Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og for- anstaltninger i henhold til databehandleraftale med Bellcom Hosting ApS´ kunder Bellcom Hosting ApS (Dataansvarlig)
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Bellcom Hosting ApS
Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og for- anstaltninger i henhold til databehandleraftale med Bellcom Hosting ApS´ kunder Bellcom Hosting ApS (Dataansvarlig)
For perioden 23.12.2020 – 22.12.2021
1
Ledelsens udtalelse 3
Uafhængig revisors erklæring 5
Bellcom Hosting ApS' beskrivelse af OS2vaglhalla / OS2dagsorden / OS2forms 8
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Kontrolmål, kontrolaktivitet, test og resultat heraf 18
Bellcom Hosting ApS behandler personoplysninger på vegne af Bellcom Hosting ApS´ kunder (Dataansvarlige) i henhold til databehandleraftale med OS2valghalla / OS2dagsorden / OS2forms.
Medfølgende beskrivelse er udarbejdet til brug for Bellcom Hosting ApS´ kunder (Dataansvarlige), der har an- vendt OS2valghalla / OS2dagsorden / OS2forms, og som har en tilstrækkelig forståelse til at vurdere beskrivel- sen sammen med anden information, herunder information om kontroller, som de dataansvarlige selv har ud- ført ved vurdering af, om kravene i EU's forordning om ”Beskyttelse af fysiske personer i forbindelse med be- handling af personoplysninger og om fri udveksling af sådanne oplysninger” (herefter ”databeskyttelsesforord- ningen”) er overholdt. Bellcom Hosting ApS bekræfter, at:
a) Den medfølgende beskrivelse, side 8-17, giver en retvisende beskrivelse af OS2valghalla / OS2dagsor- den / OS2forms, der har behandlet personoplysninger for dataansvarlige omfattet af databeskyttel- sesforordningen i hele perioden fra 23. december 2020 - 22. december 2021. Kriterierne anvendt for at give denne udtalelse var, at den medfølgende beskrivelse:
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
(i) Redegør for, hvordan OS2valghalla / OS2dagsorden / OS2forms var udformet og implemente- ret, herunder redegør for:
• De typer af ydelser, der er leveret, herunder typen af behandlede personoplysnin- ger
• De processer i både it- og manuelle systemer, der er anvendt til at igangsætte, regi- strere, behandle og om nødvendigt korrigere, slette og begrænse behandling af per- sonoplysninger
• De processer, der er anvendt for at sikre, at den foretagne databehandling er sket i henhold til kontrakt, instruks eller aftale med den dataansvarlige
• De processer, der sikrer, at de personer, der er autoriseret til at behandle personop- lysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbe- stemt tavshedspligt
• De processer, der ved ophør af databehandling sikrer, at der efter den dataansvarli- ges valg sker sletning eller tilbagelevering af alle personoplysninger til den dataan- svarlige, medmindre lov eller regulering foreskriver opbevaring af personoplysnin- gerne
• De processer, der i tilfælde af brud på persondatasikkerheden understøtter, at den dataansvarlige kan foretage anmeldelse til tilsynsmyndigheden samt underrettelse til de registrerede
• De processer, der sikrer passende tekniske og organisatoriske sikringsforanstaltnin- ger for behandlingen af personoplysninger under hensyntagen til de risici, som be- handling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uau- toriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet
• Kontroller, som vi med henvisning til OS2valghalla / OS2dagsorden / OS2forms’s af- grænsning har forudsat ville være implementeret af de dataansvarlige, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identifice- ret i beskrivelsen
• Andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem (herunder de tilknyttede forretningsgange) og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen af personoplys- ninger
(ii) Indeholder relevante oplysninger om ændringer ved databehandlerens OS2valghalla / OS2dagsorden / OS2forms til behandling af personoplysninger foretaget i perioden fra 23. december 2020 - 22. december 2021
(iii) Ikke udelader eller forvansker oplysninger, der er relevante for omfanget af den beskrevne OS2valghalla / OS2dagsorden / OS2forms til behandling af personoplysninger under hensyn- tagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af dataansvarlige og derfor ikke kan omfatte ethvert aspekt ved OS2valghalla / OS2dagsor- den / OS2forms, som den enkelte dataansvarlige måtte anse vigtigt efter deres særlige for- hold.
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
b) De kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigts- mæssigt udformet og fungerede effektivt i hele perioden fra 23. december 2020 - 22. december 2021. Kriterierne anvendt for at give denne udtalelse var, at:
(i) De risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret
(ii) De identificerede kontroller ville, hvis udført som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål, og
(iii) Kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev ud- ført af personer med passende kompetence og beføjelse i hele perioden fra 23. december 2020 - 22. december 2021.
c) Der er etableret og opretholdt passende tekniske og organisatoriske foranstaltninger med henblik på at opfylde aftalerne med de dataansvarlige, god databehandlerskik og relevante krav til databehand- lere i henhold til databeskyttelsesforordningen.
Kolding d. 22. december 2021
Bellcom Hosting ApS Xxxxxxxx 00 – 0
6000 Kolding
Xxxx Xxxxxxx Xxxxxxxx Xxxxx Xxxx
Partner Direktør og partner
Uafhængig revisors erklæring
Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og foranstaltninger i hen- hold til databehandleraftale med Bellcom Hosting ApS´ kunder (Dataansvarlig).
Til: Bellcom Hosting ApS og Bellcom Hosting ApS´ kunder (Dataansvarlig)
Omfang
Vi har fået som opgave at afgive erklæring om Bellcom Hosting ApS’s beskrivelse på side 8-17 af [identifikation af behandling OS2valghalla / OS2dagsorden / OS2forms i henhold til databehandleraftale med Bellcom Hosting ApS´ kunder (Dataansvarlig), i hele perioden fra 23. december 2020 - 22. december 2021 (beskrivelsen) og om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen.
Bellcom Hosting ApS’s ansvar
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Bellcom Hosting ApS er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udtalelse på side 8-17, herun- der fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelsen er præsenteret; for leve- ringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene samt for at udforme, implementere og effektivt udføre kontroller for at opnå de anførte kontrolmål.
Revisors uafhængighed og kvalitetsstyring
Vi har overholdt kravene til uafhængighed og andre etiske krav i FSR – danske revisorers retningslinjer for revi- sors etiske adfærd (Etiske regler for revisorer), der bygger på de grundlæggende principper om integritet, ob- jektivitet, faglig kompetence og fornøden omhu, fortrolighed og professionel adfærd.
Sønderup & Partnere A/S er underlagt international standard om kvalitetsstyring, ISQC 1, og anvender og op- retholder således et omfattende kvalitetsstyringssystem, herunder dokumenterede politikker og procedurer vedrørende overholdelse af etiske krav, faglige standarder og krav ifølge lov og øvrig regulering.
Revisors ansvar
Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Bellcom Hosting ApS beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, der er anført i denne be- skrivelse.
Vi har udført vores arbejde i overensstemmelse med ISAE 3000, Andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger og yderligere krav ifølge dansk revisorlovgivning.
Denne standard kræver, at vi planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt.
En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen, udformningen og funktionaliteten af kontroller hos en databehandler omfatter udførelse af handlinger for at opnå bevis for oplysningerne i data- behandlerens beskrivelse af sit OS2valghalla / OS2dagsorden / OS2forms samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer
effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nød- vendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev opnået. En er- klæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, egnetheden af de heri anførte mål samt egnetheden af de kriterier, som databehandleren har specificeret og beskrevet på side 8-17.
Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklu- sion.
Begrænsninger i kontroller hos en dataansvarlig
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Bellcom Hosting ApS’s beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af data- ansvarlige og omfatter derfor ikke nødvendigvis alle de aspekter ved OS2valghalla / OS2dagsorden / OS2forms, som hver enkelt dataansvarlig måtte anse for vigtige efter deres særlige forhold. Endvidere vil kontroller hos en databehandler som følge af deres art muligvis ikke forhindre eller opdage alle brud på persondatasikkerhe- den. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en databehandler kan blive utilstrækkelige eller svigte.
