Unik System Design A/ S
Unik System Design A/ S
CVR-nr. 17 51 26 92
Uafhængig revisors ISAE 3000-
erklæring om kontrolforanstaltninger i henhold t il standarddatabehandleraftale for perioden 1 . december 2021 t il 30.
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
november 2022
Indhold
1 Ledelsens udtalelse 2
2 Uafhængig revisors erklæring 4
3 Systembeskrivelse 7
4 Tests udført af EY 11
4.1 Formål og omfang 11
4.2 Udførte tests 11
4.3 Resultater af test. 12
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
5 Ledelseskommentarer til afvigelser i ISAE 3000 -erklæring pr. 30 november 2022 21
EY Godkendt Revisionspartnerselskab - Dirch Passers Allé 36 - Postboks 250 - 2000 Frederiksberg - CVR-nr. 30 70 02 28
Unik_System_Design_ISAE 3000_Type2_DBA_2022_FINAL.docx
1 Ledelsens udtalelse
Unik System Design A/ S (Unik) behandler personoplysninger på vegne af Uniks kunder i henhold til stan- darddatabehandleraftale.
Medfølgende beskrivelse er udarbejdet til brug for dataansvarlige, der har anvendt Unik Advosys og/ el- ler Unik Bolig, og som har en t ilstrækkelig forståelse t il at vurdere beskrivelsen sammen med anden in- formation, herunder information om kontroller, som underleverandører og Uniks kunder selv har udført ved vurdering af, om kravene i EU's forordning om ” Beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af sådanne oplysninger” (herefter ” databeskyttel- sesforordningen” ) er overholdt.
Unik anvender Sentia, som varetager driften af den underliggende infrastruktur t il Unik Hosting. Beskri- velsen i sektion 3 medtager kun kontrolmål og kontrolaktiviteter hos Unik og medtager således ikke kon- t rolmål og underliggende kontrolaktiviteter hos Sentia. Beskrivelsen angiver også, at visse kontrolmål, der er specificeret i beskrivelsen, kun kan nås, hvis underleverandørers kontroller, der forudsættes i de- signet af vores kontroller, er passende designet og er operationelt effektive. Beskrivelsen omfatter ikke kontrolaktiviteter udført af underleverandører.
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
Beskrivelsen angiver, at visse kontrolmål, der er specificeret i beskrivelsen, kun kan opnås, hvis komple- menterende kontroller hos Uniks kunder, der forudsættes i designet af Uniks kontroller, er passende de- signet og operationelt effektive sammen med relaterede kontroller hos Unik. Beskrivelsen omfatter ikke kontrolaktiviteter udført af Uniks kunder.
Unik bekræfter, at:
a) Den medfølgende beskrivelse i sektion 3 giver en retvisende beskrivelse af Unik Advosys og Unik Bolig, der har behandlet personoplysninger for Uniks kunder i hele perioden fra 1. december 2021
t il 30. november 2022. Kriterierne anvendt for at give denne udtalelse var, at den medfølgende be- skrivelse:
(I) Redegør for, hvordan aktiviteter og kontroller var udformet og implementeret, herunder rede- gør for:
i. De typer af ydelser, der er leveret, herunder typen af behandlede personoplysninger.
ii. De processer i både it -systemer og manuelle systemer, der er anvendt til at igangsætte, registrere, behandle og om nødvendigt korrigere, slette og begrænse behandling af per- sonoplysninger.
iii. De processer, der er anvendt for at sikre, at den foretagne databehandling er sket i hen- hold til kontrakt, instruks eller aftale med den dataansvarlige.
iv. De processer, der sikrer, at de personer, der er autoriseret til at behandle personoplys- ninger, har forpligtet sig t il fortrolighed eller er underlagt en passende lovbestemt tavs- hedspligt.
v. De processer, der ved ophør af databehandling sikrer, at der efter den dataansvarliges valg sker sletning eller tilbagelevering af alle personoplysninger t il den dataansvarlige, medmindre lov eller regulering foreskriver opbevaring af personoplysningerne.
vi. De processer, der i t ilfælde af brud på persondatasikkerheden understøtter, at den data- ansvarlige kan foretage anmeldelse t il tilsynsmyndigheden samt underrettelse t il de regi- strerede.
vii. De processer, der sikrer passende tekniske og organisatoriske sikringsforanstaltninger
for behandlingen af personoplysninger under hensyntagen til de risici, som behandlingen udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret vide- regivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
viii. Ydelser udført af underleverandører, hvis relevant, herunder om de er medtaget efter helhedsmetoden eller udeladt efter partielmetoden.
ix. Kontroller, som vi med henvisning til Unik Advosys’ og Unik Boligs afgrænsning har forud- sat ville være implementeret af de dataansvarlige, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen.
x. Andre aspekter ved vores kontrolmiljø, r isikovurderingsproces, informationssystem (her- under de tilknyttede forretningsgange) og kommunikation, kontrolaktiviteter og overvåg- ningskontroller, som har været relevante for behandlingen af personoplysninger.
(II) Indeholder relevante oplysninger om ændringer til databehandlerens Unik Advosys og Unik Bo- lig t il behandling af personoplysninger foretaget i perioden fra 1.december 2021 til 30. novem- ber 2022.
(III) Ikke udelader eller forvansker oplysninger, der er relevante for omfanget af den beskrevne be- handling af personoplysninger under hensyntagen t il, at beskrivelsen er udarbejdet for at op-
fylde de almindelige behov hos en bred kreds af dataansvarlige og derfor ikke kan omfatte et- hvert aspekt ved behandlingen af personoplysninger, som den enkelte dataansvarlige måtte anse for vigtigt efter deres særlige forhold.
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
b) De kontroller, der knytter sig t il de kontrolmål, der er anført i medfølgende beskrivelse, var hen- sigtsmæssigt designet og operationelt effektive i hele perioden fra 1.december 2021 til 30. novem- ber 2022, hvis relevante kontroller hos underleverandører var operationelt effektive, og hvis kun- der har udført de komplementerende kontroller, som forudsættes i designet af Uniks kontroller i hele perioden fra 1. december 2021 t il 30. november 2022. Kriterierne anvendt for at give denne udtalelse var, at:
(I) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificerede.
(II) de identificerede kontroller ville, hvis udført som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål.
(III) Kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra 1. december 2021 t il
30. november 2022.
c) Der er etableret og opretholdt passende tekniske og organisatoriske foranstaltninger med henblik på at opfylde aftalerne med de dataansvarlige, god databehandlerskik og relevante krav til databe- handlere i henhold t il databeskyttelsesforordningen.
Vejle, den 1. februar 2023 Unik System Design A/ S
Xxxx Xxxx Xxx. direktør
2 Uafhængig revisors erklæring
Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og tekniske foran- staltninger i henhold til databehandleraftale med Unik System Design A/ S’ kunder.
