Dansk Psykologisk Forlag A/S
Dansk Psykologisk Forlag A/S
Ekstern rapport om informationssikkerhed og foran- staltninger i henhold til databehandleraftaler med Dansk Psykologisk Forlag A/S’ kunder
28. marts 2023
Indholdsfortegnelse
3
2. Eksterne auditors udtalelse
4
6
4. Kontrolmål, kontrolaktivitet, test og resultat heraf
13
1. Ledelsens udtalelse
Dansk Psykologisk Forlag A/S behandler personoplysninger på vegne af dennes kunder i henhold til indgået databehandleraftale.
Nedenstående er udarbejdet til brug for kunder, der benytter Dansk Psykologisk Forlag A/S’ ydel- ser, og skal danne grundlag for at vurdere om kravene i EU's forordning om ”Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplys- ninger” (herefter ”databeskyttelsesforordningen”) og databeskyttelsesloven er overholdt.
Dansk Psykologisk Forlag A/S bekræfter, at:
a) Den medfølgende beskrivelse af Dansk Psykologisk Forlag A/S’ behandling af personoplys- ninger, giver en retvisende beskrivelse af den behandling af personoplysninger der foreta- ges ved benyttelse af Dansk Psykologisk Forlag A/S’ ydelser.
(i) Redegør for, hvordan beskrivelsen af behandling af personoplysninger var udfor- met og implementeret
(ii) Ikke udelader eller forvansker oplysninger, der er relevante for omfanget af den beskrevne behandling af personoplysninger
b) De kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet pr. 28. marts 2023.
c) Der er etableret og opretholdt passende tekniske og organisatoriske foranstaltninger med henblik på at opfylde aftalerne med de dataansvarlige, god databehandlerskik og relevante krav til databehandlere i henhold til databeskyttelsesforordningen og databeskyttelseslo- ven.
København, den 28. marts 2023
Dansk Psykologisk Forlag A/S
Martin Förste Montag Adm. direktør
2. Eksterne auditors udtalelse
Ekstern rapport om informationssikkerhed og foranstaltninger i henhold til databehand- leraftale med Dansk Psykologisk Forlag A/S’ kunder
Omfang
Blanner Compliance ApS har fået til opgave at udarbejde en rapport og konklusion på Dansk Psy- kologisk Forlag A/S’ beskrivelse af behandlingen af personoplysninger for deres kunder i henhold til indgåede databehandleraftaler, pr. 28. marts 2023 og om udformningen og funktionen af kon- troller, der knytter sig til de kontrolmål, som er anført i afsnit 4.
Dansk Psykologisk Forlag A/S’ ansvar
Dansk Psykologisk Forlag A/S er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udta- lelse, herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelsen er præsenteret; for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene samt for at udforme, implementere og effektivt udføre kontroller for at opnå de anførte kontrolmål.
Eksterne auditors ansvar
Blanner Compliance skal på grundlag af audithandlinger udtrykke en konklusion om Dansk Psyko- logisk Forlag A/S’ beskrivelse samt om udformningen og implementeringen af kontroller, der knyt- ter sig til de kontrolmål, der er anført i afsnit 4.
Arbejdet er udført baseret på gældende standarder der kræver, at der planlægges og udføres handlinger for at opnå viden om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og implementeret.
Opgave om at udarbejde en rapport og udtrykke en konklusion om beskrivelsen, udformningen og implementeringen af kontroller hos en databehandler omfatter udførelse af handlinger for at opnå bevis for oplysningerne i databehandlerens beskrivelse af sin behandling af personoplysninger, samt for kontrollernes udformning og implementering. De valgte handlinger afhænger af den eks- terne auditors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller implementeret. Audithandlinger har om- fattet test af implementeringen af sådanne kontroller, som anses for nødvendige for at kunne ud- trykke en konklusion om at de kontrolmål, der er anført i beskrivelsen, blev opnået. Opgaven om- fatter endvidere vurdering af den samlede præsentation af beskrivelsen, egnetheden af de heri an- førte mål samt egnetheden af de kriterier, som databehandleren har specificeret og beskrevet.
Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for konklusionen.
Begrænsninger i kontroller hos en dataansvarlig
Dansk Psykologisk Forlag A/S’ beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af dataansvarlige og omfatter derfor ikke nødvendigvis alle de aspekter ved ydelsen, som hver enkelt dataansvarlig måtte anse for vigtige efter deres særlige forhold. Endvidere vil kontroller hos en databehandler som følge af deres art muligvis ikke forhindre eller opdage alle brud på persondatasikkerheden. Herudover er fremskrivningen af enhver vurdering af funktionali- teten til fremtidige perioder undergivet risikoen for, at kontroller hos en databehandler kan blive utilstrækkelige eller svigte.
Konklusion
Konklusionen er udformet på grundlag af de forhold, der er redegjort for i denne rapport. De krite- rier, der er anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i ledelsens udtalelse. Det er vores opfattelse,
(a) at beskrivelsen af behandling af personoplysninger, således som denne var udformet og implementeret pr. 28. marts 2023 i alle væsentlige henseender er retvisende, og
(b) at kontrollerne, som knytter sig til de kontrolmål, der er anført i afsnit 4, i alle væsentlige henseender var hensigtsmæssigt udformet og implementeret pr. 28. marts 2023.
Beskrivelse af test af kontroller
De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultater af disse tests fremgår i afsnit 4.
Tiltænkte brugere og formål
Denne rapport og beskrivelsen af test af kontroller i afsnit 4 er udelukkende tiltænkt dataansvar- lige, der har anvendt Dansk Psykologisk Forlag A/S’ ydelser, som har en tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kontroller, som de da- taansvarlige selv har udført, ved vurdering af, om kravene i databeskyttelsesforordningen er over- holdt.
