Partner IT
Partner IT
Uafhængig erklæring baseret på ISAE 3000-erklæring om informationssikker- hed og foranstaltninger i henhold til databehandleraftale med dennes kunder
Pr. 12. juni 2019
Indholdsfortegnelse
3. Beskrivelse af behandling 7
4. Kontrolmål, kontrolaktivitet, test og resultat heraf 9
1. Ledelsens udtalelse
Partner IT behandler personoplysninger på vegne af dennes kunder i henhold til indgået databehandleraftale.
Medfølgende beskrivelse er udarbejdet til brug for kunder, der benytter Partner IT’s ydelser, og som har en tilstrækkelig forståelse til at vurdere beskrivelsen sammen med anden information, herunder information om kontroller, som de dataansvarlige selv har udført ved vurdering af, om kravene i EU's forordning om ”Beskyt- telse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger” (herefter ”databeskyttelsesforordningen”) er overholdt. Partner IT bekræfter, at:
a) Den medfølgende beskrivelse, giver en retvisende beskrivelse af den behandling af personoplysninger der foretages ved benyttelse af Partner IT’s ydelser pr. 12. juni 2019. Kriterierne anvendt for at give denne udtalelse var, at den medfølgende beskrivelse:
(i) Redegør for, hvordan beskrivelsen af behandling af personoplysninger var udformet og im- plementeret, herunder redegør for:
• De typer af ydelser, der er leveret, herunder typen af behandlede personoplysnin- ger
• De processer i både it- og manuelle systemer, der er anvendt til at igangsætte, regi- strere, behandle og om nødvendigt korrigere, slette og begrænse behandling af per- sonoplysninger
• De processer, der er anvendt for at sikre, at den foretagne databehandling er sket i henhold til kontrakt, instruks eller aftale med den dataansvarlige
• De processer, der sikrer, at de personer, der er autoriseret til at behandle personop- lysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbe- stemt tavshedspligt
• De processer, der ved ophør af databehandling sikrer, at der efter den dataansvarli- ges valg sker sletning eller tilbagelevering af alle personoplysninger til den dataan- svarlige, medmindre lov eller regulering foreskriver opbevaring af personoplysnin- gerne
• De processer, der i tilfælde af brud på persondatasikkerheden understøtter, at den dataansvarlige kan foretage anmeldelse til tilsynsmyndigheden samt underrettelse til de registrerede
• De processer, der sikrer passende tekniske og organisatoriske sikringsforanstaltnin- ger for behandlingen af personoplysninger under hensyntagen til de risici, som be- handling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uau- toriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet
(ii) Ikke udelader eller forvansker oplysninger, der er relevante for omfanget af den beskrevne behandling af personoplysninger under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af dataansvarlige og derfor ikke kan omfatte ethvert aspekt ved behandlingen, som den enkelte dataansvarlige måtte anse vigtigt efter deres særlige forhold.
b) De kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigts- mæssigt udformet pr. 12. juni 2019. Kriterierne anvendt for at give denne udtalelse var, at:
(i) De risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret
(ii) De identificerede kontroller ville, hvis udført som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål, og
c) Der er etableret og opretholdt passende tekniske og organisatoriske foranstaltninger med henblik på at opfylde aftalerne med de dataansvarlige, god databehandlerskik og relevante krav til databehand- lere i henhold til databeskyttelsesforordningen.
Herning, den 12. juni 2019 Partner IT
Xxx Xxxx-Xxxxxxxxx Direktør
2. Uafhængig erklæring
Uafhængig erklæring baseret på ISAE 3000-erklæring om informationssikkerhed og foranstaltninger i hen- hold til databehandleraftale med dennes kunder.
Til: Partner IT og dennes kunder
Omfang
Vi har fået som opgave at afgive erklæring om Partner IT’s beskrivelse på side 7-8 af ydelsen i henhold til data- behandleraftale med kunder pr. 12. juni 2019 og om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen.
Partner IT’s ansvar
Partner IT er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udtalelse på side 3-4, herunder fuld- stændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelsen er præsenteret; for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene samt for at udforme, implementere og effektivt udføre kontroller for at opnå de anførte kontrolmål.
PersondataSupport’s (PDS’) ansvar
Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Partner IT’s beskrivelse samt om
udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse.
Vi har udført vores arbejde i overensstemmelse med ISAE 3000. Denne standard kræver, at vi planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effek- tivt.
En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen, udformningen og funktionaliteten af kontroller hos en databehandler omfatter udførelse af handlinger for at opnå bevis for oplysningerne i data- behandlerens beskrivelse af sin behandling af personoplysninger, samt for kontrollernes udformning og funkti- onalitet. De valgte handlinger afhænger af PDS vurdering, herunder vurderingen af risiciene for, at beskrivel- sen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev opnået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, egnetheden af de heri anførte mål samt egnetheden af de kriterier, som databehandleren har specificeret og beskrevet.
Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklu- sion.
Begrænsninger i kontroller hos en dataansvarlig
Partner IT’s beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af dataansvarlige og omfatter derfor ikke nødvendigvis alle de aspekter ved ydelsen, som hver enkelt dataansvarlig måtte anse for vigtige efter deres særlige forhold. Endvidere vil kontroller hos en databehandler som følge af deres art muligvis ikke forhindre eller opdage alle brud på persondatasikkerheden. Herudover er fremskrivningen af en- hver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en databe- handler kan blive utilstrækkelige eller svigte.
Konklusion
Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i ledelsens udtalelse. Det er vores opfattelse,
(a) at beskrivelsen af behandling af personoplysninger, således som denne var udformet og implemente- ret pr. 12. juni 2019, i alle væsentlige henseender er retvisende, og
(b) at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige hense- ender var hensigtsmæssigt udformet pr. 12. juni 2019
Beskrivelse af test af kontroller
De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultater af disse tests fremgår i punkt 4.
Tiltænkte brugere og formål
Denne erklæring og beskrivelsen af test af kontroller i punkt 4 er udelukkende tiltænkt dataansvarlige, der har anvendt Partner IT’s ydelser, som har en tilstrækkelig forståelse til at overveje den sammen med anden infor- mation, herunder information om kontroller, som de dataansvarlige selv har udført, ved vurdering af, om kra- vene i databeskyttelsesforordningen er overholdt.
Horsens, den 12. juni 2019 PersondataSupport ApS
Xxxxx Xxxxxxx Partner, DPO, CISA
3. Beskrivelse af behandling
Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er at databe- handler hoster den dataansvarliges platforme og yder support til den dataansvarlige og dennes ansatte i den daglige drift af IT-systemer.
Karakteren af behandlingen
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om at:
• Varetage support til den dataansvarlige, hvor databehandleren kan have adgang til fuldstændige oplys- ninger hos den dataansvarlige.
• Varetage hosting af platforme, såvel som kontinuerlig driftssupport til den dataansvarlige
Databehandleren er berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sik- kerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne.
Databehandleren skal dog – i alle tilfælde og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige (på baggrund af den risikovurdering den dataansvarlige har foretaget):
• Logning af sin dataadgang til dataansvarliges systemer
• Sikre sin dataadgang til dataansvarliges systemer
• Sikre backup af dataansvarliges systemer
Personoplysninger
Typen af personoplysninger, der behandles:
• Almindelige personoplysninger
• Særlige kategorier af personoplysninger,
• Andre personlige oplysninger, herunder oplysninger om strafbare forhold og cpr-numre.
Kategorier af registrerede personer omfattet af databehandleraftalen:
• Dataansvarliges kunder
• Dataansvarliges ansatte
• Dataansvarliges samarbejdspartnere og leverandører
Praktiske tiltag
Der er formuleret og implementeret passende tekniske og organisatoriske foranstaltninger til at sikker be- handling af personoplysninger. Disse foranstaltninger er implementeret på baggrund af anerkendte branche- standarder herunder IS027001 og retningslinjer fra databeskyttelsesforordningen og tilsynsmyndigheden. Alle medarbejdere er gjort bekendt med de retningslinjer og trænes løbende heri. Diverse underleverandører og samarbejdspartnere er ligeledes gjort bekendt med retningslinjerne. Der bliver løbende ført kontrol med over- holdelse af retningslinjerne.
Risikovurdering
For hver behandlingsaktivitet er der foretaget en vurdering af sandsynligheden for at der sker tab af fortrolig- hed (uvedkommende får adgang til oplysningerne), integritet (oplysningerne er ikke korrekt) eller tilgængelig- hed (oplysninger mistes). I denne vurdering er der taget udgangspunkt i trusler og i de foranstaltninger der er implementeret for at beskytte oplysningernes fortrolighed, integritet og tilgængelighed.
Dernæst er konsekvensen for de registrerede blevet vurderet. Denne vurdering tager udgangspunkt i hvad konsekvensen for den registrerede er hvis der sker tab af fortrolige, integritet eller tilgængeligheden af oplys- ningerne. Vurdering er baseret på om oplysningerne er almindelige, fortrolige eller følsomme og de eventuelle indirekte konsekvenser med hensyn til typen af datasættet. Desto større sandsynlighed for at oplysningernes tab af fortrolighed, integritet eller tilgængelighed kan føre til materiel eller immateriel skade for den registre- redes, desto større er konsekvensen.