Konklusion
Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i ledelsens udtalelse. Det er vores opfattelse,
(a) at beskrivelsen af OS2valghalla / OS2dagsorden / OS2forms, således som denne var udformet og im- plementeret i hele perioden fra 23. december 2020 - 22. december 2021, i alle væsentlige henseen- der er retvisende, og
(b) at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige hense- ender var hensigtsmæssigt udformet i hele perioden fra 23. december 2020 - 22. december 2021, og
(c) at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev opnået i alle væsentlige henseender, har fungeret effektivt i hele perioden fra 23. december 2020 - 22. december 2021.
Beskrivelse af test af kontroller
De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultater af disse tests fremgår på side 18-33.
Denne erklæring og beskrivelsen af test af kontroller på side 18-33 er udelukkende tiltænkt dataansvarlige, der har anvendt Bellcom Hosting ApS’s OS2valghalla / OS2dagsorden / OS2forms, som har en tilstrækkelig forstå- else til at overveje den sammen med anden information, herunder information om kontroller, som de dataan- svarlige selv har udført, ved vurdering af, om kravene i databeskyttelsesforordningen er overholdt.
Kolding d. 22. december 2021
Sønderup & Partnere A/S
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
registrerede revisorer FSR CVR-nr. 27905072
Xxxxx Xxxxxxxx Registreret revisor mne18078
Bellcom Hosting ApS
Bellcom er en 100 % danskejet virksomhed, der siden 1999 har specialiseret sig i effektive IT-løsninger for alle typer kunder, små som store.
Bellcom ejer i dag et komplet server hosting miljø som supporterer vore kunder. Dette er opstillet i et professi- onelt og sikkert Datacenter med alt hvad dertil hører af overvågning, strømback-up og brandslukning. Systemet er opbygget på en sådan måde, at det hurtigt og nemt kan udbygges.
I Bellcom har vi gennem vores erfarne medarbejdere en meget bred viden indenfor IT. Vi kommer fra forskellige IT- og teknikerhverv, hvor arbejdet har været præget af problemløsning og styring af projekter, og vi er derfor godt rustet til at rådgive kunderne omkring totale løsninger fra A til Z.
Organisation og ansvar
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Bellcom er inddelt i afdelingerne IT-drift, Udvikling og Support. Alle supportopgaver varetages af support-afde- lingen. IT-drift har ansvaret for drift, vedligeholdelse og videreudvikling af vores hostingmiljø. Ledelsen hos Bell- com har det overordnede ansvar for IT-sikkerheden i virksomheden.
OS2valghalla / OS2dagsorden / OS2forms behandling af personoplysninger Behandling af personoplysninger
For OS2valghalla behandles almindelige personoplysninger, oplysninger om politisk overbevisning samt cpr-nr. for valgstyrere ved offentlige valg i kommunerne, tilforordnede vælgere ved offentlige valg i kommunerne samt administrativt personale og øvrigt servicepersonale ved offentlige valg i kommunerne.
For OS2dagsorden behandles udelukkende almindelige personoplysninger vedr. administrativt personale og øv- rigt servicepersonale hos kunden.
For OS2forms behandles almindelige personoplysninger, cpr-nr, cvr-nr samt e-mail adresser.
Beskrivelse af kontroller for drift af GDPR platforme Introduktion
Formålet med denne beskrivelse er at levere information til Bellcom's kunder, og deres revisorer, vedrørende kravene i den internationale revisionsstandard for erklæringsopgaver om kontroller hos en serviceleverandør, ISAE 3000.
Beskrivelsen har herudover det formål, at give information om de kontroller, der er anvendt for vores hosting- system.
GDPR Servere
Følgende beskrivelse omfatter de kontrolmål og kontroller hos Bellcom, som omfatter størstedelen af vores kunder og er baseret på vores standardleverance. Individuelle kundeforhold, er ikke medtaget i denne beskri- velse.
OS2dagsorden giver papirløse møder. Løsningen erstatter papirreferater, papirdagsordner, mv., til møderne i kommuner.
Løsningen er open source, og den virker uafhængigt af platforme og styresystemer. OS2dagsorden fungerer på alle PCer og tablets med internet.
Med OS2dagsorden får den enkelte mødedeltager et overblik og indsigt i al dokumentation vedr. en aktuel mø- deaktivitet og er særdeles passende til alle former for bestyrelses-, formandskab og udvalgsarbejde. En møde- deltager får herigennem mulig for at gøre egne noter og talebreve, som hæfter sig til enten den samlede dags- orden eller helt ned på bilagsniveau.
Xxxxxxxx for evnen til at gennemse historiske møder og en samlede orientering om aktuelle og udvalgte møde- aktiviteter alt efter den pågældende brugers rolle og/eller rettigheder.
OS2dagsorden giver der ud over en administrativ gevinst i planlægning og elektronisk distribution af al møde- data.
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
OS2dagsorden er blevet til for at lette både brugere og administration om fremtidig mødeplanlægning og indsigt.
OS2dagsorden opererer med 3 sikkerhedsniveauer. Åbne data, lukke data og personfølsomme data. I løsningen er der indbygget logning af adgangen til alle data i henhold til retningslinjerne fra Datatilsynet.
Platformen OS2valghalla
Der skal mange til for at få et valg til at køre som smurt. Her kommer OS2valghalla ind i billedet. OS2valghalla er et webbaseret system til at håndtere bemandingen på valgstederne. Det kunne være valgstyrere, tilforordnede og frivillige, der er nødvendig for afholdelsen af valg. De medvirkende og partierne kan tilmelde sig og koordinere i OS2valghalla, og de kan brug OS2valghalla til at kommunikere med valgsekretariatet.
OS2valghalla er for valgsekretariatet, der kan skabe sig et overblik over hvor mange tilforordnede, som de skal bruge hvert enkelt sted, og hvor mange der har meldt sig i alt.
OS2valghalla løfter en tung, manuel opgave. Løsningen er en automatisering, der giver valgsekretariatet og par- tiforeninger overblikket over opgaven og fastholder et højt datasikkerhedsniveau.
Platformen OS2valghalla indeholder blandt andet CPR numre. I løsningen er der indbygget logning af adgangen til alle data i henhold til retningslinjerne fra Datatilsynet. Løsningen er under videreudvikling og splittes snart op i en ekstern og intern server opsætning. Hvorved der alene udstilles data til brug for planlægningen findes på den offentlige server. Og alle persondata forbliver på den interne server.
Platformen OS2forms
OS2forms er et formularværktøj til at gøre selvbetjeningsløsninger automatiske og digitale.
En løsning der kan bruge til at skræddersy digitale selvbetjeningsløsninger til glæde for borgere, virksomheder og medarbejdere. OS2forms er et Open Source alternativ til kommercielle selvbetjeningsværktøjer.
Med automatisering af indsamlingen af formulardata bliver arbejdet endnu mere effektivt.
Platformen OS2forms indeholder blandt andet CPR numre. I løsningen er der indbygget logning af adgangen til alle data i henhold til retningslinjerne fra Datatilsynet.
Sikkerheds opdateringer
I Bellcom har vi sat sikkerhedsopdateringerne i system. For personfølsomme løsninger er det muligt at tegne en GDPR+ aftale hvor vi automatisk opdaterer løsningerne lige så snart der frigives sikkerhedsrettelser. Først efter opdateringen testes løsningen. Hvorved data er sårbare i mindst mulig tid.
Kildekode
For alle Bellcom’s løsninger gælder det at koden for projekter vi arbejder på styres via et eksternt versionssty- ringssystem. Koden er derfor tilgængelig for kunderne via xxxxxx.xxx/xxxxxxx
Organisation og ansvar
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Bellcom er inddelt i afdelingerne IT-drift, Udvikling og support. Alle support opgaver varetages af support afde- lingen. IT-drift har ansvaret for drift, vedligeholdelse og videreudvikling af vores hostingmiljø.
Ledelsen hos Bellcom har det overordnede ansvar for IT-sikkerheden i virksomheden.
Risikostyring i Bellcom
Vi har procedurer for løbende risikovurdering af vores forretning og specielt vores hosting ydelser. Dermed kan vi sikre, at de risici, som er forbundet med de services og ydelser, vi stiller til rådighed, er minimeret til et accep- tabelt niveau.