Til: Unik System Design A/ S og Unik System Design A/ S’ kunder
Omfang
Vi har fået som opgave at afgive erklæring om Unik System Design A/ S’s (” Unik” ) beskrivelse i afsnit 3 af kontrolforanstaltninger i henhold til Uniks standarddatabehandleraftale i hele perioden fra 1. decem- ber 2021 til 30. november 2022 (beskrivelsen) og om designet og operationel effektivitet af kontroller, der knytter sig t il de kontrolmål, som er anført i beskrivelsen.
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
Beskrivelsen angiver, at visse kontrolmål, der er specificeret i beskrivelsen, kun kan opnås, hvis komple- menterende kontroller hos de dataansvarlige, der forudsættes i designet af Uniks kontroller, er pas- sende designet og er operationelt effektive sammen med relaterede kontroller hos Unik. Vores handlin- ger har ikke omfattet kontrolaktiviteter udført af de dataansvarlige, og vi har ikke vurderet egnetheden af design eller den operationelle effektivitet af kontrolaktiviteter hos de dataansvarlige.
Unik anvender Sentia, som varetager driften af den underliggende infrastruktur t il Unik Hosting. Beskri- velsen i afsnit 3 medtager kun kontrolmål og relaterede kontroller hos Unik og medtager således ikke kontrolmål og relaterede kontroller hos Sentia. Beskrivelsen angiver også, at visse kontrolmål, der er specificeret i beskrivelsen, kun kan nås, hvis underleverandørels kontroller, der forudsættes i designet af Uniks kontroller, er passende designet og operationel effektive sammen med de relaterede kontroller hos Unik. Vores handlinger har ikke omfattet kontrolaktiviteter udført af Sentia, og vi har ikke vurderet egnetheden af design eller den operationelle effektivitet af kontrolaktiviteter hos underleverandører.
Oplysningerne medtaget i afsnit 5, Ledelseskommentarer til afvigelser i ISAE 3000-erklæring for perio- den fra 1. december 2021 t il 30. november 2022, er præsenteret af ledelsen i Unik med henblik på at give supplerende oplysninger og er ikke omfattet af Uniks beskrivelse. Information om Uniks kommenta- rer t il afvigelser i ISAE 3000-erklæringen har ikke været omfattet af vores handlinger om Uniks beskri- velse, og vi har ikke vurderet egnetheden af design eller den operationelle effektivitet af kontrolaktivite- ter og udtrykker derfor ingen konklusion herom.
Uniks ansvar
Unik er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udtalelse i afsnit 3, herunder fuldstæn- digheden, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelsen er præsenteret; for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene, identifikation af de risici, der påvirker opnåelsen af kontrolmålene; udvælgelsen af de kriterier, der er præsenteret i ledelsens udtalelse, samt for at designe, implementere og effektivt udføre kontroller for at opnå de anførte kontrolmål.
Revisors uafhængighed og kvalitetsstyring
Vi har overholdt kravene til uafhængighed og andre etiske krav i International Ethics Standards Board for Accountants' internationale retningslinjer for revisorers etiske adfærd (IESBA Code), der bygger på de grundlæggende principper om integritet, objektivitet, professionel kompetence og fornøden omhu, fortrolighed og professionel adfærd, samt etiske krav gældende i Danmark.
EY Godkendt Revisionspartnerselskab er underlagt international standard om kvalitetsstyring, ISQC 1, og anvender således et omfattende kvalitetsstyringssystem, herunder dokumenterede politikker og pro- cedurer vedrørende overholdelse af etiske krav, faglige standarder og gældende krav i lov og øvrig regu- lering.
Vores ansvar
Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Uniks beskrivelse samt om designet og operationel effektivitet af kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse.
Vi har udført vores arbejde i overensstemmelse med ISAE 3000, Andre erklæringsopgaver med sikker- hed end revision eller review af historiske finansielle oplysninger og yderligere krav ifølge dansk revisor- lovgivning med henblik på at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseen- der er retvisende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt designet og ope- rationelt effektive.
En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen, designet og operationel
effektivitet af kontroller hos en databehandler omfatter udførelse af handlinger for at opnå bevis for op- lysningerne i databehandlerens beskrivelse samt for kontrollernes design og operationelle effektivitet. De valgte handlinger afhænger af revisors vurdering, herunder vurderingen af risiciene for, at beskrivel- sen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt designet eller ikke er operationelt ef- fektive. Vores handlinger har omfattet test af den operationelle effektivitet af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivel- sen, blev opnået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, egnetheden af de heri anførte mål samt egnetheden af de
kriterier, som databehandleren har specificeret og beskrevet i afsnit 1.
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
Det er vores opfattelse, at det opnåede bevis er t ilst rækkeligt og egnet til at danne grundlag for vores konklusion.
Begrænsninger i kontroller hos en dataansvarlig
Uniks beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af dataansvarlige og omfatter derfor ikke nødvendigvis alle de aspekter ved kontrolforanstaltninger, som hver enkelt data- ansvarlig måtte anse for vigtige efter deres særlige forhold. Endvidere vil kontroller hos en databehand- ler, som følge af deres art, muligvis ikke forhindre eller opdage alle brud på persondatasikkerheden.
Herudover er fremskrivningen af enhver vurdering af den operationelle effektivitet til fremtidige perio- der undergivet risikoen for, at kontroller hos en databehandler kan blive utilstrækkelige eller svigte.
Konklusion
Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De krite- rier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i ledelsens udta- lelse. Det er vores opfattelse,
a) at beskrivelsen af kontrolforanstaltninger, således som disse var designet og implementeret i hele perioden fra 1. december 2021 t il 30. november 2022, i alle væsentlige henseender er retvisende, og
b) at kontrollerne, som knytter sig t il de kontrolmål, der er anført i beskrivelsen, i alle væsentlige hen- seender var hensigtsmæssigt designet i hele perioden fra 1. december 2021 til 30. november
2022, hvis kontroller hos underleverandører var hensigtsmæssigt designet, og hvis dataansvarlige har designet og implementeret de komplementerende kontroller, der forudsættes i designet af Uniks kontroller i hele perioden fra 1. december 2021 til 30. november 2022, og
c) at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev opnået i alle væsentlige henseender, har været operatio- nelt effektive i hele perioden fra 1. december 2021 til 30. november 2022, hvis kontroller hos un- derleverandører var operationelt effektive, og hvis de komplementerende kontroller hos de dataan- svarlige, der forudsættes i designet af Uniks kontroller, har været operationelt effektive i hele peri- oden fra 1. december 2021 t il 30. november 2022.
Beskrivelse af test af kontroller
De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultater af disse tests fremgår af afsnit 4.