Baseret på vurderingen af sandsynligheden og konsekvensen ved behandlingsaktiviteten er der udregnet en risiko rating. Hvis denne rating vurderes til høj, bliver der udarbejdet en konsekvensanalyse og en handlings- plan for at sænke risikoen. I de tilfælde hvor dette ikke er muligt udarbejdes en konsekvensanalyse
Kontrolforanstaltninger
For at sikre implementeringen af Databeskyttelsesforordningen er der udarbejdet:
• Fortegnelse over behandlingsaktiviteter
• Liste over dataansvarlige
• Risikovurderinger på behandlingsaktiviteter
• Interne politikker for beskyttelse af persondata og it-sikkerhed
• Awarenes træning af medarbejdere i beskyttelse af persondata og it-sikkerhed
• Databrugslog og plan for notifikation ved databrud
• Årshjul for periodiske kontroller af organisatoriske og tekniske foranstaltninger til overholdelse af Da- tabeskyttelsesforordningen og best practices indenfor generel it-sikkerhed.
Der henvises i øvrigt til afsnit 4, hvor de konkrete kontrolaktiviteter er beskrevet.
Komplementerende kontroller hos de dataansvarlige
Den dataansvarlige har følgende forpligtelser:
• at sikre sig, at personoplysningerne er ajourførte
• at sikre sig, at instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regu- lering
• at instruksen er hensigtsmæssig set i forhold til databehandleraftalen og hovedydelsen.
• at sikre sig, at den dataansvarliges brugere er ajourførte
4. Kontrolmål, kontrolaktivitet, test og resultat heraf
Kontrolmål A Der efterleves procedurer og kontroller, som sikrer, at instruks vedrørende behandling af personoplysninger efterleves i overensstemmelse med den indgående databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
A.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der alene må foretages behandling af personoplysninger, når der foreligger en instruks. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at behandling af personoplys- ninger alene foregår i henhold til instruks. Inspiceret, at procedurerne indeholder krav om minimum årlig vurdering af behov for opdatering, herunder ved ændringer i dataansvarliges in- struks eller ændringer i databehandlingen. Inspiceret, at procedurer er opdateret. | Ingen afvigelser konstateret |
A.2 | Databehandler udfører alene den behandling af personoplys- ninger, som fremgår af instruks fra dataansvarlig. | Inspiceret, at ledelsen sikrer, at behandling af personoplysninger alene foregår i henhold til in- struks. | Ingen afvigelser konstateret |
A.3 | Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestem- melser i anden EU-ret eller medlemsstaternes nationale ret. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer kontrol af, at behandling af per- sonoplysninger ikke er i strid med databeskyttel- sesforordningen eller anden lovgivning. Inspiceret, at der er procedurer for underretning af den dataansvarlige i tilfælde, hvor behandling af personoplysninger vurderes at være i strid med lovgivningen. | Ingen afvigelser konstateret Der har ikke været behov for underretning. |
Kontrolmål A Der efterleves procedurer og kontroller, som sikrer, at instruks vedrørende behandling af personoplysninger efterleves i overensstemmelse med den indgående databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
Inspiceret, at den dataansvarlige er underrettet i tilfælde, hvor behandlingen af personoplysninger er vurderet i strid med lovgivningen. | |||
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
B.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der etableres aftalte sikringsforanstaltninger for behandling af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at der etableres de aftalte sik- kerhedsforanstaltninger. Inspiceret, at procedurer er opdateret. Inspiceret, at der er etableret sikkerhedsforan- staltninger der, som minimum, lever op til den databehandleraftale, der indeholder de højeste krav til sikkerhed. | Ingen afvigelser konstateret |
B.2 | Databehandleren har foretaget en risikovurdering og på bag- grund heraf implementeret de tekniske foranstaltninger, der er vurderet relevante for at opnå en passende sikkerhed, her- under etableret de med dataansvarlige aftalte sikringsforan- staltninger. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at databehandler foretager en risikovurdering for at opnå en passende sikker- hed. Inspiceret, at den foretagne risikovurdering er opdateret og omfatter den aktuelle behandling af personoplysninger. Inspiceret, at databehandler har implementeret de tekniske foranstaltninger, som sikrer en pas- sende sikkerhed i overensstemmelse med risiko- vurderingen. | Ingen afvigelser konstateret |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
Inspiceret, at databehandler har implementeret de sikringsforanstaltninger, der er aftalt med de dataansvarlige. | |||
B.3 | Der er for de systemer og databaser, der anvendes til behand- ling af personoplysninger, installeret antivirus, som løbende opdateres. | Inspiceret, at der for de systemer og databaser, der anvendes til behandling af personoplysnin- ger, er installeret antivirus software. Inspiceret, at antivirus software er opdateret. | Ingen afvigelser konstateret |