Langå, den 28. marts 2023
Xxxxx Xxxxxxx
Partner – Blanner Compliance ApS
Cand. Merc. Aud. (Revisor)
Certified Information System Auditor (CISA) Certificeret Data Protection Officer
ISO 27001 implementation certificeret
3. Beskrivelse af behandling
Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er at databehandler stiller følgende systemer til rådighed for den dataansvarlige:
• ASQ:SE-2
• ASQ 3
• CEFi
• SEF
• Funktionsbeskrivelse
• DPU 0-6 år
• DPU – Voksne (og børn og unge)
• eSkolen
• EQi-2.0 testen
• Evald
• SK (Skriftlige Kompetencer)
• Xxxxxx.xxx.xx
• KIDS
• SEF
• STAV Online
Kategorier af personer og personoplysninger
Kategorier af personer der behandling personoplysninger på og typer af personoplysninger, der be- handles i sammenhæng med levering af systemer:
System | Typer af Personoplysninger | Kategorier af registre- rede |
ASQ:SE-2 | Testpersoner: Xxxx, køn og fødselsdato, alder, adresse, observationer af den registrerede, herunder: selvregule- ring, indvilligelse, tilpasningsevne, autonomi, affekt, so- cial kommunikation og interaktion med andre. Kontaktpersoner og testadministratorer: Xxxx, e-mail og telefonnummer | Testpersoner: Xxxx xxx- lem 2 til 60 måneder. Kontaktpersoner: Foræl- dre eller andre omsorgs- personer Testadministratorer: Forældre eller andre omsorgspersoner, samt fagpersoner |
ASQ 3 | Testpersoner: Navn, køn og fødselsdato, alder, adresse, observationer af kommunikation, grovmotorik, finmoto- rik, problemløsning, personligt/socialt og potentielle be- kymringsområder. Kontaktpersoner og testadministratorer: Xxxx, e-mail og telefonnummer | Testpersoner: Xxxx xxx- lem 1 måned til 5½ år. Kontaktpersoner og ob- servatører: Forældre el- ler andre omsorgsperso- ner Testadministratorer: fagpersoner |
CEFi | Testpersoner: Navn, køn og fødselsdato, alder, adresse, observationer om opmærksomhed, fleksibilitet, plan- lægning og arbejdshukommelse, samt vurderinger om svarmønstret er urealistisk positivt eller urealistisk ne- gativt. | Testpersoner: Xxxx og unge op til 18 år. Testadministratorer og kontaktpersoner: Foræl- dre og lærere. |
Kontaktpersoner og testadministratorer: Xxxx, e-mail og telefonnummer. | ||
SEF | Testpersoner: Navn, køn, alder, klassetrin og e-mail. Dertil behandles følgende følsomme personoplysninger behandles: Modersmål og diagnose Følgende personoplysninger behandles om testadmini- stratorer: Xxxx og e-mail. | aTestpersoner: Xxxx og unge i alderen 9-18 år. Testadministratorer: Fagpersoner med tester- faring bl.a. audiologo- pæder, talehørekonsu- lenter, psykologer og kandidater i pædagogisk psykologi. |
Funktions- beskri- velse | Navn, e-mail, køn og fødselsdato, alder, CPR-nummer, testresultatet på baggrund af følgende vurderingsmo- menter: Energi, opmærksomhed, hukommelse og ind- læring, styring og samvær med andre, faglige kundska- ber i dansk, matematik og motorik. | Testpersoner: Unge og voksne. |
DPU 0-6 år | Testpersoner: Navn, køn, alder og observationer af bar- nets opmærksomhed, hukommelse, leg og aktiviteter, sprog og kommunikative kompetencer, sociale kompe- tencer, selvregulering, grovmotorik, finmotorik, samt færdigheder i dagligdagen. Kontaktpersoner og testadministratorer: Xxxx, e-mail og telefonnummer. | Testpersoner: Vugge- stuebørn og børnehave- børn i alderen 0-6 år. Testadministrator: Dag- institutionens ansatte og PPR-ansatte. Kontaktpersoner: Foræl- dre eller andre omsorgs- personer. |
DPU - Voksne | Testpersoner: Navn, køn, alder og e-mail. Observatio- ner af den registreredes opmærksomhed, hukommelse, sprog og kommunikative kompetencer, sociale kompe- tencer, selvregulering, grovmotorik, finmotorik, samt færdigheder og aktiviteter i dagligdagen. Følsomme oplysninger: Modersmål og etnicitet, samt helbredsoplysninger: Særlig den registreredes nedsatte fysiske eller psykiske funktionsevne. Kontaktpersoner og testadministratorer: Xxxx, e-mail og telefonnummer. | Testpersoner: Beboere på botilbud og brugere af dagtilbud for voksne (muligvis også børn og unge) med nedsat fysisk eller psykisk funktions- evne. Testadministratorer: An- satte på bo- og dagtil- bud, PPR-ansatte og fagfolk. Kontaktpersoner: Foræl- dre, andre omsorgsper- soner eller person med værgemål. |
eSkolen | Skolens elever: Navn og eventuelt resultater fra andre produkter | Skolens ansatte Skolens elever |
Skolens ansatte: Navn og stillingsbetegnelse. Ved adressebeskyttelse vil navn ligeledes fremgå som nav- nebeskyttet. | ||
EQi-2.0 testen | Navn og e-mail | Den dataansvarliges an- satte |
Xxxxx | Xxxxxxxxxxxxxxxx behandling vil primært dreje sig om at stille onlineversionen af Xxxxx til rådighed for den da- taansvarlige på hjemmesiden xxxxx.xxx.xx. | Databehandleren be- handler personoplysnin- ger, som hentes via UNI-logins webservice ws17’s mellempakke. |
SK | Testpersoner: Xxxx, køn og fødselsdato, alder, adresse, observationer af den registrerede, herunder: selvregule- ring, indvilligelse, tilpasningsevne, autonomi, affekt, so- cial kommunikation og interaktion med andre. Kontaktpersoner og testadministratorer: Xxxx, e-mail og telefonnummer. | Testpersoner: Xxxx xxx- lem 2 til 60 måneder. Kontaktpersoner: Foræl- dre eller andre omsorgs- personer. Testadministratorer: Forældre eller andre omsorgspersoner, samt fagpersoner. |
On- xxxx.xxx.xx | Behandlingen af typen af personoplysninger vil afhænge af produktet. Der henvises til de enkelte bilag for disse produkter i databehandleraftalen med kunder. | Behandlingen af katego- rien af registrerede vil afhænge af produktet. Der henvises til de en- kelte bilag for disse pro- dukter i databehandler- aftalen med kunder. |
KIDS | Brugernavn | Informanter |
SEF | Testpersoner: Navn, køn, alder, klassetrin og e-mail. Følsomme personoplysninger: Modersmål og diagnose. Testadministratorer: Navn og e-mail | Testpersoner: Xxxx og unge i alderen 9-18 år. Testadministratorer: Fagpersoner med tester- faring bl.a. audiologo- pæder, talehørekonsu- lenter, psykologer og kandidater i pædagogisk psykologi. |