Tiltænkte brugere og formål
Denne erklæring og beskrivelsen af test af kontroller i afsnit 4 er udelukkende t iltænkt dataansvarlige, der har anvendt Unik Advosys og Unik Bolig, som har en t ilstrækkelig forståelse til at overveje den sam- men med anden information, herunder information om kontroller, som de dataansvarlige selv har ud-
ført, ved vurdering af, om kravene i databeskyttelsesforordningen er overholdt.
København, 1. februar 2023
EY Godkendt Revisionspartnerselskab
CVR-nr. 30 70 02 28
Xxxxxx Xxx Xxxxxxxx Xxxxxxx Xxxxxxxx-Valtersdorf
Partner statsaut. revisor
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
mne48476
3 Systembeskrivelse
Kontrollerne i denne rapport er baseret på kravene t il de tekniske og organisatoriske foranstaltninger nævnt i Uniks standarddatabehandleraftale med deres kunder. Udvælgelsen af kontroller er sket på ba- sis af en risikovurdering, hvor de mest relevante kontroller er udvalgt.
Databehandler behandler personoplysninger på vegne af den dataansvarlige med det formål at opfylde aftaler mellem den dataansvarlige og databehandleren om databehandlerens levering af og support på systemerne Unik Advosys og Unik Bolig med tilhørende infrastruktur. For nogle dataansvarlige vil der endvidere være en Unik Hostingaftale om driftsafvikling af disse systemer.
Unik behandler personoplysninger i forbindelse med udførelse af opgaver, der ligger inden for ram-
merne af de i Hovedaftalen beskrevne t jenesteydelser og leverancer. Formålet med databehandlingen er derfor overordnet set, at databehandleren kan forestå levering af de aftalte tjenesteydelser og leveran- cer samt varetage sine forpligtelser over for den dataansvarlige bedst muligt, herunder yde den bedst mulige drift, support og programservice.
Databehandling
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om behandlinger, der måtte opstå i relation t il drift, support eller service på Unik Bolig eller Unik Advo- sys med t ilhørende infrastruktur.
Databehandleren indestår alene for integriteten af systemerne Unik Advosys og Unik Bolig og kan ikke administrere eller i det daglige behandle personoplysningerne, der måtte indgå i den dataansvarliges system.
Behandlinger vil derfor primært opstå i de t ilfælde, hvor der på baggrund af en etableret aftale, arbejdes i kundens systemer gennem en onlineforbindelse i forbindelse med support eller service. Disse behand- linger kan bl.a. inkludere redigering, organisering, tilpasning eller ændring og søgning.
For kunder i Unik Hosting vil der derudover være behandlinger, der har karakter af opbevaring og drift for den dataansvarlige.
Dertil vil der være behandlinger, der inkluderer bl.a. opbevaring, redigering, organisering, t ilpasning el- ler ændring, sletning og søgning, når databehandleren under instruks fra den dataansvarlige behandler t ilsendte kopier af den dataansvarliges databaser eller udvalgte sager.
Personoplysninger
Typen af personoplysninger, der behandles:
► Almindelige personoplysninger, herunder navne- og adresseoplysninger, registreringsoplysninger, herunder CVR-numre (enkeltmandsvirksomhed), kommunikationsoplysninger (telefon, mobil, mail, fax osv.), kopi af legitimation (fx pas) til hvidvask, saldo- og betalingsoplysninger, herunder konto- oplysninger og opkrævningsoversigt, inkassooplysninger (herunder RKI-registrering), oplysninger vedrørende gældssanering, medlemstatus for ansøgere (ind- og udmeldelsesdato, husstandens
størrelse, ansøgertype, opnoteringer osv.), oplysninger om lejemål og bilejemål og lejemålshistorik, herunder diverse kommunikation med lejer.
► Fortrolige personoplysninger i form af personnumre (CPR-numre), jf. Databeskyttelsesloven.
Unik har ingen mulighed for at kontrollere eller regulere, hvad der skrives i fritekstfelter og t ilknyttede dokumenter – men Uniks systemer er ikke designet til at indeholde følsomme oplysninger.
Kategorier af registrerede personer omfattet af databehandleraftalen:
► For Unik Advosys:
- Kredsen af registrerede udgør fortrinsvist den Dataansvarliges ansatte, jobansøgere, prakti- kanter, klienter, sagsparter, sagsmodparter (tredjemand), vidner, kreditorer og debitorer, ar- vinger, leverandører og samarbejdspartnere.
► For Unik Bolig:
- Kredsen af registrerede udgør fortrinsvist den Dataansvarliges ansatte, jobansøgere, prakti- kanter, lejere, kreditorer og debitorer, leverandører og samarbejdspartnere.
Praktiske tiltag
Der er formuleret og implementeret passende tekniske og organisatoriske foranstaltninger til sikker be- handling af personoplysninger. Disse foranstaltninger er udarbejdet på baggrund af anerkendte bran- chestandarder og retningslinjer fra databeskyttelsesforordningen og tilsynsmyndigheden.
Foranstaltningerne er fastholdt i et dokumenthierarki, hvor de overordnede politikker for virksomheden er beskrevet i henholdsvis Informationssikkerhedspolitikken og Persondatapolitikken. Begge politikker er godkendt af ledelsen og er de overordnede, strategiske dokumenter for databehandlerens foranstaltnin- ger omkring og håndtering af persondata.
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
Disse politikker er forankret i virksomheden gennem en række områdespecifikke vejledninger og instruk- ser samt en mere generel håndbog, der alle udspringer af de overordnede politikker. Alle medarbejdere er bekendt med vejledningerne, instrukserne og håndbogen, der tillige altid er t ilgængelige til opslag, da de ligger på intranettet. Det er indholdet af disse dokumenter, både den formelle og den løbende aware- ness-træning, medarbejdere tager udgangspunkt i.
Der er udarbejdet en backup- og restore-strategi, som er forankret i Intern IT. Ledelsen og relevante medarbejdere er bekendt med indholdet af disse.
Risikovurdering
For hver behandlingsaktivitet, IT-system/ informationsaktiv og datamodtager, er der foretaget en vurde- ring af sandsynligheden for, at der sker tab af fortrolighed, integritet eller t ilgængelighed. I denne vur- dering er der taget udgangspunkt i kendte, potentielle trusler og i de foranstaltninger, der er implemen- teret for at beskytte oplysningernes fortrolighed, integritet og tilgængelighed. Der er t illige foretaget en vurdering af, hvad konsekvensen for de registrerede potentielt ville være ved tab af fortrolighed, inte- gritet eller tilgængelighed. Vurderingen er baseret på, om oplysningerne er almindelige, fortrolige eller
følsomme og de eventuelle indirekte konsekvenser med hensyn til typen af persondata.