B.4 | Ekstern adgang til systemer og databaser, der anvendes til be- handling af personoplysninger, sker gennem sikret firewall. | Inspiceret, at ekstern adgang til systemer og da- tabaser, der anvendes til behandling af person- oplysninger, alene sker gennem en firewall. Inspiceret, at firewall er konfigureret i henhold til intern politik herfor. | Ingen afvigelser konstateret |
B.5 | Interne netværk er segmenteret for at sikre begrænset adgang til systemer og databaser, der anvendes til behandling af per- sonoplysninger. | Forespurgt, om interne netværk er segmenteret med henblik på at sikre begrænset adgang til sy- stemer og databaser, der anvendes til behandling af personoplysninger. Inspiceret, at gæstenetværk er adskilt fra det in- terne netværk. | Ingen afvigelser konstateret |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
B.6 | Adgang til personoplysninger er isoleret til brugere med ar- bejdsbetinget behov herfor. | Inspiceret, at der foreligger formaliserede proce- durer for begrænsning af brugeres adgang til per- sonoplysninger. Inspiceret, at der foreligger formaliserede proce- durer for opfølgning på, at brugeres adgang til personoplysninger er i overensstemmelse med deres arbejdsbetingede behov. Inspiceret, at de aftalte tekniske foranstaltninger understøtter opretholdelsen af begrænsningen i brugernes arbejdsbetingede adgang til personop- lysninger. Inspiceret ved en stikprøve på 3 ud af 3 brugeres adgange til systemer og databaser, at de er be- grænset til medarbejdernes arbejdsbetingede be- hov. | Ingen afvigelser konstateret |
B.7 | Der er for de systemer og databaser, der anvendes til behand- ling af personoplysninger, etableret systemovervågning med alarmering. Overvågningen omfatter: • at serverer kører og svarer • at services er kører • ressourceovervågning | Inspiceret, at der for systemer og databaser, der anvendes til behandling af personoplysning, er etableret systemovervågning med alarmering. Inspiceret, at der er sket opfølgning på alarmer, samt at forholdet er meddelt de dataansvarlige i behørigt omfang. | Ingen afvigelser konstateret Der har ikke været alarmeringer der har været relevante at meddele til dataansvar- lige. |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
B.8 | Der anvendes effektiv kryptering ved transmission af fortrolige og følsomme personoplysninger via internettet og med e-mail. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at transmission af følsomme og fortrolige oplysninger over internettet er beskyt- tet af stærk kryptering baseret på en anerkendt algoritme. Inspiceret, at teknologiske løsninger til kryptering er tilgængelige. Inspiceret, at der anvendes kryptering af trans- missioner af følsomme og fortrolige personoplys- ninger via internettet eller med e-mail. Forespurgt, om der har været ukrypterede trans- missioner af følsomme og fortrolige personoplys- ninger det seneste år, samt om de dataansvarlige er behørigt orienteret herom. | Ingen afvigelser konstateret Der har ikke været ukrypterede transmissi- oner af følsomme eller fortrolige person- oplysninger. |
B.9 | Der er etableret logning i systemer, databaser og netværk af følgende forhold: • Logon af systemadministratorer • Systemadministrators visning af password • Fejlede forsøg på log-on • Ændringer og clearing af log | Inspiceret, at der foreligger formaliserede proce- durer for opsætning af logning. Inspiceret, at logning af brugeraktiviteter i syste- mer, databaser og netværk, der anvendes til be- handling og transmission af personoplysninger, er konfigureret og aktiveret. | Ingen afvigelser konstateret |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
B.10 | Ændringer til systemer, databaser og netværk følger fastlagte procedurer, som sikrer vedligeholdelse med relevante opdate- ringer og patches, herunder sikkerhedspatches. | Inspiceret, at der foreligger formaliserede proce- durer for håndtering af patches og sikkerhedspat- ches. Inspiceret ved stikprøve af serverer at disse er opdateret. | Ingen afvigelser konstateret |
B.11 | Der er formaliseret forretningsgang for tildeling og afbrydelse af brugeradgange til personoplysninger. Brugeres adgang re- vurderes regelmæssigt, herunder at rettigheder fortsat kan begrundes i et arbejdsbetinget behov. | Inspiceret, at der foreligger formaliserede proce- durer for tildeling og afbrydelse af brugernes ad- gang til systemer og databaser, som anvendes til behandling af personoplysninger. Inspiceret ved en stikprøve på 3 ud af 3 medar- bejderes adgange til systemer og databaser, at de tildelte brugeradgange er godkendt, og at der er et arbejdsbetinget behov. Inspiceret ved en stikprøve på 1 ud af 1 fratrådte medarbejdere, at disses adgange til systemer og databaser er rettidigt deaktiveret eller nedlagt. Inspiceret, at der foreligger dokumentation for regelmæssig - mindst en gang årligt – vurdering og godkendelse af tildelte brugeradgange. | Det er konstateret at 1 fratrådt bruger ikke var deaktiveret i RDM, dog var brugeren lukket ned i Windows AD og har dermed ikke haft adgang til systemet. Eller ingen afvigelser konstateret. |
