ønsker at blive certificeret i henhold til denne specifikation.
30.20 Virksomheden skal opfylde kravene i ISO 9001-standarden for alle virksomhedens ADK-aktiviteter.
40 Krav til virksomheden
40.10 Virksomheden skal stille medarbejdere og dokumentation til rådighed for de audits, der udføres af certificeringsorganet i virksomhedens certificeringsperiode.
40.20 Virksomheden skal være registreret i Erhvervsstyrelsens CVR-register, eller være registreret i lignende registre i de øvrige EU/EØS-lande, og have fast driftssted in- den for Den Europæiske Union eller i et land inden for Det Europæiske Økonomiske Samarbejdsområde.
40.30 Virksomheden må ikke være under rekonstruktion eller under konkursbehandling, jf. Konkursloven, eller under tvangsopløsning, jf. Lov om kapitalselskaber. Ligele- des må der ikke være søgt eller forhandlet frivillig kreditorordning i form af mora- torium, akkordering eller lignende.
40.40 Virksomheden skal meddele certificeringsorganet, hvem der til enhver tid tegner virksomheden juridisk i henhold til denne kravspecifikation.
40.50 Virksomheden er ansvarlig for, at relevante medarbejdere opfylder uddannelses- kravene i afsnit 70 eller har anden uddannelse med tilsvarende indhold og prøve.
40.60 Al kommunikation mellem virksomheden, kunder og certificeringsorganer skal kun- ne foregå på dansk.
40.70 Signaler af enhver type fra ADK-anlægget via et AIA-anlæg, eller hvor ADK- anlægget fungerer som en integreret del af et AIA-anlæg, der er udført i henhold til denne kravspecifikation, skal overføres til en kontrolcentral, der er godkendt af Rigspolitiet, jf. Lov om vagtvirksomhed.
50 Krav til virksomhedens dokumentation
50.10 I forbindelse med certificeringsorganets audit skal ADK-virksomheden kunne frem- vise dokumentation, jf. punkt 40.20, 40.30 og 40.40.
50.20 I forbindelse med certificeringsorganets audit skal ADK-virksomheden kunne frem- vise dokumentation vedrørende forretningsgange og procedurer i forbindelse med:
a) Indkøb
b) Salg og markedsføring
c) Projektering
d) Installation
e) Aflevering
f) Serviceudførelse
g) Sikring af kundedata iht. punkt 60
50.30 I forbindelse med certificeringsorganets audit skal ADK-virksomheden kunne frem- vise anlægsdokumentation vedrørende alle ADK-anlæg, som virksomheden har ud- ført i de seneste fem år.
Kravet om anlægsdokumentation opdeles i to:
Brugervejledning
Brugervejledningen skal som minimum have følgende indhold og udformning:
a) Brugervejledningen skal være udformet på dansk og eventuelt efter aftale på et andet sprog.
b) Brugervejledningen skal beskrive, hvorledes ADK-anlæggets sikringsansvarlige betjener ADK-anlægget i daglig drift, herunder særligt ved alarm- og fejlmeddelel- ser.
c) Vejledning og rådgivning af kunden vedrørende Persondatabeskyttelsesforord- ningen.
d) Vejledningen skal suppleres af en mundtlig instruktion af kunden i forbindelse med aflevering.
Installationsdokumentation
Installationsdokumentation skal som minimum redegøre for følgende forhold:
1) Dokumentation for IT-kabling og netværkskomponenter
2) Dokumentation for de anvendte ADK-systemdele
3) Dokumentation for placering af ADK-systemdele
4) Dokumentation for test i forbindelse med idriftsættelse
5) Dokumentation for programmerede adgangspunkter på afleveringstidspunktet
6) Dokumentation for de etablerede sikringsniveauer.
Installationsdokumentationen, som er en del af den totale ADK-leverance, skal af- leveres til slutbruger i original og skal som kopi opbevares hos ADK-virksomheden.
50.40 Som installationsdokumentation kan eventuelt anvendes ADK- installationserklæring, der betragtes som minimumomfang af dokumentationen.
50.50 Såfremt der af forsikringsselskabet er stillet krav om ADK-anlæg som supplerende sikring, skal der altid udarbejdes og afleveres en ADK-installationserklæring, der opfylder Forsikring & Pensions krav.
50.60 Krav om anden dokumentation og kundeoplysninger, som virksomheden skal kun- ne fremvise:
a) Gennemførte interne audits og ledelsens evaluering
b) Uddannelsen af personer, der projekterer, monterer, servicerer eller sælger ADK-anlæg. Uddannelse af personale skal registreres af ADK-virksomheden
c) Alle serviceringer virksomheden har udført på ADK-anlæg.
50.70 Virksomheden skal kunne dokumentere et beredskab af serviceteknikere til at på- begynde service på ADK-anlæg inden for de kontraktlige aftalte terminer.
60 Kundedata og nøgler
60.10 Nøgler og fortrolige kundedata (fysiske og logiske) - f.eks. programmer, principdia- grammer, koder og kodeord – der opbevares i den certificerede installatørvirksom- hed, skal opbevares forsvarligt. Fysiske nøgler og kundedata skal opbevares i en værdiopbevaringsenhed, der er klassificeret i henhold til DS/EN1143-1 grade 1 el- ler tilsvarende, jf. Forsikring & Pensions sammenligningsnøgle.