Baseret på vurderingen af sandsynligheden og konsekvensen ved behandlingsaktiviteten er der udreg- net en risikorating. Disse vurderinger foretages af de ansvarlige for behandlingsaktiviteterne i samar- bejde med de GDPR-ansvarlige. På baggrund af vurderingerne vil der blive igangsat en konsekvensana- lyse og en handlingsplan, hvis det vurderes, at risikoen for den konkrete behandling ligger for højt.
Kontrolforanstaltninger
I det følgende refereres der til kontrolaktiviteterne med de referencenumre, som de er beskrevet ud for i kapitel 4.
Medarbejdere
Alle medarbejdere er underlagt passende tavshedspligt (Kontrolaktivitet A.1 ). Både i on-boarding-pro- cessen og gennem løbende awareness-træning bliver medarbejderne t rænet i behandlingen af person- data (Kontrolaktivitet A.2 og A.3).
Adgang til persondata gives, hvor der foreligger et aftalemæssigt grundlag herfor. Dernæst skal der være et arbejdsbetinget behov, som styres gennem rettighedstildeling baseret på organisatorisk place- ring. Det betyder segmentering mellem Unik Advosys’ og Unik Boligs kundesystemer, således at alene medarbejderne i den relevante afdeling kan t ilgå dem. Teknisk Afdeling har som udgangspunkt adgang t il alle kunders systemer (Kontrolaktivitet D.1 og D.4 ). Det betyder ligeledes segmentering mellem ud- viklings- og driftsmiljø (Kontrolaktivitet F.6).
Både ved t il- og fratrædelse opretter nærmeste leder en sag hos Intern IT, der opretter eller nedlægger brugeren. Minimum én gang årligt kontrolleres det, at alle adgange for alle fratrådte medarbejdere er nedlagt korrekt og rettidigt. Der foretages t illige kontrol af, om nuværende medarbejdere har de kor-
rekte adgangsrettigheder (Kontrolaktivitet D.2-D.3).
Alle medarbejdere anvender passwords, der følger vedtagen politik på området, og som er fastholdt in- ternt i en håndbog. Håndbogen foreskriver, at medarbejderes password er personlige og fortrolige og derfor ikke må udleveres t il andre. Ligeledes anbefales det at undgå at anvende samme password til pri- vate og arbejdsmæssige formål (Kontrolaktivitet C.1 - C.4).
Særlige adgange
I de tilfælde, hvor en kunde specifikt instruerer, at deres database skal behandles internt i Uniks syste- mer, følges en nedskreven proces (Kontrolaktivitet E.1). Processen sikrer, at persondata i databasen bliver anonymiseret, medmindre kunden udtrykkeligt instruerer Unik i noget andet. Databasen stilles herefter til rådighed for de medarbejdere, der er specielt udpeget til at skulle have adgang for at løse den specifikke opgave. Adgang til kunders databaser der behandles in-house hos Unik, kontrolleres halv- årligt (Kontrolaktivitet E.2 ).
Ingen normale brugerkonti har privilegerede rettigheder i systemerne. Der er oprettet særskilte bruger- konti med privilegerede rettigheder. Det kontrolleres årligt, at der kun findes privilegerede brugere til- gængelige for medarbejdere, der har et arbejdsbetinget behov for det (Kontrolaktivitet D.4).
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
Fysisk sikkerhed
Der er etableret passende fysisk sikkerhed, der sikrer, at ingen uvedkommende kan få adgang t il Uniks lokaliteter. Dette inkluderer lås på alle døre, hvor individuelle nøglebrikker styres fra et program, som kun få har adgang t il (Kontrolaktivitet B.3-B.4). Det inkluderer ligeledes passende alarmer (Kontrolaktivi- tet B.7).
For Uniks eget serverrum, der er placeret på 1. sal for at beskytte mod oversvømmelse, er der etableret yderligere lås, så kun medarbejdere med identificeret arbejdsbetinget behov har adgang (Kontrolaktivi- tet B.1, B.2 og B.5). Her er desuden etableret alarmering for indbrud samt forhøjet temperatur og fug- t ighed, som serviceres regelmæssigt (Kontrolaktivitet B.6 ).
Den fysiske sikkerhed inkluderer desuden, at fysiske, flytbare, databærende medier bortskaffes på for- svarlig vis (Kontrolaktivitet G.1 og G.2).
Unik Hosting driftsafvikles fra eksternt datacenter hos Sentia. Herfra modtages årligt en revisorerklæ- ring, der gennemgås for at sikre, at den fysiske sikkerhed på stedet lever op til Uniks eget niveau (Kon- t rolaktivitet I.1).
Teknisk sikkerhed
Der er opsat passende tekniske foranstaltninger for at beskytte mod udefrakommende angreb på både servere og klienter (Kontrolaktivitet F.1-F.4). Der er ligeledes opsat tekniske foranstaltninger, der, sam- men med almindelig medarbejder-awareness og kommunikation om Uniks retningslinjer for behandling af personoplysninger, skal forhindre medarbejdere i uautoriserede eller uforsætlige ændringer eller mis- brug af persondata eller virksomhedens øvrige aktiver (Kontrolaktivitet F.6 ).
Der er etableret formel patch management-procedurer for egne systemer og kundesystemer, som Unik driftsafvikler (Kontrolaktivitet F.2). Kundesystemer kan alene tilgås online gennem et værktøj, der tilsik- rer, at den enkelte medarbejder ikke får kendskab t il logon-credentials hos kunden. Al tilgang til kunde- systemer bliver desuden logget gennem værktøjet, og loggen monitoreres på anmodning (Kontrolaktivi- tet F.5).
Der foretages regelmæssig backup af både Uniks egne servere og også kundeservere i Hosting. Sidst- nævnte overvåger Unik gennem daglige rapporter fra Hosting-leverandør (Kontrolaktivitet I.2 og I.3).
Unik foretager løbende sårbarhedsscanninger af både det interne miljø og det outsourcede Hosting- miljø.
Hosting
Unik har defineret reglerne for firewallen i Hosting-miljøet, der alene omfatter Uniks kunder. Leverandø- ren administrerer denne firewall på vegne af Unik og sender løbende rapporter herom t il identificerede nøglepersoner.
Unik har egne servere, der er dedikeret til Uniks kunder, hos Hosting-leverandøren. De forskellige kunde- systemer er adskilt af VLAN-opdeling, og denne segmentering bliver periodisk testet af ekstern, uvildig part. Erklæringen omfatter ikke aktiviteter og kontroller hos serviceleverandører.
Unik får årligt t ilsendt revisionsrapport fra Hosting-leverandøren, der bliver gennemgået for at kontrol- lere, at leverandøren forsat lever op til kravene for sikkerhed som fastsat i databehandleraftalen (Kon- t rolaktivitet I.1).