STAV On- line | Databehandleren behandler personoplysninger, som hentes via UNI-logins webservice ws17’s mellempakke. Følgende personoplysninger behandles: Elevnavne, stilling og køn, samt faglige kundskaber. Ved adressebeskyttelse vil navn ligeledes fremgå som navnebeskyttet. | Brugere: Elever på klas- setrin 1.-8. klasse og skolens ansatte. |
Praktiske tiltag og kontrolforanstaltninger
Teknisk sikkerhed | Beskrivelse |
Antivirus | Alle enheder i Dansk Psykologisk Forlag, samt eksterne konsulenters enheder er forsynet med antivirus. Enhederne bliver automatisk opdateret og vedligeholdt. |
Firewall | Enhver adgang er sikret igennem en firewall, som løbende bliver vedligeholdt. Administrativ adgang er begrænset til bestemte IP-adresser for de enkelte brugere. Der er installeret firewalls, som løbende bliver opdateret til den nyeste version for at lukke for sårbarheder. Overvågning af sårbarhed er indbygget i databehandlerens software. Switche bliver opdateret sammen med firewalls og indgår i denne overvågning. |
Netværkssegmentering | Alle netværk er segmenteret. Segmenteringen sker således både i forbindelse med hosting-netværket for databasen med tests mv., og i forbindelse med databehandlerens kon- tornetværk. |
Brugeradgang | Alle systemer er opdelt på brugerniveau. Der er tilknyttet adgangsbegrænsninger på de forskellige brugerniveauer. |
Systemovervågning | Der er overvågning på alle systemer, hvor der behandles personoplysninger. Der foretages logning af alle aktiviteter i Microsoft Office365 i en periode på 180 dage. |
Kryptering ved transmission via web og mail | Der anvendes webkryptering https:// med gyldigt certifikat TLS 1048-bit på de online platforme, som stilles til rådighed af databehandleren. Hvis der i forbindelse med en særskilt instruks eller sup- portcase sendes personoplysninger uden for platformene, sker der som minimum med TLS 1.2-kryptering. Sendes der personoplysninger, som efter en konkret vurde- ring kræver yderligere sikkerhedsforanstaltninger end TLS 1.2, sker dette med IRM-beskyttet mail. Alle medarbejdernes daglige arbejde foregår via VPN. |
Logning | Logning foretages på login, som opbevares løbende i 180 dage. Derudover foretages der på STAV, SK og SEF fejllog- ning, dvs. hvis systemet fejler. Da det ikke er muligt at manipulere data, foretages der ikke yderligere logning på produktplatformene. |
Logbeskyttelse | Der er logbeskyttelse i form af, at man skal have en ad- gang til logdatabasen, hvilket kun få personer har. Loggen bliver løbende gennemgået. |
Testmiljø | Alt data der benyttes i eventuelle testmiljøer, er fuldt ano- nymiseret og vil ikke udgøre personoplysninger tilhørende den datansvarlige. Implementeringen af evt. udviklingsmoduler sker direkte på produktionsserveren hos databehandleren. |
Sårbarhedstest | Hosting-leverandøren foretager løbende test. |
Opdateringer, patches, mv. | Ændringer til systemer, databaser og netværk følger fast- lagte procedurer, som sikrer vedligeholdelse med relevante opdateringer og patches, herunder sikkerhedspatches. |
Forretningsgang for brugeradgang | Alle brugeradgange tildeles ud fra et arbejdsbetinget be- hov. Dette er en fast procedure ved on- og off-boarding af medarbejdere og underleverandører og opdelt i henhold til den opgave, som den enkelte bruger skal varetage. |
To-faktor-adgang | Der er implementeret to-faktor-adgang på de systemer hvor det vurderes passende. |
Fysisk sikkerhed | Beskrivelse |
Adgangsforhold | I arbejdstiden sker adgangen til kontoret først gennem en port, som er åben indenfor almindelig kontortid (porten er aflåst om natten og almindeligvis på helligdage), og der- næst gennem en opgangsdør som altid er aflåst. Døren åbnes enten med nøgle eller nøglebrik. Adgangsdø- ren til kontorlejemålet er aflåst med en systemnøgle og sik- ret med et moderne alarmanlæg med videoovervågning, der aktiveres udenfor åbningstiden. Hvis alarmen aktiveres, sendes der besked til alarm-selskabet, samt en SMS til den ansvarlige på forlaget. I forlagets åbningstid er døren ulåst, således ansatte og be- søgende har fri adgang til kontorlejemålet. Receptionen, som altid er bemandet med én til to medarbejdere, er pla- ceret ved indgangen til kontorlejemålet, hvorfor ingen be- søgende kan træde ubemærket ind på forlaget. Forlagets ansatte har nøgler og kodebrik til alle døre. Udover alle ansatte har forlagets rengøringsfirma også ad- gang til kontoret uden for åbningstiden. Alle ansatte er instrueret i, at fortrolige og følsomme per- sondata altid skal opbevares utilgængeligt for uvedkom- mende. Udover Dansk Psykologisk Forlag huser ejendommen også andre selskaber, der driver erhvervsvirksomhed inden for liberale erhverv. |
Organisatorisk sikkerhed | Beskrivelse |
Informationssikkerhedspolitik | DPF har udarbejdet en it-sikkerhedspolitik der bl.a. indehol- der en beskrivelse af korrekt databehandling. Sikkerhedspolitikken er dels udleveret og dels overdraget gennem oplæring til alle ansatte. |
Medarbejdertillid | Der er en generel procedure for efterprøvning af medarbej- dere i forbindelse med ansættelse. |
Fortrolighed | Alle databehandlerens medarbejdere er dækket af en tavs- hedspligts- og fortrolighedserklæring. Det samme gælder hos underleverandører. |
Fratrædelsesprocedurer | Fratræder en ansat overleveres data til en kollega, som har autoritet til at varetage disse i en overgangsfase. Den an- sattes adgang til terminalserven lukkes straks efter fratræ- delsen, hvilket håndteres i samarbejde med alle relevante aktører. |
Awareness-træning | Alle medarbejdere hos databehandleren har fået udtrykke- lig instruks angående opbevaring, behandling, sletning og sikkerhed vedrørende behandling af personoplysninger. Instruksen opdateres løbende. Der afholdes endvidere løbende seminar om relevante da- tabeskyttelsesretlige aspekter. |
Der henvises i øvrigt til afsnit 4, hvor de konkrete kontrolaktiviteter er beskrevet.