Alternativt kan grade 0 anvendes, hvis værdiopbevaringsenheden overvåges af et AIA-anlæg med overvåget alarmtransmission til en af Rigspolitiet godkendt kon- trolcentral.
60.20 Krav til beskyttelse af kundedata
a) ADK-virksomheden er ansvarlig for, at der foretages en klassificering af kun- dedata der opbevares, transporteres og behandles som ADK-anlæg, og at der findes en beskrivelse af klassificeringsmetode og niveauer.
b) ADK-virksomheden er ansvarlig for at sikre, at der gennemføres en risiko- vurdering af de processer, der vedrører ADK-anlæg og kunderelaterede data. Risikovurderingen skal sammen med punkt c belyse de nødvendige sikrings- foranstaltninger.
c) ADK-virksomheden er ansvarlig for at sikre, at der etableres de nødvendige fysiske og logiske sikringsforanstaltninger i forhold til adgangskontrol, sikker sletning, fysisk sikkerhed, sikkerhedskopiering og genetablering, logning, monitorering, patchning, opdatering og beskyttelse mod skadelige program- mer.
60.30 Uden for den certificerede ADK-virksomheds adresse må fortrolige kundedata o.l. ikke efterlades uden opsyn.
60.40 Medmindre den anvendte databehandler/kontrolcentral er juridisk identisk med ADK-anlægsejeren, skal der udfærdiges en skriftlig samarbejdsaftale med databe- handler/kontrolcentralen om overførsel og overvågning af signaler fra det tilslutte- de ADK-anlæg.
70 Krav til virksomhedens medarbejdere
70.10 For at sikre, at ADK-installatørvirksomheden har de fornødne kompetencer i forbin- delse med salg, projektering, installation og servicering af ADK-anlæg, skal instal- latørvirksomheden have fastansat en eller flere medarbejdere, der har deres ho- vedbeskæftigelse med mindst 30 timer pr. uge i den certificerede installatørvirk- somhed, og som til sammen har gennemgået og bestået følgende eller tilsvarende uddannelser/kurser på relevante fagområder.
Enten:
a) ADK, installation (40569) og
b) ADK, IP-baseret anlæg (40570) eller:
c) Uddannelse som diplom- eller civilingeniør i el-retningen
eller:
d) Autoriseret el-installatør
70.20 Såfremt der opstår afvigelser vedrørende medarbejderkvalifikationer, er virksom- heden forpligtet til at reetablere kompetencerne inden for maksimalt seks måne- der.
70.30 Alle medarbejdere, der selvstændigt installerer, programmerer og idriftsætter ADK- anlæg, skal kunne opfylde uddannelseskravet i 70.10 – a og b.
70.40 ADK-virksomheden skal sikre, at virksomhedens sælgere af ADK-anlæg har doku- menteret kendskab til ADK-anlæg, og de krav, der stilles i nærværende kravspeci- fikationer.
70.50 Medarbejdere, der er beskæftiget med installation af eller service på ADK-anlæg, skal hvert år have 15 timers brancherelevant efteruddannelse inden for et eller fle- re af de fagområder, som virksomheden er certificeret inden for.
70.60 Ansatte i ADK-virksomheden, der sælger, projekterer, installerer og servicerer ADK-anlæg, samt administrativt personale, der har adgang til følsomme kundedata og koder etc., skal kunne fremvise en straffeattest, der højst er et år gammel og er uden tilføjelser som begrunder nærliggende fare for misbrug af stillingen, jf. prin- cippet i Straffelovens § 78.
80 Virksomhedens eventuelle brug af underleverandører
80.10 Har den certificerede ADK-installatørvirksomhed tilknyttet underleverandører, der udfører salg, projektering, installation og service af ADK-anlæg, skal disse virk- somheder være selvstændigt certificerede i henhold til denne kravspecifikation.
80.20 Underleverandører, der udelukkende udfører kabling, er undtaget certificeringskra- vet Sådanne leverandører må ikke montere ADK-systemdele.
90 Ikrafttrædelse
90.10 Denne kravspecifikation kan med virkning fra 1. september 2017 anvendes ved certificering af ADK-installatørvirksomheder.
90.20 ADK-installatørvirksomheder, der allerede er certificeret og registret som ADK- virksomhed hos Forsikring & Pension efter tidligere kravspecifikation, kan uændret oppebære deres registrering hos Forsikring & Pension frem til førstkommende re- certificering.
Såfremt der er mindre end 12 måneder til førstkommende recertificering, har ADK- virksomheden mulighed for at blive certificeret efter den tidligere kravspecifikation og herved oppebære deres registrering til den dernæst efterfølgende recertificering
– maksimalt tre år. Først herefter skal ADK-virksomheden opfylde denne kravspeci- fikation.
100 Registrering hos Forsikring & Pension
100.10 ADK-installatørvirksomheder, der er certificeret i henhold til denne kravspecifikati- on, kan blive registreret hos Forsikring & Pension med henblik på offentliggørelse på xxxxxxxxx.xx
100.20 | Ansøgningen sker ved selvbetjening på xxx.xxxxxxxxx.xx. Under registreringspro- cessen skal der uploades en PDF-fil med en kopi af certificeringsorganets certifikat. |
100.30 | ADK-virksomheden er selv ansvarlig for løbende opdateringer af virksomhedsdata på xxxxxxxxx.xx |
100.40 | Registrering hos Forsikring & Pension er gratis for ADK-virksomheden. |