Kryptering
Der er etableret tekniske foranstaltninger, der sikrer kryptering af mailkorrespondance efter Datatilsy- nets retningslinjer på området. Der anvendes bl.a. Vipre Secure Mail til kryptering af e-mails med TLS version 1.2 (Kontrolaktivitet H.1 -H.3).
De konkrete kontroller fremgår af nærværende erklærings afsnit 4.
Komplementerende kontroller hos de dataansvarlige
Foruden databehandlerens kontrolforanstaltninger er det den dataansvarliges ansvar at:
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
► sikre, at personoplysninger i systemerne holdes ajourførte.
► vurdere, hvilke personoplysninger systemet skal indeholde.
► sikre indholdet af fritekstfelterne ligger indenfor rammerne af databehandleraftalen.
► have identificeret et formål og en gyldig hjemmel for behandlingerne.
► sikre, at givne instrukser er lovlige set i forhold t il den t il enhver tid gældende persondataretlige lov- givning.
► sikre, at instruksen til databehandleren er hensigtsmæssig set i forhold t il databehandleraftalen og hovedydelsen.
► sikre, at der alene gives adgang til kundeløsningen, som supporthenvendelsen vedrører
► samt, at benytte den af Unik etablerede FTP-server, når de sender data til Unik.
Unik System Design A/ S Uafhængig revisors ISAE 3000 -erklæring om kontrolforanstaltninger i henhold t il
standarddatabehandleraftale for perioden 1 . december 2021
t il 30 . november 2022
4 Tests udført af EY
I dette afsnit beskrives de af Unik definerede kontrolmål og tilknyttede kontroller, som sikrer opnåelse af de enkelte kontrolmål. Herudover beskrives de af EY udførte faktiske tests af Uniks kontroller samt re- sultaterne af de udførte tests.
4.1 Formål og omfang
Vores arbejde blev gennemført i overensstemmelse med ISAE 3000, Andre erklæringsopgaver med sik- kerhed end revision eller review af historiske finansielle oplysninger.
Vores test af kontrollers udformning og implementering har omfattet de kontrolmål og tilknyttede kon- t roller, der er udvalgt af ledelsen, og som fremgår nedenfor. Eventuelle andre kontrolmål, tilknyttede kontroller og kontroller hos Uniks kunder, der anvender løsningen, beskrevet i afsnit 1, er ikke omfattet af vores test.
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
Vores test af implementering har omfattet de kontroller, som blev vurderet nødvendige for at kunne opnå høj grad af sikkerhed for, at de anførte kontrolmål blev nået i hele perioden fra 1. december 2021 til 30. november 2022.
4.2 Udførte tests
De udførte tests i forbindelse med fastlæggelsen af kontrollers udformning og implementering er be- skrevet nedenfor:
Inspektion | Gennemlæsning af dokumenter og rapporter, som indeholder angivelse omkring udførelse af kontrollen. Dette omfatter bl.a. gennemlæsning af og st illingtagen til rapporter og anden dokumentation for at vurdere, om specifikke kontroller er de- signet, så de kan forventes at blive effektive, hvis de implementeres. Endvidere vurderes det, om kontroller overvåges og kontrolleres t ilstrækkeligt og med pas- sende intervaller. |
Forespørgsler | Forespørgsel af passende personale hos Unik. Forespørgsler har omfattet spørgs- mål om, hvordan kontroller udføres. |
Observation | Vi har observeret kontrollens udførelse. |
4.3 Resultater af test.
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
I nedenstående oversigt opsummeres tests udført af EY som grundlag for at vurdere de udvalgte kontroller hos Unik.
Kontrolmål A Der efterleves procedurer og kontroller, der sikrer, at databehandleren har implementeret passende organisatoriske foranstaltninger til sikring af relevant behand- lingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultatet af revisors test |
A.1 | Alle medarbejdere underskriver en fortrolighedsaftale som et led i ansættelsen. Der foretages en årlig kontrol heraf. | Forespurgt til procedure i forbindelse med ansættelse af nye medarbejdere. Inspiceret stikprøvevist, at nyansatte medarbejdere har un- derskrevet en fortrolighedsaftale. Inspiceret dokumentation for den årlige kontrol af nyan- satte medarbejdere. | Ingen afvigelser konstateret. |
A.2 | Der gennemføres en eller flere awareness-kampagner i årets løb med emner, der relaterer sig til GDPR- og it -sikkerhed. | Inspiceret oversigt over awareness-kampagner, der er gen- nemført i løbet af året omfattende emner som GDPR og ge- nerel it -sikkerhed. Inspiceret oversigt over awareness-kampagner, der er gen- nemført af den enkelte medarbejder. | Ingen afvigelser konstateret. |
A.3 | Det kontrolleres, at alle medarbejdere i Vejle og Kø- benhavn gennemfører awareness-træning inden for den angivne tidsperiode. | Inspiceret eksempler på dokumentation for, at der er fore- taget opfølgning på medarbejdernes gennemførelse af awareness-træning vedrørende GDPR og generel it -sikker- hed. | Ingen afvigelser konstateret. |
Kontrolmål B Der efterleves procedurer og kontroller, der sikrer, at der er etableret passende fysisk sikkerhed på lokaliteter, hvor der behandles personoplysninger. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultatet af revisors test |
B.1 | Adgang til Uniks lokale datacenter er sikret ved nøg- lebrik eller systemnøgle til medarbejdere med ar- bejdsmæssigt behov. Der fortages halvårlig kontrol af medarbejdere med adgang t il Uniks lokale datacenter. | Observeret, at adgang t il Uniks lokale datacenter kun kan opnås ved anvendelse af nøglebrik eller systemnøgle. Inspiceret dokumentation for halvårlig kontrol af medarbej- dere med adgang til Uniks lokale datacenter. | Ingen afvigelser konstateret. |
B.2 | Tildeling af adgang til datacenter kan alene ske efter henvendelse til den administrerende direktør eller økonomichefen. | Forespurgt til procedure for tildeling af fysisk adgang til Uniks lokale datacenter. Inspiceret oversigt over brugere med adgang t il systemet, der anvendes t il kodning af nøglebrikker, med henblik på at konstatere, om adgang er begrænset t il den administre- rende direktør og økonomichefen. | Ingen afvigelser konstateret. |
B.3 | Fysisk adgang til selskabets domicil i Vejle er sikret ved nøglebrik samt systemnøgle. Uden for normal åbningstid skal der anvendes pin- kode sammen med nøglebrik. | Forespurgt, om fysisk adgang til selskabets domicil i Vejle, kræver anvendelse af pinkode sammen med nøglebrik uden for normal åbningstid. Observeret, at døren til Uniks domicil i Vejle er aflåst, og at adgang kun kan opnås ved anvendelse af nøglebrik. Inspiceret dokumentation for opsætning af UniLock vedrø- rende krav om anvendelse af pinkode. | Ingen afvigelser konstateret. |
B.4 | Fysisk systemnøgle kan alene rekvireres af direktio- nen eller økonomichefen. | Forespurgt til procedure for udlevering af systemnøgle. Inspiceret, at der foreligger en procedure for anvendelse af fysisk nøgle. | Ingen afvigelser konstateret. |
B.5 | Loggen over adgang t il datacenter gennemgås og kontrolleres halvårligt. | Inspiceret dokumentation for halvårlig kontrol af loggen over forsøg på at opnå adgang til Uniks lokale datacenter. Inspiceret loggen for succesfulde og mislykkedes forsøg på adgang t il Uniks lokale datacenter. | Ingen afvigelser konstateret. |