Medarbejderne gennemgår og underskriver en vejledning i generel sikkerhedsdatahåndtering samt kodeords skift hver tredje måned.
IT-afdelingen følger et ”årshjul” med hensyn til gennemgang af adgange, sikkerhedsopdateringer m.v.
Ansvaret for risikovurderinger er placeret hos IT-driften, og skal efterfølgende forankres og godkendes hos Bell- com ledelse.
Generelt om vores kontrolmål og implementerede kontroller
Vores overordnede kontrolmål er at sikre, at de politikker vi har angivet i vores samlede informationssikkerheds- politik, efterleves. Herunder især i forhold til de registrerede.
Vores metodik til implementering af kontroller er defineret ud fra ISO 27002:2013 regelsættet for styring af informationssikkerhed.
Vi foretager løbende forbedringer af både politikker, procedurer og den operationelle drift. Vi foretager årlig revidering af, hvorvidt vi lever op til vores regelsæt, der centrerer sig om, hvordan vi leverer vores driftsydelser, foretager genetablering, håndterer sikkerhedsopdatering mv.
Bellcom benytter sig alene af én underleverandører i forbindelse med opbevaring af en kopi af den samlede backup. Der stilles krav om at denne underleverandører besidder en gyldig ISAE 3402 lignende revisorerklæring. (ISO/IEC 27001:2013 certificate)
Kontrolmiljø
Det følgende beskriver vores kontrolmiljø nærmere for hvert enkelt område.
Overordnede retningslinjer
Vi har defineret vores overordnede metodik og tilgang til levering af vores ydelser med hvad dette indebærer, i vores IT-sikkerhedspolitik og tilhørende strategiske og taktiske dokumenter. Formålet er at sikre, at vi har ledel- sesgodkendte retningslinjer for informationssikkerhed i forhold til forretningsstrategien - og i forhold til relevant lovgivning. Ledelsens budskab er kommunikeret til alle medarbejdere i Bellcom, og vi opdaterer løbende doku- menterne efter behov, og minimum en gang årligt.
Hændelseshåndtering og informationssikkerhedsbrud
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Beredskabsplanen er den overordnede plan for håndtering af brud på informationssikkerheden. En uforudset hændelse kan være forsøg på hacking af en server, uautoriseret adgang til en server m.m. I forbindelse med en sådan hændelse skal det vurderes om der også er et informationssikkerhedsbrud, hvilket gøres af beredskabs- ledelsen.
Informationssikkerhedsbrud
Er en identificeret forekomst af en system-, tjeneste- eller netværkstilstand, der indikerer et muligt brud på informationssikkerhedspolitikken eller svigt af kontroller, eller en tidligere ukendt situation, der kan være rele- vant for sikkerheden.
Under informationssikkerhedsbrud hører brud på persondatasikkerheden gennem, hændelig eller ulovlig tilin- tetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet
Orientering af kunder
Ved aktivering af beredskabet orienteres alle berørte kunder direkte eller via Bellcom’s drifts nyhedsbrev. Ori- enteringen skal indeholde:
• En kort beskrivelse af problematikken
• De aktive handlinger der nu foretages for udbedring.
• Forventet udbedringstid
• Tidspunktet for næste orientering (hver 4 time inden for normal arbejdstid eller næste morgen)
Informationssikkerhedsbrud
Skaden ved sikkerhedsbrud skal holdes på et acceptabelt niveau. Målet opnås ved at der fastlægges reaktions- procedurer for kendte og hyppige sikkerhedshændelser, så de kan håndteres hurtigt og effektivt og ikke udvikler sig. Der skal desuden opretholdes et it-beredskab i tilfælde af større hændelser, som ikke kan håndteres med de normale reaktionsprocedurer.
Hændelser og svagheder skal registreres og årligt rapporteres til beredskabsledelsen. Disse registreres i følgende løsning. xxxxx://xxxxx.xxxxxxx.xx/xx
Ved alvorlige hændelser skal der foretages en efterfølgende evaluering af hændelsen, som behandles I bered- skabsledelsen. Registrering af hændelser hjælper til at finde den optimale balance imellem forebyggende, op- dagende og udbedrende foranstaltninger.
I tilfælde af et informationssikkerhedsbrud udføres følgende:
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
• Der sendes en email til informationssikkerhedskoordinatoren (ISK) xx@xxxxxxx.xx (Driften / Udvikler team)
• Hændelsen oprettes i xxxxx.xxxxxxx.xx/xx som værende “ikke løst” og orienterer Beredskabsledelsen.
• Sikkerhedsbruddet stoppes. (driften)
• Logfiler og andet relevant for efterfølgende undersøgelse af hændelsen indsamles (driften)
• Forslag til fremadrettet forebyggelse forelægges beredskabsledelsen. (driften)
• Kunden orienteres om hændelsen såfremt dette er påkrævet (beredskabsledelsen)
• Vurdering af om hændelsen skal indberettes til Datatilsynet som et brud på brud på databeskyttelses- lovgivningen (beredskabsledelsen).
• Alt relevant materiale gemmes i en zip fil og sendes til informationssikkerhedskoordinatoren.
• Zip filen lægges op på opgaven i xxxxx.xxxxxxx.xx/xx og denne lukkes. (ISK)
Rapportering af informationssikkerhedsbrud
Alle medarbejdere har pligt til at rapportere sikkerhedsbrud til informationssikkerhedskoordinatoren.
Alle medarbejdere og eksterne kontrahenter har pligt til at rapportere observerede svagheder eller sårbarheder i it-systemer og it-services til informationssikkerhedskoordinatoren.
Kontrakter, SLA
Vi tilbyder kontrakter på hostingydelser for vores kunder. Særlige forhold er beskrevet heri, som de var ved aftaleindgåelse.
Vores SLA (Service Level Agreement) beskriver vores generelle vilkår, i forbindelse med vores ydelse overfor vores kunder, responstid, support mv.
Bellcom tilbyder Opdaterings aftaler hvor vi påtager os det fulde ansvar for opdateringer af løsninger og efter- følgende test. Se xxxx://xxxxxxx.xx/xxxx
Formål
Vi vil sikre, at alle i virksomheden er bekendte med deres roller og ansvar - herunder også vores underleveran- dører og 3. parter, og at alle er kvalificerede og egnede til at udføre deres rolle.
Roller og ansvar og samarbejde med eksterne
Alle i vores virksomhed skal leve op til den rolle, som er tilegnet dem samt følge vores procedurer jf. vores IT- sikkerhedspolitik samt ansvars- og rollefordeling. Dette er for at sikre, at bl.a. sikkerhedsrelaterede forhold eska- leres og håndteres. Vigtigst er, at vi passer på vores kunders data, vores udstyr og dermed vores forretning. Rolle- og ansvarsbeskrivelsen, herunder opgaver og ansvar i forhold til sikkerheden, er defineret i de udarbej- dede rollebeskrivelser, medarbejdernes ansættelseskontrakt samt i IT-sikkerhedspolitikken.
Vi har procedurer for ansættelse af medarbejdere og etablering af samarbejde med eksterne, hvor vi sikrer, at vi ansætter den rigtige kandidat ift. baggrund og kompetence. Vi har rolle- og ansvarsbeskrivelser for medarbej- dere og medarbejderkategorier, så alle er bekendte med deres ansvar.
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Ansættelsesvilkår
Generelle vilkår for ansættelse, herunder fortrolighed om egne og kunders forhold, er beskrevet i hver medar- bejders ansættelseskontrakt, hvor forhold omkring alle sider af ansættelsen, herunder ophør og sanktioner ved evt. sikkerhedsbrud, er angivet.
Fysisk sikkerhed Formål
Vi vil sikre, at vi har et betryggende fysisk miljø omkring Bellcom og dermed vores kunders data. Servere, ser- vices, data og informationer generelt er afskærmet mod miljømæssige påvirkninger (brand, vand, temperatur mv.), og herudover skal vi have fornøden og betryggende sikring mod hærværk, tyveri mv.