Kontrolmål B Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret tekniske foranstaltninger til sikring af relevant behandlingssikkerhed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditor test |
B.12 | Ekstern adgang til systemer og databaser, hvori der sker be- handling af personoplysninger, sker som minimum ved anven- delse af to-faktor autentifikation. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at to-faktor autentifikation an- vendes ved tilgang til kunders systemer. Inspiceret, at brugere skal anvende to-faktor au- tendikation når der logges på kundens og databe- handlerens systemer udenfor databehandlernes interne netværk. | Ingen afvigelser konstateret |
B.13 | Der er etableret fysisk adgangssikkerhed, således at kun auto- riserede personer kan opnå fysisk adgang til lokaler og data- centre, hvori der opbevares og behandles personoplysninger. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at kun autoriserede personer kan opnå fysisk adgang til lokaler og datacentre, hvori der opbevares og behandles personoplys- ninger. | Ingen afvigelser konstateret Datacenter er placeret hos underleveran- dør, som logger adgange til serverrum. |
Kontrolmål C Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organisatoriske foranstaltninger til sikring af relevant behandlingssikker- hed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
C.1 | Databehandlerens ledelse har godkendt en skriftlig informati- onssikkerhedspolitik, som er kommunikeret til alle relevante interessenter, herunder databehandlerens medarbejdere. It- sikkerhedspolitikken tager udgangspunkt i den gennemførte risikovurdering. Der foretages løbende – og mindst en gang årligt – vurdering af, om it-sikkerhedspolitikken skal opdateres. | Inspiceret, at der foreligger en informationssik- kerhedspolitik, som ledelsen har behandlet og godkendt inden for det seneste år. Inspiceret dokumentation for, at informationssik- kerhedspolitikken er kommunikeret til relevante interessenter, herunder databehandlerens med- arbejdere. | Ingen afvigelser konstateret |
C.2 | Databehandlerens ledelse har sikret, at informationssikker- hedspolitikken ikke er i modstrid med indgåede databehand- leraftaler. | Inspiceret dokumentation for ledelsens vurdering af, at informationssikkerhedspolitikken generelt lever op til kravene om sikringsforanstaltninger og behandlingssikkerheden i indgåede databe- handleraftaler. Inspiceret, at kravene i den databehandleraftale der har de højeste krav til sikkerhed, som mini- mum, er dækket af informationssikkerhedspoli- tikkens krav til sikringsforanstaltninger og be- handlingssikkerheden. | Ingen afvigelser konstateret |
C.3 | Der udføres en efterprøvning af databehandlerens medarbej- dere i forbindelse med ansættelse. Efterprøvningen omfatter i relevant omfang: • Referencer fra tidligere ansættelser • Straffeattest | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer efterprøvning af databehandle- rens medarbejdere i forbindelse med ansættelse. | Ingen afvigelser konstateret |
Kontrolmål C Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organisatoriske foranstaltninger til sikring af relevant behandlingssikker- hed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
• Eksamensbeviser | |||
C.4 | Ved ansættelse underskriver medarbejdere en fortrolighedsaf- tale. Endvidere bliver medarbejderen introduceret til informa- tionssikkerhedspolitik og procedurer vedrørende databehand- ling samt anden relevant information i forbindelse med med- arbejderens behandling af personoplysninger. | Inspiceret, at medarbejdere har underskrevet en fortrolighedsaftale. Inspiceret, at medarbejdere i erklæringsperio- den, at de pågældende medarbejdere er blevet introduceret til: • Informationssikkerhedspolitikken • Persondatapolitikken • Personalehåndbog vedr. it-sikker og be- handling af personoplysninger | Ingen afvigelser konstateret |
C.5 | Ved fratrædelse er der hos databehandleren implementeret en proces, som sikrer, at brugerens rettigheder bliver inaktive eller ophører, herunder at aktiver inddrages. | Inspiceret procedurer, der sikrer, at fratrådte medarbejderes rettigheder inaktiveres eller op- hører ved fratrædelse. Inspiceret ved en stikprøve på 1 ud af 1 fratrådte medarbejdere i erklæringsperioden, at rettighe- der er inaktiveret eller ophørt. | Det er konstateret at 1 fratrådt bruger ikke var deaktiveret i RDM, dog var brugeren lukket ned i Windows AD og har dermed ikke haft adgang til systemet. Eller ingen afvigelser konstateret. |
C.6 | Ved fratrædelse orienteres medarbejderen om, at den under- skrevne fortrolighedsaftale fortsat er gældende, samt at med- arbejderen er underlagt en generel tavshedspligt i relation til | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at fratrådte medarbejdere | Ingen afvigelser konstateret |
Kontrolmål C Der efterleves procedurer og kontroller, som sikrer, at databehandleren har implementeret organisatoriske foranstaltninger til sikring af relevant behandlingssikker- hed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