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
Kontrolmål B Der efterleves procedurer og kontroller, der sikrer, at der er etableret passende fysisk sikkerhed på lokaliteter, hvor der behandles personoplysninger. | |||
B.6 | Der er etableret alarm ved forhøjet temperatur samt ved fugt og oversvømmelse i datacentret. Der er desuden etableret aftale om eftersyn af nød- strømsanlæg (UPS) og køleanlæg i datacentret. | Forespurgt, om der foretages serviceeftersyn og test af alarmer ved forhøjet temperatur samt ved fugt og over- svømmelse i datacentret. Inspiceret aftale om etablering af serviceaftale omfattende UPS og køleanlæg. | Ingen afvigelser konstateret. |
B.7 | Der er etableret indbrudsalarm og aftale om, at der foretages serviceeftersyn heraf. | Inspiceret, at der er etableret indbrudsalarm. Forespurgt, om der foretages serviceeftersyn og test af indbrudsalarm. | Ingen afvigelser konstateret. |
Kontrolmål C Der efterleves procedurer og kontroller, der sikrer, at databehandleren har implementeret passende sikkerhed for tilgang t il databehandlerens systemer, herunder krav om kvalitetspasswords. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultatet af revisors test |
C.1 | ” Håndbog for IT og Persondata” foreskriver, at med- arbejdernes password er personlige og fortrolige. ” Håndbog for IT og Persondata” reviewes og ajourfø- res én gang årligt. | Inspiceret afsnit i ” Håndbog for IT og Persondata” vedrø- rende beskyttelse af brugernes password. Inspiceret dokumentation for, at ” Håndbog for IT og Per- sondata” er reviewet og ajourført i 2022. | Ingen afvigelser konstateret. |
C.2 | Unik har fastsat kvalitetskrav til password og imple- menteret disse i Active Directory på det interne net- værk samt i Microsoft Azure. | Inspiceret passwordindstillinger i Active Directory på det in- terne netværk samt i Microsoft Azure. | Ingen afvigelser konstateret. |
C.3 | Adgang til systemer og databaser, hvori der sker be- handling af personoplysninger fra et eksternt net- værk, er omfattet af to-faktor autentifikation. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at to-faktor autentifikation anvendes ved behandling af personoplysninger, der tilgås fra et eksternt netværk. | En gruppe af medarbejdere har i erklæ- ringsperioden fra 1. december 2021 til 30. november 2022 haft adgang til Uniks interne netværk uden brug af MFA. Ingen yderligere afvigelser konstateret. |
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
Kontrolmål C Der efterleves procedurer og kontroller, der sikrer, at databehandleren har implementeret passende sikkerhed for tilgang t il databehandlerens systemer, herunder krav om kvalitetspasswords. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultatet af revisors test |
C.4 | Password til system- og servicekonti opbevares i et system, hvortil adgang er begrænset t il udvalgte medarbejdere med et arbejdsmæssigt behov. | Forespurgt til procedure for tildeling af adgang af password t il system- og servicekonti. Inspiceret oversigt over personer med adgang t il password t il system- og service-konti. | Ingen afvigelser konstateret. |
Kontrolmål D Der efterleves procedurer og kontroller, der sikrer, at databehandlerens medarbejdere alene har adgang t il systemer, herunder systemer med kundedata, i det om- fang, der er arbejdsbetinget behov herfor. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultatet af revisors test |
D.1 | ” Informationssikkerhedspolitikken” foreskriver, at ad- gangsrettigheder skal begrænses t il den enkelte med- arbejders henholdsvis den eksterne konsulents ar- bejdsmæssige behov. ” Informationssikkerhedspolitikken” reviewes og ajour- føres én gang årligt. | Inspiceret ” Informationssikkerhedspolitikken” vedrørende t ildeling af adgangsrettigheder til medarbejdere og eks- terne konsulenter. Inspiceret dokumentation for, at ” Informationssikkerheds- politikken” er reviewet og ajourført i 2022. | Ingen afvigelser konstateret. |
D.2 | Brugernes placering i organisatoriske grupper i Ac- t ive Directory revurderes regelmæssigt t il sikring af, at de tildelte adgangsrettigheder er arbejdsbetinget. | Forespurgt, om der foretages regelmæssig vurdering og godkendelse af brugernes placering i organisatoriske grup- per i Active Directory. Inspiceret seneste revurdering af brugernes placering i or- ganisatoriske grupper. | For 2 medarbejdere – ud af i alt 240 medarbejdere – har kontrollen ikke om- fattet brugeradgange, der er tildelt uden om de organisatoriske grupper i Active Directory. Ingen yderligere afvigelser konstateret. |
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
Kontrolmål D Der efterleves procedurer og kontroller, der sikrer, at databehandlerens medarbejdere alene har adgang t il systemer, herunder systemer med kundedata, i det om- fang, der er arbejdsbetinget behov herfor. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultatet af revisors test |
D.3 | Der er etableret en formel procedure for oprettelse og nedlæggelse af brugere, der indebærer, at opret- telse og nedlæggelse af brugere skal godkendes. Tildeling og vedligeholdelse af rettigheder sker via en manuel proces på grundlag af en service request. Det er kontrolleret, at nedlæggelse af brugere sker på grundlag af en service request. | Inspiceret, at der foreligger procedurer for oprettelse og nedlæggelse af brugere og afbrydelse af brugernes adgang t il systemer og databaser, som anvendes til behandling af personoplysninger. Inspiceret, at der foreligger en formel godkendelse inden oprettelser og nedlæggelser af brugere. Stikprøvevist inspiceret dokumentation for kontrol af ned- læggelse af brugere. Stikprøvevist inspiceret, at oprettelse af brugere er foreta- get via den fastlagte procedure. | Ingen afvigelser konstateret. |
D.4 | Der foretages en årlig kontrol af, at privilegerede ret- t igheder er begrænset til medarbejdere i it -afdelingen samt t il eksterne konsulenter med arbejdsmæssigt behov. | Xxxxxxxxxxxxx inspiceret tildelte privilegerede rettigheder. Inspiceret dokumentation for årlig kontrol af brugere med privilegerede adgangsrettigheder. | Ingen afvigelser konstateret. |
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
Kontrolmål E Der efterleves procedurer og kontrollerer, der sikrer hensigtsmæssig og arbejdsbetinget brug af in-house kundedata, efter konkret aftale med den pågældende data- ansvarlige. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultatet af revisors test |
E.1 | Der foreligger skriftlig politik og procedurer, som in- deholder retningslinjer om, at der alene må foretages behandling af personoplysninger, når der foreligger en instruks. Der foretages kvartalsvis kontrol af, at behandling af kundedata alene sker efter instruks fra dataejer. | Stikprøvevist inspiceret dokumentation for kontrol af, at kundedata alene sker efter instruks fra dataejer. Inspiceret kvartalsvis kontrol af aftalegrundlag for kunde- databaser. | Ingen afvigelser konstateret. |
E.2 | Der foretages halvårlig kontrol af, at adgang t il in- house kundedatabaser alene er tildelt medarbejdere med et arbejdsbetinget behov. | Stikprøvevist inspiceret dokumentation for kontrol af med- arbejdere med adgang til in-house kundedatabaser. | Ingen afvigelser konstateret. |