Bellcoms datacenter er beliggende på særskilt lokation på Xxxxxxxxx 00X, 0000 Xxxxxxx.
Rummet ligger i et kompleks sammen med andre lejere, og adgang til bygningskomplekset sker med nøgle uden- for åbningstid.
Adgang til forrummet sker med brik og nøgle. Her er hylde- og arbejdsplads med mulighed for opkobling af PC. Uautoriseret adgang (dvs. uden brug af brik) giver alarm til Dansikring.
Selve serverrummet er en klima- og brandbeskyttet ”bygning i bygningen”. Adgang hertil sker med brik og kode. Autoriseret adgang hertil udløser SMS til driftsleder og driftsteam, og der sker fotodokumentation af, hvem der er i rummet (konstant fotoovervågning af døren til rummet indefra).
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Serverrummet er forsynet med CTS kontrolsystem (teknik- og miljøvagt), eltavle, tre serverskabe med fysiske diske (konfigureret som virtuelle servere med redundans), kommunikationscontrollere, to firewalls (1 redun- dant), tre UPS, tre klimaanlæg, vandalarmer (gulv, kølekondens og tag) samt brandalarm med Inergen brand- slukningsanlæg. Desuden er der egen nødstrømsgenerator på adressen. Alle systemer og sensorer overvåges af CTS, og overvågningsdata logges direkte samt på server (med backup). CTS kan fjernovervåges fra Xxxxxxxx 00 xx xxx.xxxxxxx.xx.
Da Bellcom tilbyder hosting af løsninger med garanteret datasikkerhed 24-7 og med tilgængelighed inden for almindelig arbejdstid, er det afgørende, at datacenteret er sikret mod alle forudsebare risici, samt at der er en nødplan, der kan iværksættes indenfor få timer eller dage i tilfælde af helt uforudsete og usandsynlige hændel- ser.
Kontorer
Adgangen til kontoret beliggende Xxxxxxxx 00, sker via fælles hovedindgang, der deles med lejeren i stueetagen (Cortex). Herfra sker adgangen til Bellcoms trappeopgang via aflåselig dør, og indgangen til kontoret sker via endnu en aflåselig dør. Kontoret er desuden sikret af tyverialarm.
Adgangen sker via storrumskontor, således at uvedkommende ikke uopdaget kan få adgang. Ved møder, frokost etc., hvor døren er ubevogtet, låses den.
Hjemmearbejde
Vi har etableret mulighed for, at vores medarbejdere kan arbejde hjemmefra af hensyn til bl.a. Driftsvagt. Ad- gang til fjernarbejde sker alene via VPN til Bellcom’s kontorer og herfra videre til hosting centeret.
Bortskaffelse
Alt databærende udstyr destrueres inden bortskaffelse, for at sikre, at data ikke er tilgængeligt.
Formål
Vi vil sikre, at vores organisering af implementering, drift og ændring i og af vores ydelse sker struktureret og efter aftale med vores kunder. Vi skal sikre at IT-sikkerheden, generelt er høj, og via systemer og procedurer til sikring heraf, ikke kompromitter vores, vores kunders systemer og data. Vi skal have procedurer for genskabelse af data, overvågning og logning af data, og vi skal generelt have opmærksomhed på fortroligheden omkring vores kunders data.
Drift
Vi vil sikre at vores drift er stabil, korrekt og sikker. Gennem løbende dokumentation og processer sikrer vi at kunne udelukke eller minimere nøglepersonsafhængighed. Opgaver tildeles og fastsættes via procedurer for styring af den operative drift.
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Ændringshåndtering
Vi har defineret en proces for ændringshåndtering, for at sikre, at ændringer sker efter aftale med kunder, og er tilrettelagt hensigtsmæssigt i forhold til interne forhold. Større ændringer sker alene baseret på en klassificering af opgaven, kompleksiteten og vurdering af påvirkning af andre systemer.
Ved større og/eller forretningskritiske ændringer, sikres det altid, som minimum, at;
• Alle ændringer drøftes, prioriteres og godkendes af ledelsen
• Alle ændringer testes
• Alle ændringer godkendes før idriftsættelse
• Alle ændringer idriftsættes på et fastsat tidspunkt, efter aftale med forretningen og/eller kunden
• Der fortages fall back-planlægning, som sikrer, at ændringer kan rulles tilbage eller annulleres, hvis den ikke fungerer
• Systemdokumentationen opdateres med den nye ændring, såfremt det vurderes nødvendigt
Vores miljø er altid opdelt logisk, i test og produktion, hvorved vi sikrer, at have testet et produkt eller ændring, før den kommer i produktion.
Underleverandører
Hvor vi bruger underleverandører fører vi tilsyn med disse. Bellcom benytter overvejende ikke underleverandø- rer.
Vi sikrer at kunne genskabe systemer og data på hensigtsmæssig og korrekt vis, samt efter de aftaler, vi har med vores kunder.
Vi har etableret en testplan for verificering af, hvorvidt sikkerhedskopieringen fungerer samt en test af hvordan systemer og data praktisk kan reetableres. Der føres en log over disse tests, således at vi kan følge op på om vi kan ændre på procedurer og processer for at højne vores løsning.
Vi har defineret retningslinjer for på hvilken vis, vi foretager sikkerhedskopiering. Hver nat føres udvalgte data fra vores centrale systemer til vores colocation ved hjælp af vores backup-system. Dermed er data fysisk sepa- reret fra vores driftssystemer, og efter endt afvikling foretages der en automatiseret verificering af, hvorvidt datamængde og indhold mellem vores driftssystem og colocation, stemmer overens.
En ansvarlig medarbejder sikrer herefter, at sikkerhedskopieringen er sket, foretager det fornødne hvis jobbet er fejlet, og logfører herefter dette.
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Netværkssikkerhed
IT-sikkerheden omkring systemers og datas ydre rammer, er netværket mod internettet, remote eller lignende. Vi mener, at have sikret data og systemer også inde i netværket, men det ydre værn mod uvedkommende ad- gang er af højeste prioritet hos os.
Adgang til vores systemer fra vores kunder, sker via de offentlige netværk. Alene godkendt netværkstrafik (indgående) kommer gennem vores firewall.
Vi er ansvarlige for driften og sikkerheden hos os, dvs. fra og med systemerne hos os og ud til internettet. Vores kunder er selv ansvarlige for at kunne tilgå internettet.
Håndtering af databærende medier
Vi skal sikre, at vores og vores kunders systemer og data beskyttes. Vi håndterer derfor ikke kunders data på håndbårne medier (Eksterne USB medier, CD/DVD) uden forudgående skriftlig aftale med kunderne samt ved passende fysisk beskyttelse mod miljømæssige på- virkninger (varme mv.) samt hærværk og tyveri.
Alt databærende udstyr (USB, CD/DVD, harddiske mv.) destrueres inden bortskaffelse for at sikre, at data ikke er tilgængeligt.
Vores dokumentation opbevares på to af hinanden uafhængige lokationer. Dette sikrer tilgængeligheden af do- kumentationen i tilfælde af f.eks. nedbrud.
Ekstern datakommunikation
Ekstern datakommunikation sker via e-mails, idet vores kunders adgang og brug af vores servere, ikke betragtes som ekstern datakommunikation. Yderligere kommunikation sker gennem vores support system samt vore pro- jektplanlægnings værktøjer.
Glemte kodeord, personoplysninger, bestillinger mv. håndteres aldrig via telefon, udelukkende på skrift (opdelt på e-mail og SMS) og først efter vores medarbejdere har konstateret, at det er den korrekte og autoriserede person, vi har kontakt til.
Overvågning og logning
Vi har et overvågningssystem hvor vi overvåger drifts kritiske servere og udstyr. Vores driftsmedarbejdere fore- tager den daglige overvågning af vores systemer via måling af grænseværdier. Vi opsamler logs for alle servere og enheder i netværket.
Til styring af overvågning og opfølgning på hændelser, har vi implementeret formelle incident og problem ma- nagement systemer der automatisk reagerer på grænseværdier og eskalerer hændelser. Driften modtager disse via e-mail samt sms.