behandling af personoplysninger, databehandleren udfører for de dataansvarlige. | gøres opmærksom på opretholdelse af fortrolig- hedsaftalen og generel tavshedspligt. Inspiceret at 1 ud af 1 fratrådte medarbejdere har underskrevet fortrolighedserklæring igen ved opsigelse. | ||
C.7 | Der gennemføres løbende awareness-træning af databehand- lerens medarbejdere i relation til it-sikkerhed generelt samt behandlingssikkerhed i relation til personoplysninger. | Inspiceret, at databehandleren udbyder aware- ness-træning til medarbejderne omfattende ge- nerel it-sikkerhed og behandlingssikkerhed i rela- tion til personoplysninger. Inspiceret dokumentation for, at alle medarbej- dere, som enten har adgang til eller behandler personoplysninger, har gennemført den udbudte awareness-træning. | Ingen afvigelser konstateret |
Kontrolmål D Der efterleves procedurer og kontroller, som sikrer, at personoplysninger kan slettes eller tilbageleveres såfremt der indgås aftale herom med den dataansvarlige. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
D.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der foretages opbevaring og sletning af personoplysninger i overensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer for opbevaring og sletning af personoplys- ninger i overensstemmelse med aftalen med den dataansvarlige. Inspiceret, at procedurerne er opdateret. | Ingen afvigelser konstateret |
D.2 | Der er aftalt følgende specifikke krav til databehandlerens op- bevaringsperioder og sletterutiner: ”Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvar- lige, samt at slette eksisterende kopier.” | Inspiceret, at de foreliggende procedurer for op- bevaring og sletning indeholder de specifikke krav til databehandlerens opbevaringsperioder og sletterutiner. Inspiceret, at sletning på ophørte aftaler er fore- taget efter aftale med kunden. Inspiceret, at der for ophørte databehandlinger er dokumentation for, at den aftalte sletning eller tilbagelevering af data er udført. | Ingen afvigelser konstateret Der har ikke været kundeophør det sene- ste år og derfor har det ikke været muligt at teste sletning og tilbagelevering. |
D.3 | Ved ophør af behandling af personoplysninger for den dataan- svarlige er data i henhold til aftalen med den dataansvarlige: • Tilbageleveret til den dataansvarlige og/eller • Slettet, hvor det ikke er i modstrid med anden lovgiv- ning. | Inspiceret, at der foreligger procedurer for be- handling af den dataansvarliges data ved ophør af behandling af personoplysninger. | Ingen afvigelser konstateret Der har ikke været kundeophør det sene- ste år og derfor har det ikke været muligt at teste sletning og tilbagelevering. |
Kontrolmål D Der efterleves procedurer og kontroller, som sikrer, at personoplysninger kan slettes eller tilbageleveres såfremt der indgås aftale herom med den dataansvarlige. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
Inspiceret, at der for ophørte databehandlinger er dokumentation for, at den aftalte sletning eller tilbagelevering af data er udført. | |||
Kontrolmål E Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene opbevarer personoplysninger i overensstemmelse med aftalen med den dataansvar- lige. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
E.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at der alene foretages opbevaring af personoplysninger i over- ensstemmelse med aftalen med den dataansvarlige. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer for, at der alene foretages opbevaring og behandling af personoplysninger i henhold til da- tabehandleraftalerne. Inspiceret, at procedurerne er opdateret. Inspiceret, at der er dokumentation for, at data- behandlingen sker i henhold til databehandleraf- talen. | Ingen afvigelser konstateret |
Kontrolmål E Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene opbevarer personoplysninger i overensstemmelse med aftalen med den dataansvar- lige. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
E.2 | Databehandlerens databehandling inklusive opbevaring må kun finde sted på de af den dataansvarlige godkendte lokalite- ter, lande eller landområder. | Inspiceret, at databehandleren har en samlet og opdateret oversigt over behandlingsaktiviteter med angivelse af lokaliteter, lande eller landom- råder. Inspiceret, at der er dokumentation for, at data- behandlingen, herunder opbevaring af personop- lysninger, alene foretages på de lokaliteter, der fremgår af databehandleraftalen – eller i øvrigt er godkendt af den dataansvarlige. | Ingen afvigelser konstateret |
Kontrolmål F Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren ved opfølgning på disses tekni- ske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikker- hed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