Kontrolmål F Der efterleves procedurer og kontrollerer, som sikrer, at databehandleren har implementeret passende tekniske foranstaltninger til sikring af relevant behandlingssik- kerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultatet af revisors test |
F.1 | Der foretages kvartårlig kontrol af, at der er installe- ret antivirus på servere i det hostede miljø. | Stikprøvevist inspiceret dokumentation for kvartårlig kon- t rol af antivirus på servere i det hostede miljø | Ingen afvigelser konstateret. |
F.2 | Patches til systemer og databaser følger fastlagte procedurer, som sikrer vedligeholdelse med relevante opdateringer, herunder sikkerhedspatches. Der foretages halvårlig kontrol af patchning af ser- vere i det hostede miljø. | Stikprøvevist inspiceret dokumentation for halvårlig kontrol af patchning af servere i det hostede miljø | Der foreligger ikke dokumentation for, at der er foretaget opfølgning på kon- staterede afvigelser i forhold til kontrol af patchning af servere i det hostede miljø. Ingen yderligere afvigelser konstateret. |
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
Kontrolmål F Der efterleves procedurer og kontrollerer, som sikrer, at databehandleren har implementeret passende tekniske foranstaltninger til sikring af relevant behandlingssik- kerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultatet af revisors test |
F.3 | Det interne netværk hos Unik er sikret med en firewall, hvori der kun er åbnet for godkendte porte. Der foretages årlig kontrol af de åbne porte i firewal- len. | Forespurgt til procedure for administration og ændring af firewallen. Forespurgt, om der er foretaget kontrol af åbne porte i firewallen i løbet af erklæringsperioden. | Der foreligger ikke skriftlig dokumenta- t ion for den årlige kontrol af åbne porte i firewallen, der er foretaget i erklæ- ringsperioden. Ingen yderligere afvigelser konstateret. |
F.4 | Der foretages ugentlige sårbarhedsscanninger af ho- st ing-miljøet samt af Uniks interne netværk. | Inspiceret på stikprøvebasis rapporter vedrørende sårbar- hedsscanninger af hosting-miljøet og Uniks interne net- værk. | Ingen afvigelser konstateret. |
F.5 | Der er opsat logning af al tilgang til kundesystemer, der ligger i kundens eget miljø eller i Unik hosting- miljø, som sker via RDM. | Forespurgt til opsætning af logning af brugeraktiviteter i systemer og databaser, der anvendes t il behandling af per- sonoplysninger, herunder gennemgang og opfølgning på logs. Inspiceret opsætning af logning i RDM. | Ingen afvigelser konstateret. |
F.6 | Der er etableret funktionsadskillelse mellem udvik- lings- og driftsmiljø. Dette er implementeret i en change management-procedure for udvikling samt begrænsning i adgangen til at foretage deployment. | Forespurgt til procedure for test, godkendelse og deploy- ment af ændringer t il Advosys og Unik Bolig. Stikprøvevist inspiceret, at der er etableret funktionsadskil- lelse i change management-proceduren. | Ingen afvigelser konstateret. |
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
Kontrolmål G Der efterleves procedurer og kontrollerer, der sikrer forsvarlig håndtering og afskaffelse af flytbare medier. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultatet af revisors test |
G.1 | Der er kontrol, der sikrer, at flytbare medier bortskaf- fes på forsvarlig vis, når der ikke længere er behov for dem. | Forespurgt, om der er etableret en procedure for bortskaf- felse af flytbare medier. | Ingen afvigelser konstateret. |
G.2 | Det kontrolleres, at databærende medier bliver slet- tet og destrueret efter aftale. | Inspiceret eksempel på dokumentation for kontrol af, at data på flytbare medier er fjernet i henhold til proceduren. | Ingen afvigelser konstateret. |
Kontrolmål H Der efterleves procedurer og kontroller, der sikrer, at der er implementeret passende kryptering, hvor det er en del af aftalen. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultatet af revisors test |
H.1 | E-mails, der afsendes fra Unik t il de dataansvarlige via Vipre, krypteres altid med TLS version 1.2. | Inspiceret dokumentation for opsætning af kryptering. | Ingen afvigelser konstateret. |
H.2 | Adgang til at vedligeholde opsætningen hos Vipre er begrænset til medarbejdere med et arbejdsmæssigt behov. | Inspiceret, at adgang t il Vipre er tildelt ud fra et arbejds- mæssigt behov. | Ingen afvigelser konstateret. |
H.3 | Der anvendes secure FTP-server, når den dataansvar- lige overfører kundedatabaser t il Unik. | Inspiceret, at der anvendes secure FTP-server ved overfør- sel af kundedata. | Unik har oplyst, at det er kundernes an- svar at benytte den af Unik etablerede FTP-server, når kunderne sender data t il Unik. Ingen afvigelser konstateret. |
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
Kontrolmål I Der efterleves procedurer og kontrollerer, der sikrer, at databehandleren har implementeret passende sikkerhedsforanstaltninger for kundedata i det outsourcede hosting-miljø. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultatet af revisors test |
I.1 | Én gang årligt gennemgås revisorerklæringer fra Sen- t ia vedrørende generelle it -kontroller (ISAE 3402) samt overholdelse af GDPR (ISAE 3000). Én gang årligt gennemgås revisorerklæringer eller lig- nende fra øvrige kritiske underleverandører. | Inspiceret dokumentation for, at der er gennemgang af de seneste revisorerklæringer fra Sentia vedrørende generelle it -kontroller (ISAE 3402) samt overholdelse af GDPR (ISAE 3000) samt af revisorerklæringer fra Vipre. | Ingen afvigelser konstateret. |
I.2 | Der tages daglig sikkerhedskopiering af al væsentligt data i henhold til de indgåede kundeaftaler og interne retningslinjer. Der foretages daglig kontrol af, at backup er udført som planlagt. | Inspiceret proceduren for daglig kontrol af backup af syste- mer og data. Stikprøvevist inspiceret dokumentation for, at der er gen- nemført daglig opfølgning på fejlede backupjobs. | Ingen afvigelser konstateret. |
I.3 | Reetablering af backup testes halvårligt eller efter særlig aftale med kunden. | Inspiceret dokumentation for, at der er gennemført rest- ore-test af backup. | Ingen afvigelser konstateret. |
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
5 Ledelseskommentarer til afvigelser i ISAE 3000-erklæring i hele perioden 1. december 2021 til 30. november 2022
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
Informationen indeholdt i dette afsnit 5 er udarbejdet af Unik System Design A/ S for at give yderligere information t il Uniks kunder, der anvender løsningerne. Af- snittet er ikke at betragte som en del af systembeskrivelsen i afsnit 3. Oplysningerne i afsnit 5 er ikke omfattet af XX’x handlinger, der udføres for at vurdere, om systembeskrivelsen er retvisende, om kontroller, der understøtter de kontrolmål, der er præsenteret i afsnit 4, har været passende udformet og implementeret i hele perioden fra 1. december 2021 t il 30. november 2022. Således omfatter XX’x konklusion ikke oplysningerne i afsnit 5.