Beredskabsplan Formål
Vi vil have mulighed for at genoptage vores primære og centrale forretningsprocesser og systemer, efter en katastrofelignende situation.
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Beredskabsplan
Skulle der opstå en nødsituation, har Bellcom udarbejdet en overordnet beredskabsplan. Beredskabsplanen er forankret i IT-risikoanalysen og vedligeholdes minimum årligt, i forlængelse af udførelsen af analysen. Planen testes 1 gang årligt som en del af vores overordnet beredskab, så vi sikrer, at kunderne i mindst muligt omfang vil opleve forstyrrelser i driften, i forbindelse med en eventuel nødsituation.
Planen og procedurerne er forankret i vores driftsdokumentation og procedurer. Overensstemmelse med lovbestemte og kontraktlige krav
Vi er ikke underlagt særlig lovgivning i forhold til vores ydelse. Vores kunder kan dog være, og de steder, er vores understøttelse heraf aftalt særskilt.
Vi lader os årligt revidere af ekstern revisor, med henblik på afgivelse af erklæring for overholdelsen af kontrol- lerne, nævnt i denne beskrivelse.
Vi har en intern kontrol, hvor vi undersøger, om de etablerede politikker og retningslinjer overholdes af medar- bejderne. Derudover har vi en kontrol der sikrer, at vores udstyr, såsom servere, databaser, netværksudstyr mm., er sat op jf. vores baselines.
Komplementerende kontroller der udføres af kunder hos Bellcom
Bellcom's kunder er, med mindre andet er aftalt, ansvarlige for at etablere forbindelse til Bellcom's’ servere. Herudover er Bellcom's’ kunder, med mindre andet er aftalt, ansvarlige for:
• At det aftalte niveau for backup dækker kundens behov
• At gennemføre periodisk gennemgang af kundens egne brugere
• At sikre serviceleverandøren får korrekt information om oprettelse og nedlæggelse af brugere
• At beskrive egen sletning
Der efterleves procedurer og kontroller, som sikrer, at instruks vedrørende behandling af personoplysninger efterleves i overensstemmelse med den indgående databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
A.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der alene må foretages behandling af personoplysninger, når der foreligger en instruks. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at behandling af personoplysninger alene foregår i henhold til instruks. Inspiceret, at procedurerne indeholder krav om minimum årlig vurdering af behov for opdatering, herunder ved ændringer i dataansvarliges instruks eller ændringer i databehandlingen. Inspiceret, at procedurer er opdateret. | Ingen bemærkninger |
A.2 | Databehandler udfører alene den behandling af personoplysninger, som fremgår af instruks fra dataansvarlig. | Inspiceret, at ledelsen sikrer, at behandling af personoplysninger alene foregår i henhold til instruks. Inspiceret ved en stikprøve på 3 behandlinger af personoplysninger, at disse foregår i overensstemmelse med instruks. | Ingen bemærkninger |
A.3 | Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer kontrol af, at behandling af personoplysninger ikke er i strid med databeskyttelsesforordningen eller anden lovgivning. Inspiceret, at der er procedurer for underretning af den dataansvarlige i tilfælde, hvor behandling af personoplysninger vurderes at være i strid med lovgivningen. Inspiceret, at den dataansvarlige er underrettet i tilfælde, hvor behandlingen af personoplysninger er vurderet i strid med lovgivningen. | Ingen bemærkninger |
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
B.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der etableres aftalte sikringsforanstaltninger for behandling af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at der etableres de aftalte sikkerhedsforanstaltninger. Inspiceret, at procedurer er opdateret. Inspiceret ved en stikprøve på 3 databehandleraftaler, at der er etableret de aftalte sikringsforanstaltninger. | Ingen bemærkninger |
B.2 | Databehandleren har foretaget en risikovurdering og på baggrund heraf implementeret de tekniske foranstaltninger, der er vurderet relevante for at opnå en passende sikkerhed, herunder etableret de med dataansvarlige aftalte sikringsforanstaltninger. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at databehandler foretager en risikovurdering for at opnå en passende sikkerhed. Inspiceret, at den foretagne risikovurdering er opdateret og omfatter den aktuelle behandling af personoplysninger. Inspiceret, at databehandler har implementeret de tekniske foranstaltninger, som sikrer en passende sikkerhed i overensstemmelse med risikovurderingen. Inspiceret, at databehandler har implementeret de sikringsforanstaltninger, der er aftalt med de dataansvarlige. | Ingen bemærkninger |
B.3 | Der er for de systemer og databaser, der anvendes til behandling af personoplysninger, installeret antivirus, som løbende opdateres. | Inspiceret, at der for de systemer og databaser, der anvendes til behandling af personoplysninger, er installeret antivirus software. Inspiceret, at antivirus software er opdateret. | Ingen bemærkninger |
B.4 | Ekstern adgang til systemer og databaser, der anvendes til behandling af personoplysninger, sker gennem sikret firewall. | Inspiceret, at ekstern adgang til systemer og databaser, der anvendes til behandling af personoplysninger, alene sker gennem en firewall. Inspiceret, at firewall er konfigureret i henhold til intern politik herfor. | Ingen bemærkninger |
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
B.5 | Interne netværk er segmenteret for at sikre begrænset adgang til systemer og databaser, der anvendes til behandling af personoplysninger. | Forespurgt, om interne netværk er segmenteret med henblik på at sikre begrænset adgang til systemer og databaser, der anvendes til behandling af personoplysninger. Inspiceret netværksdiagrammer og anden netværksdokumentation for at sikre behørig segmentering. | Ingen bemærkninger |
B.6 | Adgang til personoplysninger er isoleret til brugere med arbejdsbetinget behov herfor. | Inspiceret, at der foreligger formaliserede procedurer for begrænsning af brugeres adgang til personoplysninger. Inspiceret, at der foreligger formaliserede procedurer for opfølgning på, at brugeres adgang til personoplysninger er i overensstemmelse med deres arbejdsbetingede behov. Inspiceret, at de aftalte tekniske foranstaltninger understøtter opretholdelsen af begrænsningen i brugernes arbejdsbetingede adgang til personoplysninger. Inspiceret ved en stikprøve på 2 brugeres adgange til systemer og databaser, at de er begrænset til medarbejdernes arbejdsbetingede behov. | Ingen bemærkninger |
B.7 | Der er for de systemer og databaser, der anvendes til behandling af personoplysninger, etableret systemovervågning med alarmering. Overvågningen omfatter: • OS2dagsorden • OS2valghalla • OS2forms | Inspiceret, at der for systemer og databaser, der anvendes til behandling af personoplysning, er etableret systemovervågning med alarmering. Inspiceret, at der ved en stikprøve på 3 alarmer er sket opfølgning, samt at forholdet er meddelt de dataansvarlige i behørigt omfang. | Ingen bemærkninger |
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
B.8 | Der anvendes effektiv kryptering ved transmission af fortrolige og følsomme personoplysninger via internettet og med e-mail. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at transmission af følsomme og fortrolige oplysninger over internettet er beskyttet af stærk kryptering baseret på en anerkendt algoritme. Inspiceret, at teknologiske løsninger til kryptering har været tilgængelige og aktiveret i hele erklæringsperioden. Inspiceret, at der anvendes kryptering af transmissioner af følsomme og fortrolige personoplysninger via internettet eller med e-mail. Forespurgt, om der har været ukrypterede transmissioner af følsomme og fortrolige personoplysninger i erklæringsperioden, samt om de dataansvarlige er behørigt orienteret herom. | Ingen bemærkninger |