Risikovurdering
For behandlingsaktiviteter der foretages for kunder, er der lavet en vurdering af sandsynligheden for at der sker tab af fortrolighed (uvedkommende får adgang til oplysningerne), integritet (oplys- ningerne er ikke korrekt) eller tilgængelighed (oplysninger mistes). I denne vurdering er der taget udgangspunkt i trusler og i de foranstaltninger der er implementeret for at beskytte oplysninger- nes fortrolighed, integritet og tilgængelighed.
Dernæst er konsekvensen for de registrerede blevet vurderet. Denne vurdering tager udgangs- punkt i hvad konsekvensen for den registrerede er hvis der sker tab af fortrolige, integritet eller tilgængeligheden af oplysningerne. Vurdering er baseret på om oplysningerne er almindelige, for- trolige eller følsomme og de eventuelle indirekte konsekvenser med hensyn til typen af datasæt- tet. Desto større sandsynlighed for at oplysningernes tab af fortrolighed, integritet eller tilgænge- lighed kan føre til materiel eller immateriel skade for den registreredes, desto større er konsekven- sen.
Baseret på vurderingen af sandsynligheden og konsekvensen ved behandlingsaktiviteten er der udregnet en risiko rating. Hvis denne rating vurderes til høj bliver der implementeret passende sik- kerhedsforanstaltninger til at sænke risikoen.
Komplementerende kontroller hos de dataansvarlige
Den dataansvarlige har følgende forpligtelser:
• at sikre sig, at personoplysningerne er ajourførte
• at sikre sig, at instruksen er lovlig set i forhold til den til enhver tid gældende persondata- retlige regulering
• at instruksen er hensigtsmæssig set i forhold til denne databehandleraftale og hovedydel- sen.
• at sikre sig, at den dataansvarliges brugere er ajourførte
4. Kontrolmål, kontrolaktivitet, test og resultat heraf
Kontrolmål A Der efterleves procedurer og kontroller, som sikrer, at instruks vedrørende behandling af personoplysninger efterleves i overensstem- melse med den indgåede databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
A.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der alene må foretages behandling af per- sonoplysninger, når der foreligger en instruks. Der foretages løbende – og mindst en gang årligt – vur- dering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at behandling af per- sonoplysninger alene foregår i henhold til instruks. Inspiceret, at procedurerne indeholder krav om minimum årlig vurdering af behov for opdatering, herunder ved ændringer i data- ansvarliges instruks eller ændringer i data- behandlingen. Inspiceret, at procedurer er opdateret. | Ingen afvigelser konstateret |
A.2 | Databehandler udfører alene den behandling af person- oplysninger, som fremgår af instruks fra dataansvarlig. | Inspiceret at behandlinger af personoplys- ninger, foregår i overensstemmelse med in- struks. | Ingen afvigelser konstateret |
A.3 | Databehandleren underretter omgående den dataan- svarlige, hvis en instruks efter databehandlerens me- ning er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. | Inspiceret, at der er procedurer for under- retning af den dataansvarlige i tilfælde, hvor behandling af personoplysninger vur- deres at være i strid med lovgivningen. Inspiceret, at den dataansvarlige er under- rettet i tilfælde, hvor behandlingen af per- sonoplysninger er vurderet i strid med lov- givningen. | Ingen afvigelser konstateret Der har ikke været behov for under- retning af dataansvarlig. |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af rele- vant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
B.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der etableres aftalte sikringsforanstaltnin- ger for behandling af personoplysninger i overensstem- melse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vur- dering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at der etableres de aftalte sikkerhedsforanstaltninger. Inspiceret, at procedurer er opdateret. Inspiceret, at der er etableret sikkerheds- foranstaltninger der, som minimum, lever op til den databehandleraftale, der indehol- der de højeste krav til sikkerhed. | Ingen afvigelser konstateret |
B.2 | Databehandleren har foretaget en risikovurdering og på baggrund heraf implementeret de tekniske foranstalt- ninger, der er vurderet relevante for at opnå en pas- sende sikkerhed, herunder etableret de med dataan- svarlige aftalte sikringsforanstaltninger. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at databehandler fo- retager en risikovurdering for at opnå en passende sikkerhed. Inspiceret, at den foretagne risikovurdering er opdateret og omfatter den aktuelle be- handling af personoplysninger. Inspiceret, at databehandler har implemen- teret de tekniske foranstaltninger, som sik- rer en passende sikkerhed i overensstem- melse med risikovurderingen. Inspiceret, at databehandler har implemen- teret de sikringsforanstaltninger, der er af- talt med de dataansvarlige. | Ingen afvigelser konstateret |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af rele- vant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
B.3 | Der er for de systemer og databaser, der anvendes til behandling af personoplysninger, installeret antivirus, som løbende opdateres. | Inspiceret, at der for de systemer og data- baser, der anvendes til behandling af per- sonoplysninger, er installeret antivirus soft- ware. Inspiceret, at antivirus software er opdate- ret. | Ingen afvigelser konstateret |
B.4 | Ekstern adgang til systemer og databaser, der anven- des til behandling af personoplysninger, sker gennem sikret firewall. | Inspiceret, at ekstern adgang til systemer og databaser, der anvendes til behandling af personoplysninger, alene sker gennem en firewall. Inspiceret, at firewall er passende konfigu- rere. | Ingen afvigelser konstateret |