F.1 | Der foreligger skriftlige procedurer, som indeholder krav til da- tabehandleren ved anvendelse af underdatabehandlere, her- under krav om underdatabehandleraftaler og instruks. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer for anvendelse af underdatabehandlere, herunder krav om underdatabehandleraftaler og instruks. Inspiceret, at procedurerne er opdateret. | Ingen afvigelser konstateret |
F.2 | Databehandleren anvender alene underdatabehandlere til be- handling af personoplysninger, der er specifikt eller generelt godkendt af den dataansvarlige. | Inspiceret, at databehandleren har en samlet og opdateret oversigt over anvendte underdatabe- handlere. Inspiceret, at der er dokumentation for, at under- databehandlerens databehandling fremgår af da- tabehandleraftalerne. | Ingen afvigelser konstateret |
F.3 | Ved ændringer i anvendelsen af generelt godkendte underda- tabehandlere underretters den dataansvarlige rettidigt i for- hold til at kunne gøre indsigelse gældende og/eller trække persondata tilbage fra databehandleren. Ved ændringer i an- vendelse af specifikt godkendte underdatabehandlere er dette godkendt af den dataansvarlige. | Inspiceret, at der foreligger formaliserede proce- durer for underretning til den dataansvarlige ved ændringer i anvendelse af underdatabehandlere. Inspiceret dokumentation for, at den dataansvar- lige er underrettet ved ændring i anvendelse af underdatabehandlerne. | Ingen afvigelser konstateret Der har ikke været ændringer af underda- tabehandlere. |
Kontrolmål F Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren ved opfølgning på disses tekni- ske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikker- hed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
F.4 | Databehandleren har pålagt underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er forudsat i data- behandleraftalen el.lign. med den dataansvarlige. | Inspiceret, at der foreligger underskrevne under- databehandleraftaler med anvendte underdata- behandlere, som fremgår af databehandlerens oversigt. Inspiceret, at databehandleraftaler med under- databehandlere indeholder samme eller stær- kere krav og forpligtelser, som er anført i databe- handleraftalerne mellem de dataansvarlige og databehandleren. | Ingen afvigelser konstateret |
F.5 | Databehandleren har en oversigt over godkendte underdata- behandlere med angivelse af: • Navn • CVR-nr. • Adresse • Beskrivelse af behandlingen | Inspiceret, at databehandleren har en samlet og opdateret oversigt over anvendte og godkendte underdatabehandlere. Inspiceret, at oversigten som minimum indehol- der de krævede oplysninger om de enkelte un- derdatabehandlere. | Ingen afvigelser konstateret |
F.6 | Databehandleren foretager, på baggrund af ajourført risiko- vurdering af den enkelte underdatabehandler og den aktivitet, der foregår hos denne, en løbende opfølgning herpå ved mø- der, inspektioner, gennemgang af revisionserklæring eller | Inspiceret, at der foreligger formaliserede proce- durer for opfølgning på behandlingsaktiviteter hos underdatabehandlerne og overholdelse af underdatabehandleraftalerne. | Ingen afvigelser konstateret |
Kontrolmål F Der efterleves procedurer og kontroller, som sikrer, at der alene anvendes godkendte underdatabehandlere, samt at databehandleren ved opfølgning på disses tekni- ske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og behandlingen af personoplysninger sikrer en betryggende behandlingssikker- hed. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
lignende. Den dataansvarlige orienteres om den opfølgning, der er foretaget hos underdatabehandleren. | Inspiceret dokumentation for, at der er foretaget en risikovurdering af den enkelte underdatabe- handler og den aktuelle behandlingsaktivitet hos denne. Inspiceret dokumentation for, at der er foretaget behørig opfølgning på tekniske og organisatori- ske foranstaltninger, behandlingssikkerheden hos de anvendte underdatabehandlere, tredjelands overførselsgrundlag og lignende. | ||
Kontrolmål G Der efterleves procedurer og kontroller, som sikrer, at databehandleren alene overfører personoplysninger til tredjelande eller internationale organisationer i over- ensstemmelse med aftalen med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
G.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren alene overfører personoplysninger til tredjelande eller internationale organisationer i overensstem- melse med aftalen med den dataansvarlige på baggrund af et gyldigt overførselsgrundlag. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer, der sikrer, at personoplysninger alene overføres til tredjelande eller internationale or- ganisationer i henhold til aftale med den dataan- svarlige på baggrund af et gyldigt overførsels- grundlag. Inspiceret, at procedurerne er opdateret. | Ingen afvigelser konstateret Der overføres ikke data til tredjelande. |
G.2 | Databehandleren må kun overføre personoplysninger til tred- jelande eller internationale organisationer efter instruks fra den dataansvarlige. | Inspiceret, at databehandleren har en samlet og opdateret oversigt over overførsler af personop- lysninger til tredjelande eller internationale orga- nisationer. | Ingen afvigelser konstateret Der overføres ikke data til tredjelande. |