B.9 | Der er etableret logning i systemer, databaser og netværk af følende forhold: • Aktiviteter, der udføres af systemadministratorer og andre med særlige rettigheder • Sikkerhedshændelser omfattende: o Ændringer i logopsætninger, herunder deaktivering af logning o Ændringer i systemrettigheder til brugere o Fejlede forsøg på log-on til systemer, databaser og netværk Logoplysninger er beskyttet mod manipulation og tekniske fejl og gennemgås løbende. | Inspiceret, at der foreligger formaliserede procedurer for opsætning af logning af brugeraktiviteter i systemer, databaser og netværk, der anvendes til behandling og transmission af personoplysninger, herunder gennemgang og opfølgning på logs. Inspiceret, at logning af brugeraktiviteter i systemer, databaser og netværk, der anvendes til behandling og transmission af personoplysninger, er konfigureret og aktiveret. Inspiceret, at opsamlede oplysninger om brugeraktivitet i logs er beskyttet mod manipulation og sletning. Inspiceret ved en stikprøve på af logfiler har det forventede indhold i forhold til opsætning, og at der er dokumentation for den foretagne opfølgning og håndtering af evt. sikkerhedshændelser. Inspiceret ved en stikprøve på at der er dokumentation for den foretagne opfølgning på aktiviteter udført af systemadministratorer og andre med særlige rettigheder. | Ingen bemærkninger |
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
B.10 | Personoplysninger, der anvendes til udvikling, test eller lignende, er altid i pseudonymiseret eller anonymiseret form. Anvendelse sker alene for at varetage den ansvarliges formål i henhold til aftale og på dennes vegne. | Inspiceret, at der foreligger formaliserede procedurer for anvendelse af personoplysninger til udvikling, test og lignende, der sikrer, at anvendelsen alene sker i pseudonymiseret eller anonymiseret form. Inspiceret ved en stikprøve på 1 udviklings- og testdatabaser, at personoplysninger heri er pseudonymiseret eller anonymiseret. Inspiceret ved en stikprøve på 1 udviklings- og testdatabaser, hvor personoplysninger ikke er pseudonymiseret eller anonymiseret, at dette er sket efter aftale med den dataansvarlige og på dennes vegne. | Ingen bemærkninger |
B.11 | De etablerede tekniske foranstaltninger testes løbende ved sårbarhedsscanninger og penetrationstests. | Inspiceret, at der foreligger formaliserede procedurer for løbende tests af tekniske foranstaltninger, herunder gennemførsel af sårbarhedsscanninger og penetrationstests. Inspiceret ved stikprøver, at der er dokumentation for løbende tests af de etablerede tekniske foranstaltninger. Inspiceret, at evt. afvigelser og svagheder i de tekniske foranstaltninger er rettidigt og betryggende håndteret samt meddelt de dataansvarlige i behørigt omfang. | Ingen bemærkninger |
B.12 | Ændringer til systemer, databaser og netværk følger fastlagte procedurer, som sikrer vedligeholdelse med relevante opdateringer og patches, herunder sikkerhedspatches. | Inspiceret, at der foreligger formaliserede procedurer for håndtering af ændringer til systemer, databaser og netværk, herunder håndtering af relevante opdateringer, patches og sikkerhedspatches. Inspiceret ved udtræk af tekniske sikkerhedsparametre og - opsætninger, at systemer, databaser og netværk er opdateret med aftalte ændringer og relevante opdateringer, patches og sikkerhedspatches. | Ingen bemærkninger |
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
B.13 | Der er formaliseret forretningsgang for tildeling og afbrydelse af brugeradgange til personoplysninger. Brugeres adgang revurderes regelmæssigt, herunder at rettigheder fortsat kan begrundes i et arbejdsbetinget behov. | Inspiceret, at der foreligger formaliserede procedurer for tildeling og afbrydelse af brugernes adgang til systemer og databaser, som anvendes til behandling af personoplysninger. Inspiceret ved en stikprøve på 4 medarbejderes adgange til systemer og databaser, at de tildelte brugeradgange er godkendt, og at der er et arbejdsbetinget behov. Inspiceret ved en stikprøve på 1 fratrådte medarbejdere, at disses adgange til systemer og databaser er rettidigt deaktiveret eller nedlagt. Inspiceret, at der foreligger dokumentation for regelmæssig - mindst en gang årligt – vurdering og godkendelse af tildelte brugeradgange. | Ingen bemærkninger |
B.14 | Adgang til systemer og databaser, hvori der sker behandling af personoplysninger, der medfører højrisiko for de registrerede, sker som minimum ved anvendelse af to-faktor autentifikation. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at to-faktor autentifikation anvendes ved behandling af personoplysninger, der medfører højrisiko for de registrerede. Inspiceret, at brugernes adgang til at udføre behandling af personoplysninger, der medfører høj-risiko for de registrerede, alene kan ske ved anvendelse af to-faktor autentifikation. | Ingen bemærkninger |
B.15 | Der er etableret fysisk adgangssikkerhed, således at kun autoriserede personer kan opnå fysisk adgang til lokaler og datacentre, hvori der opbevares og behandles personoplysninger. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at kun autoriserede personer kan opnå fysisk adgang til lokaler og datacentre, hvori der opbevares og behandles personoplysninger. Inspiceret dokumentation for, at kun autoriserede personer har haft fysisk adgang til lokaler og datacentre, hvori der opbevares og behandles personoplysninger, i erklæringsperioden. | Ingen bemærkninger |
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organisatoriske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
C.1 | Databehandlerens ledelse har godkendt en skriftlig informationssikkerhedspolitik, som er kommunikeret til alle relevante interessenter, herunder databehandlerens medarbejdere. It-sikkerhedspolitikken tager udgangspunkt i den gennemførte risikovurdering. Der foretages løbende – og mindst en gang årligt – vurdering af, om it-sikkerhedspolitikken skal opdateres. | Inspiceret, at der foreligger en informationssikkerhedspolitik, som ledelsen har behandlet og godkendt inden for det seneste år. Inspiceret dokumentation for, at informationssikkerhedspolitikken er kommunikeret til relevante interessenter, herunder databehandlerens medarbejdere. | Ingen bemærkninger |
C.2 | Databehandlerens ledelse har sikret, at informationssikkerhedspolitikken ikke er i modstrid med indgåede databehandleraftaler. | Inspiceret dokumentation for ledelsens vurdering af, at informationssikkerhedspolitikken generelt lever op til kravene om sikringsforanstaltninger og behandlingssikkerheden i indgåede databehandleraftaler. Inspiceret ved en stikprøve på 3 databehandleraftaler, at kravene i aftalerne er dækket af informationssikkerhedspolitikkens krav til sikringsforanstaltninger og behandlingssikkerheden. | Ingen bemærkninger |
C.3 | Der udføres en efterprøvning af databehandlerens medarbejdere i forbindelse med ansættelse. Efterprøvningen omfatter i relevant omfang: • Referencer fra tidligere ansættelser • Straffeattest • Eksamensbeviser | Inspiceret, at der foreligger formaliserede procedurer, der sikrer efterprøvning af databehandlerens medarbejdere i forbindelse med ansættelse. Inspiceret ved en stikprøve på 3 databehandleraftaler, at kravene til efterprøvning af medarbejdere i aftalerne er dækket af databehandlerens procedurer for efterprøvning. Inspiceret ved en stikprøve på 2 nyansatte medarbejdere i erklæringsperioden, at der er dokumentation for, at efterprøvningen har omfattet: • Referencer fra tidligere ansættelser • Straffeattest • Eksamensbeviser | Ingen bemærkninger |
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organisatoriske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
C.4 | Ved ansættelse underskriver medarbejdere en fortrolighedsaftale. Endvidere bliver medarbejderen introduceret til informationssikkerhedspolitik og procedurer vedrørende databehandling samt anden relevant information i forbindelse med medarbejderens behandling af personoplysninger. | Inspiceret ved en stikprøve på 2 nyansatte medarbejdere i erklæringsperioden, at de pågældende medarbejdere har underskrevet en fortrolighedsaftale. Inspiceret ved en stikprøve på 2 nyansatte medarbejdere i erklæringsperioden, at de pågældende medarbejdere er blevet introduceret til: • Informationssikkerhedspolitikken • Procedurer vedrørende databehandling, samt anden relevant information | Ingen bemærkninger |
C.5 | Ved fratrædelse er der hos databehandleren implementeret en proces, som sikrer, at brugerens rettigheder bliver inaktive eller ophører, herunder at aktiver inddrages. | Inspiceret procedurer, der sikrer, at fratrådte medarbejderes rettigheder inaktiveres eller ophører ved fratrædelse, og at aktiver som adgangskort, pc, mobiltelefon etc. inddrages Inspiceret ved en stikprøve på 1 fratrådte medarbejdere i erklæringsperioden, at rettigheder er inaktiveret eller ophørt, samt at aktiver er inddraget. | Ingen bemærkninger |