B.5 | Adgang til personoplysninger er isoleret til brugere med arbejdsbetinget behov herfor. | Inspiceret, at der foreligger formaliserede procedurer for begrænsning af brugeres ad- gang til personoplysninger. Inspiceret, at der foreligger formaliserede procedurer for opfølgning på, at brugeres adgang til personoplysninger er i overens- stemmelse med deres arbejdsbetingede be- hov. Inspiceret, at de aftalte tekniske foranstalt- ninger understøtter opretholdelsen af | Ingen afvigelser konstateret |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af rele- vant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
begrænsningen i brugernes arbejdsbetin- gede adgang til personoplysninger. Inspiceret, at adgange til systemer og data- baser, er begrænset til medarbejdernes ar- bejdsbetingede behov. | |||
B.6 | Der er for de systemer og databaser, der anvendes til behandling af personoplysninger, etableret systemover- vågning med alarmering. Overvågningen omfatter: • at alle enheder er online • disk belastning | Inspiceret, at der for systemer og databa- ser, der anvendes til behandling af person- oplysning, er etableret systemovervågning med alarmering. | Ingen afvigelser konstateret |
B.7 | Der anvendes effektiv kryptering ved transmission af fortrolige og følsomme personoplysninger via internet- tet. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at transmission af følsomme og fortrolige oplysninger over in- ternettet er beskyttet af stærk kryptering baseret på en anerkendt algoritme. Inspiceret, at der anvendes kryptering af transmissioner af følsomme og fortrolige personoplysninger via internettet. Forespurgt, om der har været ukrypterede transmissioner af følsomme og fortrolige personoplysninger i det seneste år, samt om de dataansvarlige er behørigt orienteret herom. | Ingen afvigelser konstateret Ledelsen oplyser at der ikke har været ikke-krypterede transmissioner af føl- somme eller fortrolige personoplysnin- ger. |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af rele- vant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
B.8 | Der er etableret logning i systemer, databaser og net- værk af følgende forhold: • Fejlede og succesfulde login fra brugere • Fejllogning på STAV, SK og SEF systemerne | Inspiceret, at der foreligger formaliserede procedurer for opsætning af logning i syste- mer og databaser, der anvendes til behand- ling og transmission af personoplysninger, herunder gennemgang og opfølgning på logs. Inspiceret, at logning i systemer, databaser og netværk, der anvendes til behandling og transmission af personoplysninger, er konfi- gureret og aktiveret. Inspiceret, at opsamlede oplysninger om brugeraktivitet i logs er beskyttet mod ma- nipulation og sletning. | Ingen afvigelser konstateret |
B.9 | Det sikres at relevante opdatering og patches, herunder sikkerhedspatches, bliver installeret. | Inspiceret, at der foreligger formaliserede procedurer for håndtering af patches og sik- kerhedspatches. | Ingen afvigelser konstateret |
B.10 | Der er formaliseret forretningsgang for tildeling og af- brydelse af brugeradgange til personoplysninger. Bru- geres adgang revurderes regelmæssigt, herunder at rettigheder fortsat kan begrundes i et arbejdsbetinget behov. | Inspiceret, at der foreligger formaliserede procedurer for tildeling og afbrydelse af brugernes adgang til systemer og databa- ser, som anvendes til behandling af person- oplysninger. | Ingen afvigelser konstateret |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af rele- vant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
Inspiceret, at medarbejderes adgange er til- delte brugeradgange efter arbejdsbetinget behov. Inspiceret at de 12 ny medarbejdere der er ansat indenfor det seneste år, har passende adgange iht dennes jobfunktion. Inspiceret at de 7 fratrådt medarbejder der har været det seneste år har fået deaktive- ret deres adgange. Inspiceret, at der foreligger dokumentation for regelmæssig - mindst en gang årligt – vurdering og godkendelse af tildelte bruger- adgange. | |||
B.11 | Adgange til systemer og databaser, hvori der sker be- handling af personoplysninger er sikret med passende adgangskrav, herunder sikre passwords eller to-faktor autentikation. | Inspiceret, at der foreligger formaliserede procedurer for adgangskrav, herunder sikre passwords eller to-faktor autentikation. | Ingen afvigelser konstateret |
B.12 | Der er etableret fysisk adgangssikkerhed, således at kun autoriserede personer kan opnå fysisk adgang til lokaler og datacentre, hvori der opbevares og behand- les personoplysninger. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at kun autoriserede personer kan opnå fysisk adgang til lokaler og datacentre, hvori der opbevares og be- handles personoplysninger. | Ingen afvigelser konstateret Datacentret er placeret hos underda- tabehandler. Dansk Psykologisk Forlag |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af rele- vant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
Inspiceret dokumentation for, at kun autori- serede personer har haft fysisk adgang til lokaler og datacentre, hvori der opbevares og behandles personoplysninger. | har indhentet og gennemgået ISAE 3402 på hosting leverandør. | ||
B.13 | Interne netværk er segmenteret for at sikre begrænset adgang til systemer og databaser, der anvendes til be- handling af personoplysninger. | Forespurgt, om interne netværk er segmen- teret med henblik på at sikre begrænset ad- gang til systemer og databaser, der anven- des til behandling af personoplysninger. | Ingen afvigelser konstateret |
Kontrolmål C Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organisatoriske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
C.1 | Databehandlerens ledelse har godkendt en skriftlig in- formationssikkerhedspolitik, som er kommunikeret til alle relevante interessenter, herunder databehandle- rens medarbejdere. It-sikkerhedspolitikken tager ud- gangspunkt i den gennemførte risikovurdering. Der foretages løbende – og mindst en gang årligt – vur- dering af, om it-sikkerhedspolitikken skal opdateres. | Inspiceret, at der foreligger en informati- onssikkerhedspolitik, som ledelsen har be- handlet og godkendt inden for det seneste år. Inspiceret dokumentation for, at informati- onssikkerhedspolitikken er kommunikeret til relevante interessenter, herunder databe- handlerens medarbejdere. | Ingen afvigelser konstateret |