Kontrolref. | Kontroltekst | Resultat af test | Ledelsens svar |
C.3 | Adgang til systemer og databaser, hvori der sker behandling af personoplysninger fra et eksternt netværk, er omfattet af to-faktor au- tentifikation. | En gruppe medarbejdere har i erklæringsperioden fra 1. de- cember 2021 til 30. november 2022 haft adgang til Uniks interne netværk uden brug af MFA. Ingen yderligere afvigelser konstateret. | Enkelte medarbejdere har i den anførte periode haft adgang til Uniks interne netværk uden adgang t il kundedata. Fra 8/ 12 -2022 har alle medarbejdere væ- ret underlagt krav om MFA. |
D.2 | Brugernes placering i organisatoriske grupper i Active Directory revurderes regelmæssigt t il sikring af, t ildelte adgangsrettigheder. | For 2 medarbejdere – ud af i alt 240 medarbejdere – har kontrollen ikke omfattet brugeradgange, der er t ildelt uden om de organisatoriske grupper i Active Directory. Ingen yderligere afvigelser konstateret. | Enkelte medarbejdere, som i perioden har skiftet afdelinger i Unik, har haft en individuel adgang med henblik på at af- slutte opgaver for den afdeling, hvor medarbejderen tidligere var ansat. |
F.2 | Patches til systemer og databaser følger fast- lagte procedurer, som sikrer vedligeholdelse med relevante opdateringer, herunder sikker- hedspatches. Der foretages halvårlig kontrol af patchning af servere i det hostede miljø. | Der foreligger ikke dokumentation for, at der er foretaget opfølgning på konstaterede afvigelser i forhold til kontrol af patchning af servere i det hostede miljø. Ingen yderligere afvigelser konstateret. | Af hensyn til minimering af risiko ved udrulning af patches sker dette i tre tempi, således at kun en andel af ser- verne i det hostede miljø vil få udrullet patches, når de frigives. Andre servere får patches udrullet med en og to måne- ders udsættelse. Vi vil t ilpasse kontrollen, så den også tager højde for det forhold. |
F.3 | Det interne netværk hos Unik er sikret med en firewall, hvori der kun er åbnet for god- kendte porte. Der foretages årlig kontrol af de åbne porte i firewall’en. | Der foreligger ikke skriftlig dokumentation for den årlige kontrol af åbne porte i firewallen, der er foretaget i erklæ- ringsperioden. Ingen yderligere afvigelser konstateret. | Uniks it -medarbejdere, der har adgang t il at håndtere portene, gør brug af best practice i forbindelse med håndtering af forespørgsler om portåbninger. I even- tuelle tvivlstilfælde vil forespørgslen blive eskaleret til ledelsen i it -afdelin- gen. |
Underskrifterne i dette dokument er juridisk bindende. Dokumentet er underskrevet via Penneo™ sikker digital underskrift.
Underskrivernes identiteter er blevet registereret, og informationerne er listet herunder.
Penneo dokumentnøgle: DGVXB-01B73-UVISV-IKJPE-2AAEG-4XLWT
“Med min underskrift bekræfter jeg indholdet og alle datoer i dette dokument.”
Xxxx Xxxxxx Find Adm. direktør På vegne af: Unik System Design A/S Serienummer: d91ee1b4-c5d4-4873-ac07-b3d53dcce46e IP: 000.000.xxx.xxx 2023-02-02 15:41:29 UTC | Xxxxxxx Xxxx Xxxxxxx Xxxxxxxx-Valtersdorf Statsautoriseret revisor På vegne af: EY Godkendt Revisionspartnerselskab Serienummer: 8af9acce-b73e-4a45-b435-2f7d1272dfaa IP: 00.00.xxx.xxx 2023-02-02 16:37:50 UTC |
Xxxxxx Xxx Xxxxxxxx Partner På vegne af: EY Godkendt Revisionspartnerselskab Serienummer: c706566b-5a2d-44b8-8f41-5133e988cd9f IP: 000.000.xxx.xxx 2023-02-02 22:11:05 UTC |
Dette dokument er underskrevet digitalt via Xxxxxx.xxx. Signeringsbeviserne i dokumentet er sikret og valideret ved anvendelse af den matematiske hashværdi af det originale dokument. Dokumentet er låst for ændringer og tidsstemplet med et certifikat fra en betroet tredjepart. Alle kryptografiske signeringsbeviser er indlejret i denne PDF, i tilfælde af de skal anvendes til validering i fremtiden.
Sådan kan du sikre, at dokumentet er originalt
Dette dokument er beskyttet med et Adobe CDS certifikat. Når du åbner dokumentet
i Adobe Reader, kan du se, at dokumentet er certificeret af Penneo e-signature ser- vice <xxxxxx@xxxxxx.xxx>. Dette er din garanti for, at indholdet af dokumentet er uændret.
Du har mulighed for at efterprøve de kryptografiske s igneringsbeviser i ndle- jret i dokumentet ved at anvende Penneos validator på følgende websted: xxxxx://xxxxxx.xxx/xxxxxxxxx