C.6 | Ved fratrædelse orienteres medarbejderen om, at den underskrevne fortrolighedsaftale fortsat er gældende, samt at medarbejderen er underlagt en generel tavshedspligt i relation til behandling af personoplysninger, databehandleren udfører for de dataansvarlige. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at fratrådte medarbejdere gøres opmærksom på opretholdelse af fortrolighedsaftalen og generel tavshedspligt. Inspiceret ved en stikprøve på 1 fratrådte medarbejdere i erklæringsperioden, at der er dokumentation for opretholdelse af fortrolighedsaftale og generel tavshedspligt. | Ingen bemærkninger |
C.7 | Der gennemføres løbende awareness-træning af databehandlerens medarbejdere i relation til it-sikkerhed generelt samt behandlingssikkerhed i relation til personoplysninger. | Inspiceret, at databehandleren udbyder awareness-træning til medarbejderne omfattende generel it-sikkerhed og behandlingssikkerhed i relation til personoplysninger. Inspiceret dokumentation for, at alle medarbejdere, som enten har adgang til eller behandler personoplysninger, har gennemført den udbudte awareness-træning. | Ingen bemærkninger |
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Der efterleves procedurer og kontroller, som sikrer, at personoplysninger kan slettes eller tilbageleveres såfremt der indgås aftale herom med den dataansvarlige. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
D.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der foretages opbevaring og sletning af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer for opbevaring og sletning af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Inspiceret, at procedurerne er opdateret. | Ingen bemærkninger |
D.2 | Der er aftalt følgende specifikke krav til databehandlerens opbevaringsperioder og sletterutiner: • Med mindre andet er angivet følger Bellcom de samme rutiner som for opbevaring af logs. Dvs man beholder data i 180 dage efter aftalens ophør. Så logs stadig er tilgængelige. • 180 dage efter ophør af databehandler aftalen er der kontrol af at data er slette. En bekræftelse af sletningen sendes til den data ansvarlige | Inspiceret, at de foreliggende procedurer for opbevaring og sletning indeholder de specifikke krav til databehandlerens opbevaringsperioder og sletterutiner. Inspiceret ved en stikprøve på 3 databehandlinger fra databehandlerens oversigt over behandlingsaktiviteter, at der er dokumentation for, at personoplysninger opbevares i overensstemmelse med de aftalte opbevaringsperioder. Inspiceret ved en stikprøve på 3 databehandlinger fra databehandlerens oversigt over behandlingsaktiviteter, at der er dokumentation for, at personoplysninger er slettet i overensstemmelse med de aftalte sletterutiner. | Ingen bemærkninger |
D.3 | Ved ophør af behandling af personoplysninger for den dataansvarlige er data i henhold til aftalen med den dataansvarlige: • Tilbageleveret til den dataansvarlige og/eller • Slettet, hvor det ikke er i modstrid med anden lovgivning. | Inspiceret, at der foreligger formaliserede procedurer for behandling af den dataansvarliges data ved ophør af behandling af personoplysninger. Inspiceret ved en stikprøve på 1 ophørte databehandlinger i erklæringsperioden, at der er dokumentation for, at den aftalte sletning eller tilbagelevering af data er udført. | Ingen bemærkninger |
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene opbevarer personoplysninger i overensstemmelse med aftalen med den dataansvarlige. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
E.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der alene foretages opbevaring af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer for, at der alene foretages opbevaring og behandling af personoplysninger i henhold til databehandleraftalerne. Inspiceret, at procedurerne er opdateret. Inspiceret ved en stikprøve på 3 databehandlinger fra databehandlerens oversigt over behandlingsaktiviteter, at der er dokumentation for, at databehandlingen sker i henhold til databehandleraftalen. | Ingen bemærkninger |
E.2 | Databehandlerens databehandling inklusive opbevaring må kun finde sted på de af den dataansvarlige godkendte lokaliteter, lande eller landområder. | Inspiceret, at databehandleren har en samlet og opdateret oversigt over behandlingsaktiviteter med angivelse af lokaliteter, lande eller landområder. Inspiceret ved en stikprøve på 3 databehandlinger fra databehandlerens oversigt over behandlingsaktiviteter, at der er dokumentation for, at databehandlingen, herunder opbevaring af personoplysninger, alene foretages på de lokaliteter, der fremgår af databehandleraftalen – eller i øvrigt er godkendt af den dataansvarlige. | Ingen bemærkninger |
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren ved opfølgning på disses tekniske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
F.1 | Der foreligger skriftlige procedurer, som indeholder krav til databehandleren ved anvendelse af underdatabehandlere, herunder krav om underdatabehandleraftaler og instruks. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer for anvendelse af underdatabehandlere, herunder krav om underdatabehandleraftaler og instruks. Inspiceret, at procedurerne er opdateret. | Ingen bemærkninger |
F.2 | Databehandleren anvender alene underdatabehandlere til behandling af personoplysninger, der er specifikt eller generelt godkendt af den dataansvarlige. | Inspiceret, at databehandleren har en samlet og opdateret oversigt over anvendte underdatabehandlere. Inspiceret ved en stikprøve på 1 underdatabehandlere fra databehandlerens oversigt over underdatabehandlere, at der er dokumentation for, at underdatabehandlerens databehandling fremgår af databehandleraftalerne – eller i øvrigt er godkendt af den dataansvarlige. | Ingen bemærkninger |
F.3 | Ved ændringer i anvendelsen af generelt godkendte underdatabehandlere underretters den dataansvarlige rettidigt i forhold til at kunne gøre indsigelse gældende og/eller trække persondata tilbage fra databehandleren. Ved ændringer i anvendelse af specifikt godkendte underdatabehandlere er dette godkendt af den dataansvarlige. | Inspiceret, at der foreligger formaliserede procedurer for underretning til den dataansvarlige ved ændringer i anvendelse af underdatabehandlere. Inspiceret dokumentation for, at den dataansvarlige er underrettet ved ændring i anvendelse af underdatabehandlerne i erklæringsperioden. | Ingen bemærkninger |
F.4 | Databehandleren har pålagt underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er forudsat i databehandleraftalen el.lign. med den dataansvarlige. | Inspiceret, at der foreligger underskrevne underdatabehandleraftaler med anvendte underdatabehandlere, som fremgår af databehandlerens oversigt. Inspiceret ved en stikprøve på 1 underdatabehandleraftaler, at disse indeholder samme krav og forpligtelser, som er anført i databehandleraftalerne mellem de dataansvarlige og databehandleren. | Ingen bemærkninger |
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren ved opfølgning på disses tekniske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
F.5 | Databehandleren har en oversigt over godkendte underdatabehandlere med angivelse af: • Navn • CVR-nr. • Adresse • Beskrivelse af behandlingen | Inspiceret, at databehandleren har en samlet og opdateret oversigt over anvendte og godkendte underdatabehandlere. Inspiceret, at oversigten som minimum indeholder de krævede oplysninger om de enkelte underdatabehandlere. | Ingen bemærkninger |
F.6 | Databehandleren foretager, på baggrund af ajourført risikovurdering af den enkelte underdatabehandler og den aktivitet, der foregår hos denne, en løbende opfølgning herpå ved møder, inspektioner, gennemgang af revisionserklæring eller lignende. Den dataansvarlige orienteres om den opfølgning, der er foretaget hos underdatabehandleren. | Inspiceret, at der foreligger formaliserede procedurer for opfølgning på behandlingsaktiviteter hos underdatabehandlerne og overholdelse af underdatabehandleraftalerne. Inspiceret dokumentation for, at der er foretaget en risikovurdering af den enkelte underdatabehandler og den aktuelle behandlingsaktivitet hos denne. Inspiceret dokumentation for, at der er foretaget behørig opfølgning på tekniske og organisatoriske foranstaltninger, behandlingssikkerheden hos de anvendte underdatabehandlere, tredjelands overførselsgrundlag og lignende. Inspiceret dokumentation for, at information om opfølgning hos underdatabehandlere meddeles den dataansvarlige, således at denne kan tilrettelægge eventuelt tilsyn. | Ingen bemærkninger |