C.2 | Databehandlerens ledelse har sikret, at informationssik- kerhedspolitikken ikke er i modstrid med indgåede da- tabehandleraftaler. | Inspiceret dokumentation for ledelsens vur- dering af, at informationssikkerhedspolitik- ken generelt lever op til kravene om sik- ringsforanstaltninger og behandlingssikker- heden i indgåede databehandleraftaler. Inspiceret, at kravene i den databehandler- aftale der har de højeste krav til sikkerhed, som minimum, er dækket af informations- sikkerhedspolitikkens krav til sikringsforan- staltninger og behandlingssikkerheden. | Ingen afvigelser konstateret |
C.3 | Der udføres en efterprøvning af databehandlerens med- arbejdere i forbindelse med ansættelse. Efterprøvnin- gen omfatter i relevant omfang: • Referencer fra tidligere ansættelser • Eksamensbeviser | Inspiceret, at der foreligger formaliserede procedurer, der sikrer efterprøvning af da- tabehandlerens medarbejdere i forbindelse med ansættelse. | Ingen afvigelser konstateret |
Kontrolmål C Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organisatoriske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
Inspiceret, at der er dokumentation for, at efterprøvningen af medarbejdere har om- fattet: • Referencer fra tidligere ansættelser • Eksamensbeviser | |||
C.4 | Ved ansættelse underskriver medarbejdere en fortrolig- hedsaftale. Endvidere bliver medarbejderen introduce- ret til informationssikkerhedspolitik og procedurer ved- rørende databehandling samt anden relevant informa- tion i forbindelse med medarbejderens behandling af personoplysninger. | Inspiceret, at medarbejdere har underskre- vet en fortrolighedsaftale. Inspiceret, at medarbejdere er blevet intro- duceret til: • Informationssikkerhedspolitikken • Intern persondatapolitik • Instruks til medarbejdere | Ingen afvigelser konstateret |
C.5 | Ved fratrædelse er der hos databehandleren implemen- teret en proces, som sikrer, at brugerens rettigheder bliver inaktive eller ophører, herunder at aktiver inddra- ges. | Inspiceret procedurer, der sikrer, at fra- trådte medarbejderes rettigheder inaktive- res eller ophører ved fratrædelse, og at ak- tiver som adgangskort, pc, mobiltelefon etc. inddrages Inspiceret at de 7 fratrådt medarbejder, har fået deres rettigheder inaktiveret, samt fo- respurgt på at aktiver er inddraget. | Ingen afvigelser konstateret |
Kontrolmål C Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organisatoriske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
C.6 | Ved fratrædelse orienteres medarbejderen om, at den underskrevne fortrolighedsaftale fortsat er gældende, samt at medarbejderen er underlagt en generel tavs- hedspligt i relation til behandling af personoplysninger, databehandleren udfører for de dataansvarlige. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at fratrådte medar- bejdere gøres opmærksom på opretholdelse af fortrolighedsaftalen og generel tavsheds- pligt. Inspiceret, at medarbejderne, ved fratræ- delse, bliver oplyst om at fortrolighedsaft- alen stadig er gældende. | Ingen afvigelser konstateret |
C.7 | Der gennemføres løbende awareness-træning af data- behandlerens medarbejdere i relation til it-sikkerhed generelt samt behandlingssikkerhed i relation til per- sonoplysninger. | Inspiceret, at databehandleren udfører awareness-træning af medarbejderne om- fattende generel it-sikkerhed og behand- lingssikkerhed i relation til personoplysnin- ger. | Ingen afvigelser konstateret |
Kontrolmål D Der efterleves procedurer og kontroller, som sikrer, at personoplysninger kan slettes eller tilbageleveres såfremt der indgås aftale herom med den dataansvarlige. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
D.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der foretages opbevaring og sletning af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vur- dering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer for opbevaring og sletning af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Inspiceret, at procedurerne er opdateret. | Ingen afvigelser konstateret |
D.2 | Der er aftalt følgende specifikke krav til databehandle- rens opbevaringsperioder og sletterutiner: - Ved ophør af tjenesterne vedrørende behand- ling af personoplysninger, er databehandleren forpligtet til at slette alle personoplysninger, der er blevet behandlet på vegne af den data- ansvarlige inden 3 måneder efter Hovedaftalens ophør og bekræfte over for den dataansvarlig, at oplysningerne er slettet, eller tilbagelevere alle personoplysningerne og slette eksisterende kopier, medmindre EU-retten eller medlemssta- ternes nationale ret foreskriver opbevaring af personoplysningerne. - Databehandleren forpligter sig til alene at be- handle personoplysningerne til de(t) formål, i den periode og under de betingelser, som disse regler foreskriver. | Inspiceret, at de foreliggende procedurer for opbevaring og sletning indeholder de specifikke krav til databehandlerens opbe- varingsperioder og sletterutiner. Inspiceret, at sletning på ophørte aftaler er foretaget efter aftale med kunden. Inspiceret, at der for ophørte databehand- linger er dokumentation for, at den aftalte sletning eller tilbagelevering af data er ud- ført. | Ingen afvigelser konstateret Der har ikke været ophør af aftaler. |
Kontrolmål D Der efterleves procedurer og kontroller, som sikrer, at personoplysninger kan slettes eller tilbageleveres såfremt der indgås aftale herom med den dataansvarlige. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