Kontrolmål H Der efterleves procedurer og kontroller, som sikrer, at databehandleren kan bistå den dataansvarlige med udlevering, rettelse, sletning eller begrænsning af oplysnin- ger om behandling af personoplysninger til den registrerede. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
H.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren skal bistå den dataansvarlige i relation til de registreredes rettigheder. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer for databehandlerens bistand af den data- ansvarlige i relation til de registreredes rettighe- der. Inspiceret, at procedurerne er opdateret. | Ingen afvigelser konstateret |
H.2 | Databehandleren har etableret procedurer, som i det omfang, dette er aftalt, muliggør en rettidig bistand til den dataansvar- lige i relation til udlevering, rettelse, sletning eller begræns- ning af og oplysning om behandling af personoplysninger til den registrerede. | Inspiceret, at de foreliggende procedurer for bi- stand til den dataansvarlige indeholder detalje- rede procedurer for: • Udlevering af oplysninger • Rettelse af oplysninger • Sletning af oplysninger • Begrænsning af behandling af person- oplysninger • Oplysning om behandling af personop- lysninger til den registrerede. Inspiceret dokumentation for, at de anvendte sy- stemer og databaser understøtter gennemførel- sen af de nævnte detaljerede procedurer. | Ingen afvigelser konstateret |
Kontrolmål I Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
I.1 | Der foreligger skriftlige procedurer, som indeholder krav om, at databehandleren skal underrette de dataansvarlige ved brud på persondatasikkerheden. Der foretages løbende – og mindst en gang årligt – vurdering af, om procedurerne skal opdateres. | Inspiceret, at der foreligger formaliserede proce- durer, der indeholder krav til underretning af de dataansvarlige ved brud på persondatasikkerhe- den. Inspiceret, at proceduren er opdateret. | Ingen afvigelser konstateret |
I.2 | Databehandleren har etableret følgende kontroller for identi- fikation af eventuelle brud på persondatasikkerheden: • Awareness hos medarbejdere • Logning af netværkstrafik • Logning af brugeradgange | Inspiceret, at databehandler udbyder awareness- træning til medarbejderne i relation til identifika- tion af eventuelle brud på persondatasikkerhe- den. Inspiceret dokumentation for, at netværkstrafik overvåges, samt at der sker opfølgning på anor- maliteter, overvågningsalarmer, overførsel af store filer mv. Inspiceret dokumentation for, at der sker rettidig opfølgning på logning af adgang til personoplys- ninger, herunder opfølgning på gentagne forsøg på adgang. | Ingen afvigelser konstateret |
I.3 | Databehandleren har ved eventuelle brud på persondatasik- kerheden underrettet den dataansvarlige uden unødig forsin- kelse og senest 72 timer efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databe- handleren eller en underdatabehandler. | Inspiceret, at databehandleren har en oversigt over sikkerhedshændelser med angivelse af, om den enkelte hændelse har medført brud på per- sondatasikkerheden. | Ingen afvigelser konstateret Der har ikke været brud på sikkerheden hos databehandlere eller underdatabe- handler det seneste år. |
Kontrolmål I Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
Forespurgt underdatabehandlerne, om de har konstateret nogen brud på persondatasikkerhe- den i erklæringsperioden Inspiceret, at databehandleren har medtaget eventuelle brud på persondatasikkerheden hos underdatabehandlere i databehandlerens over- sigt over sikkerhedshændelser. Inspiceret, at samtlige registrerede brud på per- sondatasikkerheden hos databehandleren eller underdatabehandlerne er meddelt de berørte dataansvarlige uden unødig forsinkelse og senest 72 timer efter, at databehandleren er blevet op- mærksom på brud på persondatasikkerheden. | |||
I.4 | Databehandleren har etableret procedurer for bistand til den dataansvarlige ved dennes anmeldelse til Datatilsynet: • Karakteren af bruddet på persondatasikkerheden • Sandsynlige konsekvenser af bruddet på persondata- sikkerheden • Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden. | Inspiceret, at de foreliggende procedurer for un- derretning af de dataansvarlige ved brud på per- sondatasikkerheden indeholder detaljerede pro- cedurer for: • Beskrivelse af karakteren af bruddet på persondatasikkerheden • Beskrivelse af sandsynlige konsekvenser af bruddet på persondatasikkerheden • Beskrivelse af foranstaltninger, som er truffet eller foreslås truffet for at hånd- tere bruddet på persondatasikkerheden. | Ingen afvigelser konstateret |
Kontrolmål I Der efterleves procedurer og kontroller, som sikrer, at eventuelle sikkerhedsbrud kan håndteres i overensstemmelse med den indgåede databehandleraftale. | |||
Nr. | Databehandlerens kontrolaktivitet | Auditors udførte test | Resultat af auditors test |
Inspiceret dokumentation for, at de foreliggende procedurer understøtter, at der træffes foran- staltninger for håndtering af bruddet på person- datasikkerheden. | |||