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene overfører personoplysninger til tredjelande eller internationale organisationer i overensstemmelse med aftalen med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
G.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren alene overfører personoplysninger til tredjelande eller internationale organisationer i overensstemmelse med aftalen med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at personoplysninger alene overføres til tredjelande eller internationale organisationer i henhold til aftale med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag. Inspiceret, at procedurerne er opdateret. | Ingen bemærkninger |
G.2 | Databehandleren må kun overføre personoplysninger til tredjelande eller internationale organisationer efter instruks fra den dataansvarlige. | Inspiceret, at databehandleren har en samlet og opdateret oversigt over overførsler af personoplysninger til tredjelande eller internationale organisationer. Inspiceret ved en stikprøve på dataoverførsler fra databehandlerens oversigt over overførsler, at der er dokumentation for, at overførslen er aftalt med den dataansvarlige i databehandleraftalen eller senere godkendt. | Ingen bemærkninger |
G.3 | Databehandleren har i forbindelse med overførsel af personoplysninger til tredjelande eller internationale organisationer vurderet og dokumenteret, at der eksisterer et gyldigt overførselsgrundlag. | Inspiceret, at der foreligger formaliserede procedurer for sikring af et gyldigt overførselsgrundlag. Inspiceret, at procedurerne er opdateret. Inspiceret ved en stikprøve på dataoverførsel fra databehandlerens oversigt over overførsler, at der er dokumentation for et gyldigt overførselsgrundlag i databehandleraftalen med den dataansvarlige, samt at der kun er sket overførsler, i det omfang dette er aftalt med den dataansvarlige. | Ingen bemærkninger |
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Der efterleves procedurer og kontroller, som sikrer, at databehandleren kan bistå den dataansvarlige med udlevering, rettelse, sletning eller begrænsning af oplysninger om behandling af personoplysninger til den registrerede. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
H.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren skal bistå den dataansvarlige i relation til de registreredes rettigheder. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer for databehandlerens bistand af den dataansvarlige i relation til de registreredes rettigheder. Inspiceret, at procedurerne er opdateret. | Ingen bemærkninger |
H.2 | Databehandleren har etableret procedurer, som i det omfang, dette er aftalt, muliggør en rettidig bistand til den dataansvarlige i relation til udlevering, rettelse, sletning eller begrænsning af og oplysning om behandling af personoplysninger til den registrerede. | Inspiceret, at de foreliggende procedurer for bistand til den dataansvarlige indeholder detaljerede procedurer for: • Udlevering af oplysninger • Rettelse af oplysninger • Sletning af oplysninger Begrænsning af behandling af • Oplysning om behandling af personoplysninger til den registrerede. Inspiceret dokumentation for, at de anvendte systemer og databaser understøtter gennemførelsen af de nævnte detaljerede procedurer. | Ingen bemærkninger |
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
I.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren skal underrette de dataansvarlige ved brud på persondatasikkerheden. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer, der indeholder krav til underretning af de dataansvarlige ved brud på persondatasikkerheden. Inspiceret, at proceduren er opdateret. | Ingen bemærkninger |
I.2 | Databehandleren har etableret følgende kontroller for identifikation af eventuelle brud på persondatasikkerheden: • Awareness hos medarbejdere • Overvågning af netværkstrafik • Opfølgning på logning af tilgang til personoplysninger | Inspiceret, at databehandler udbyder awareness- træning til medarbejderne i relation til identifikation af eventuelle brud på persondatasikkerheden. Inspiceret dokumentation for, at netværkstrafik overvåges, samt at der sker opfølgning på anormaliteter, overvågningsalarmer, overførsel af store filer mv. Inspiceret dokumentation for, at der sker rettidig opfølgning på logning af adgang til personoplysninger, herunder opfølgning på gentagne forsøg på adgang. | Ingen bemærkninger |
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Revisors udførte test | Resultat af revisors test |
I.3 | Databehandleren har ved eventuelle brud på persondatasikkerheden underrettet den dataansvarlige uden unødig forsinkelse og senest 72 timer efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en underdatabehandler. | Inspiceret, at databehandleren har en oversigt over sikkerhedshændelser med angivelse af, om den enkelte hændelse har medført brud på persondatasikkerheden. Forespurgt underdatabehandlerne, om de har konstateret nogen brud på persondatasikkerheden i erklæringsperioden Inspiceret, at databehandleren har medtaget eventuelle brud på persondatasikkerheden hos underdatabehandlere i databehandlerens oversigt over sikkerhedshændelser. Inspiceret, at samtlige registrerede brud på persondatasikkerheden hos databehandleren eller underdatabehandlerne er meddelt de berørte dataansvarlige uden unødig forsinkelse og senest 72 timer efter, at databehandleren er blevet opmærksom på brud på persondatasikkerheden. | Ingen bemærkninger |
I.4 | Databehandleren har etableret procedurer for bistand til den dataansvarlige ved dennes anmeldelse til Datatilsynet: • Karakteren af bruddet på persondatasikkerheden • Sandsynlige konsekvenser af bruddet på persondatasikkerheden • Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden. | Inspiceret, at de foreliggende procedurer for underretning af de dataansvarlige ved brud på persondatasikkerheden indeholder detaljerede procedurer for: • Beskrivelse af karakteren af bruddet på persondatasikkerheden • Beskrivelse af sandsynlige konsekvenser af bruddet på persondatasikkerheden • Beskrivelse af foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden. Inspiceret dokumentation for, at de foreliggende procedurer understøtter, at der træffes foranstaltninger for håndtering af bruddet på persondatasikkerheden. ELLER HVIS BRUD I PERIODEN Inspiceret dokumentation for, at der ved brud på persondatasikkerheden er truffet foranstaltninger, som har håndteret bruddet på persondatasikkerheden. | Ingen bemærkninger |
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
Underskrifterne i dette dokument er juridisk bindende. Dokumentet er underskrevet via Penneo™ sikker digital underskrift.
Underskrivernes identiteter er blevet registereret, og informationerne er listet herunder.
Penneo dokumentnøgle: S70H8-QVCAQ-1IYXU-POQ00-MJ35A-P7PDM
“Med min underskrift bekræfter jeg indholdet og alle datoer i dette dokument.”
Xxxx Xxxxxxx Xxxxxxxx Underskriver Serienummer: PID:9208-2002-2-750818006604 IP: 00.00.xxx.xxx 2021-12-22 15:06:29 UTC | Xxxxx Xxxxxxxx Xxxxxx Registreret revisor På vegne af: Sønderup & Partnere A/S Serienummer: CVR:27905072-RID:23218121 IP: 00.000.xxx.xxx 2021-12-22 15:14:17 UTC |
Xxxxx Xxxx Underskriver Serienummer: PID:9208-2002-2-640523389932 IP: 000.00.xxx.xxx 2021-12-22 15:58:04 UTC |
Dette dokument er underskrevet digitalt via Xxxxxx.xxx. Signeringsbeviserne i dokumentet er sikret og valideret ved anvendelse af den matematiske hashværdi af det originale dokument. Dokumentet er låst for ændringer og tidsstemplet med et certifikat fra en betroet tredjepart. Alle kryptografiske signeringsbeviser er indlejret i denne PDF, i tilfælde af de skal anvendes til validering i fremtiden.
Sådan kan du sikre, at dokumentet er originalt
Dette dokument er beskyttet med et Adobe CDS certifikat. Når du åbner dokumentet
i Adobe Reader, kan du se, at dokumentet er certificeret af Penneo e-signature ser- vice <xxxxxx@xxxxxx.xxx>. Dette er din garanti for, at indholdet af dokumentet er uændret.
Du har mulighed for at efterprøve de kryptografiske signeringsbeviser indle- jret i dokumentet ved at anvende Penneos validator på følgende websted: xxxxx://xxxxxx.xxx/xxxxxxxx