D.3 | Ved ophør af behandling af personoplysninger for den dataansvarlige er data i henhold til aftalen med den da- taansvarlige: • Tilbageleveret til den dataansvarlige og/eller • Slettet, hvor det ikke er i modstrid med anden lovgivning. | Inspiceret, at der foreligger formaliserede procedurer for behandling af den dataan- svarliges data ved ophør af behandling af personoplysninger. Inspiceret, at der for ophørte databehand- linger er dokumentation for, at den aftalte sletning eller tilbagelevering af data er ud- ført. | Ingen afvigelser konstateret |
Kontrolmål E Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene opbevarer personoplysninger i overensstemmelse med aftalen med den dataansvarlige. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
E.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der alene foretages opbevaring af person- oplysninger i overensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vur- dering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer for, at der alene foretages opbe- varing og behandling af personoplysninger i henhold til databehandleraftalerne. Inspiceret, at procedurerne er opdateret. Inspiceret, at der er dokumentation for, at databehandlingen sker i henhold til databe- handleraftalen. | Ingen afvigelser konstateret |
E.2 | Databehandlerens databehandling inklusive opbevaring må kun finde sted på de af den dataansvarlige god- kendte lokaliteter, lande eller landområder. | Inspiceret, at databehandleren har en sam- let og opdateret oversigt over behandlings- aktiviteter med angivelse af lokaliteter, lande eller landområder. Inspiceret, at der er dokumentation for, at databehandlingen, herunder opbevaring af personoplysninger, alene foretages på de lokaliteter, der fremgår af databehandleraf- talen – eller i øvrigt er godkendt af den da- taansvarlige. | Ingen afvigelser konstateret Der er ingen indikation af at databe- handling foretages på andre lokatio- ner end Dansk Psykologisk Forlag’s hovedkontor, samt godkendte under- databehandlere. |
Kontrolmål F Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren ved opfølgning på disses tekniske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
F.1 | Der foreligger skriftlige procedurer, som indeholder krav til databehandleren ved anvendelse af underdata- behandlere, herunder krav om underdatabehandlerafta- ler og instruks. Der foretages løbende – og mindst en gang årligt – vur- dering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer for anvendelse af underdatabe- handlere, herunder krav om underdatabe- handleraftaler og instruks. Inspiceret, at procedurerne er opdateret. | Ingen afvigelser konstateret |
F.2 | Databehandleren anvender alene underdatabehandlere til behandling af personoplysninger, der er specifikt el- ler generelt godkendt af den dataansvarlige. | Inspiceret, at databehandleren har en sam- let og opdateret oversigt over anvendte un- derdatabehandlere. Inspiceret, at der er dokumentation for, at underdatabehandlerens databehandling fremgår af databehandleraftalerne – eller i øvrigt er godkendt af den dataansvarlige. | Ingen afvigelser konstateret |
F.3 | Ved ændringer i anvendelsen af generelt godkendte un- derdatabehandlere underretters den dataansvarlige ret- tidigt i forhold til at kunne gøre indsigelse gældende og/eller trække persondata tilbage fra databehandle- ren. Ved ændringer i anvendelse af specifikt godkendte underdatabehandlere er dette godkendt af den dataan- svarlige. | Inspiceret, at der foreligger formaliserede procedurer for underretning til den dataan- svarlige ved ændringer i anvendelse af un- derdatabehandlere. Inspiceret dokumentation for, at den data- ansvarlige er underrettet ved ændring i an- vendelse af underdatabehandlere. | Ingen afvigelser konstateret Der har ikke været ændringer til un- derdatabehandlere det seneste år. |
Kontrolmål F Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren ved opfølgning på disses tekniske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
F.4 | Databehandleren har pålagt underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er forudsat i databehandleraftalen el.lign. med den data- ansvarlige. | Inspiceret, at der foreligger underskrevne underdatabehandleraftaler med anvendte underdatabehandlere, som fremgår af data- behandlerens oversigt. Inspiceret, at underdatabehandleraftaler in- deholder samme krav og forpligtelser, som er anført i databehandleraftalerne mellem de dataansvarlige og databehandleren. | Ingen afvigelser konstateret |
F.5 | Databehandleren har en oversigt over godkendte un- derdatabehandlere med angivelse af: • Navn • CVR-nr. • Adresse • Beskrivelse af behandlingen | Inspiceret, at databehandleren har en sam- let og opdateret oversigt over anvendte og godkendte underdatabehandlere. Inspiceret, at oversigten som minimum in- deholder de krævede oplysninger om de en- kelte underdatabehandlere. | Ingen afvigelser konstateret |
F.6 | Databehandleren foretager, på baggrund af ajourført ri- sikovurdering af den enkelte underdatabehandler og den aktivitet, der foregår hos denne, en løbende op- følgning herpå ved møder, inspektioner, gennemgang af revisionserklæring eller lignende. Den dataansvarlige orienteres om den opfølgning, der er foretaget hos un- derdatabehandleren. | Inspiceret, at der foreligger formaliserede procedurer for opfølgning på behandlings- aktiviteter hos underdatabehandlerne og overholdelse af underdatabehandlerafta- lerne. Inspiceret dokumentation for, at der er fo- retaget en risikovurdering af den enkelte underdatabehandler og den aktuelle be- handlingsaktivitet hos denne. | Ingen afvigelser konstateret |
Kontrolmål F Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren ved opfølgning på disses tekniske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
Inspiceret dokumentation for, at der er fo- retaget behørig opfølgning på tekniske og organisatoriske foranstaltninger, behand- lingssikkerheden hos de anvendte underda- tabehandlere, tredjelands overførselsgrund- lag og lignende. | |||
Kontrolmål G Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene overfører personoplysninger til tredjelande eller interna- tionale organisationer i overensstemmelse med aftalen med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
G.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren alene overfører personop- lysninger til tredjelande eller internationale organisatio- ner i overensstemmelse med aftalen med den dataan- svarlige på baggrund af et gyldigt overførselsgrundlag. Der foretages løbende – og mindst en gang årligt – vur- dering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer, der sikrer, at personoplysninger alene overføres til tredjelande eller interna- tionale organisationer i henhold til aftale med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag. Inspiceret, at procedurerne er opdateret. | Ingen afvigelser konstateret |
G.2 | Databehandleren må kun overføre personoplysninger til tredjelande eller internationale organisationer efter in- struks fra den dataansvarlige. | Inspiceret, at databehandleren har en sam- let og opdateret oversigt over overførsler af personoplysninger til tredjelande eller inter- nationale organisationer. | Ingen afvigelser konstateret |
G.3 | Databehandleren har i forbindelse med overførsel af personoplysninger til tredjelande eller internationale or- ganisationer vurderet og dokumenteret, at der eksiste- rer et gyldigt overførselsgrundlag. | Inspiceret, at der foreligger formaliserede procedurer for sikring af et gyldigt overfør- selsgrundlag. Inspiceret, at procedurerne er opdateret. Inspiceret ved, at der er dokumentation for et gyldigt overførselsgrundlag ved overførs- ler til usikre tredjelande, samt at der er ud- ført en transfer impact assessment (TIA). | Ingen afvigelser konstateret |
Kontrolmål H Der efterleves procedurer og kontroller, som sikrer, at databehandleren kan bistå den dataansvarlige med udlevering, rettelse, sletning eller begrænsning af oplysninger om behandling af personoplysninger til den registrerede. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
H.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren skal bistå den dataan- svarlige i relation til de registreredes rettigheder. Der foretages løbende – og mindst en gang årligt – vur- dering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer for databehandlerens bistand af den dataansvarlige i relation til de registre- redes rettigheder. Inspiceret, at procedurerne er opdateret. | Ingen afvigelser konstateret |
H.2 | Databehandleren har etableret procedurer, som i det omfang, dette er aftalt, muliggør en rettidig bistand til den dataansvarlige i relation til udlevering, rettelse, sletning eller begrænsning af og oplysning om behand- ling af personoplysninger til den registrerede. | Inspiceret, at de foreliggende procedurer for bistand til den dataansvarlige indeholder detaljerede procedurer for: • Udlevering af oplysninger • Rettelse af oplysninger • Sletning af oplysninger • Begrænsning af behandling af per- sonoplysninger • Oplysning om behandling af per- sonoplysninger til den registrerede. Inspiceret dokumentation for, at de an- vendte systemer og databaser understøtter gennemførelsen af de nævnte detaljerede procedurer. | Ingen afvigelser konstateret |
Kontrolmål I Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
I.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren skal underrette de data- ansvarlige ved brud på persondatasikkerheden. Der foretages løbende – og mindst en gang årligt – vur- dering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede procedurer, der indeholder krav til under- retning af de dataansvarlige ved brud på persondatasikkerheden. Inspiceret, at proceduren er opdateret. | Ingen afvigelser konstateret |
I.2 | Databehandleren har etableret følgende kontroller for identifikation af eventuelle brud på persondatasikkerhe- den: • Awareness hos medarbejdere • Overvågning af servere • Logning af brugeraktivitet | Inspiceret, at databehandle awareness- træner medarbejderne i relation til identifi- kation af eventuelle brud på persondatasik- kerheden. Inspiceret dokumentation for, at servere overvåges, samt at der sker opfølgning på overvågningsalarmer. Inspiceret at der sker logning af brugerakti- viteter. | Ingen afvigelser konstateret |
I.3 | Databehandleren har ved eventuelle brud på personda- tasikkerheden underrettet den dataansvarlige uden unødig forsinkelse efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos data- behandleren eller en underdatabehandler. | Inspiceret, at databehandleren har en over- sigt over sikkerhedshændelser med angi- velse af, om den enkelte hændelse har medført brud på persondatasikkerheden. Inspiceret, at databehandleren har medta- get eventuelle brud på persondatasikkerhe- den hos underdatabehandlere i databehand- lerens oversigt over sikkerhedshændelser. Inspiceret, at samtlige registrerede brud på persondatasikkerheden hos | Ingen afvigelser konstateret Der har ikke været brud på sikkerhe- den det seneste år som har påvirket tilgængelig, fortrolighed eller integri- tet af kundedata. |
Kontrolmål I Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
databehandleren eller underdatabehand- lerne er meddelt de berørte dataansvarlige uden unødig forsinkelse. | |||
I.4 | Databehandleren har etableret procedurer for bistand til den dataansvarlige ved dennes anmeldelse til Data- tilsynet: • Karakteren af bruddet på persondatasikkerhe- den • Sandsynlige konsekvenser af bruddet på per- sondatasikkerheden • Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondata- sikkerheden. | Inspiceret, at de foreliggende procedurer for underretning af de dataansvarlige ved brud på persondatasikkerheden indeholder detaljerede procedurer for: • Beskrivelse af karakteren af bruddet på persondatasikkerheden • Beskrivelse af sandsynlige konse- kvenser af bruddet på persondata- sikkerheden • Beskrivelse af foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasik- kerheden. Inspiceret dokumentation for, at de forelig- gende procedurer understøtter, at der træf- fes foranstaltninger for håndtering af brud- det på persondatasikkerheden. | Ingen afvigelser konstateret |