Ledelseserklæring for overholdelse af databehandleraftale 2023

Ledelseserklæring for overholdelse af databehandleraftale 2023

Som følge af databeskyttelsesforordningen og databehandleraftalen indgået med jer har vi hos ProjectFlow indført en række processer og politikker for at sikre en pålidelig og sikker databehandling

i.f.h. til arbejdet med jeres systemer og data.

For den interne gennemgang af ProjectFlow A/S er følgende opfyldt:

1. Fortrolighed

Alle medarbejdere hos ProjectFlow A/S har i deres ansættelseskontrakt en klausul om fortrolighed. Hvor kunder kræver det, er der udarbejdet specifikke erklæringer på personniveau.

Konsekvensen ved overtrædelse af fortrolighedsforpligtelsen afhænger af sagens alvor. Konsekvenser vil være alt fra mundtlig irettesættelse til afskedigelse.

2. Awareness

Som en del af arbejdet med informationssikkerhed gennemgås de, af os implementerede politikker, mindst 1 gang om året for alle medarbejdere.

Nye medarbejdere såvel som nuværende ansatte får gennemgået vores informationssikkerhedspolitik. Informationspolitikken er beskrevet i personalehåndbogen, som skal gennemlæses ved ansættelse. Der foreligger dokumentation for hvornår og for hvilke ansatte informationssikkerhedspolitikker er blevet gennemgået.

3. Underdatabehandlere

Hos ProjectFlow A/S benytter vi os i sjælden grad af andre underdatabehandlere end Microsoft. Hvis der bliver benyttet andre underdatabehandler til jeres data, vil dette fremgå i den indgåede aftale. Hvis ProjectFlow A/S indgår aftaler med andre underdatabehandlere, end der fremgår af den oprindelige aftale, vil dette blive meddelt jer direkte.

Ved at vælge underdatabehandlere, der er underlagt de samme grundlæggende arbejdsbetingelser som os, sikres det at relevante krav er indskrevet i underdatabehandleraftaler. I tilfældet Microsoft er det baseret på kontrol af deres revisorerklæringer mv.

4. Brud på persondatasikkerheden

Som beskrevet i pkt. 2 Awareness, kan ansatte indrapportere hændelser eller trusler via vores IT- baserede informationssikkerhedssystem.

Medarbejdere bliver instrueret i informationssikkerhed ved ansættelse, samt én gang årligt ved fælles gennemgang.

Eventuelle indtrådte hændelser gennemgås på månedsmøder, hvor alle ansatte deltager.

5. IT-sikkerhed

Hos ProjectFlow A/S benytter vi os af standardsystemer til at sikre os mod virus og spyware på Microsoft-platformen både på servere og PC’er. Disse systemer opdateres løbende. Alle brugere autentificeres via 2-faktor-login op mod Azure Active Directory.

Alle ProjectFlow A/S’ e-mails går gennem Microsoft Cloud Exchange.

Nyindkøbt Hardware bliver ikke testet eksplicit. PC’er bliver renset og reinstalleret, hvis de overdrages fra en medarbejder til en anden.

Alle medarbejdere er instrueret i ikke at dele passwords med andre jf. personalehåndbogen.

6. Fysisk sikkerhed

Hos ProjectFlow A/S anvendes adgangsbegrænsende foranstaltninger i form af aflåste hoveddøre, som sikrer at det kun er autoriserede medarbejdere der færdes på arbejdspladsen. Når der ikke er personale fysisk til stede på arbejdspladsen, aktiveres et alarmsystem. Til alarmsystemet er knyttet en sikkerhedstjeneste.

Fjernelse af kunderelaterede oplysninger hos ProjectFlow A/S

Herunder processer for at sikre, at data om kunder fjernes når de ikke længere er at opfatte som relevante for ProjectFlow A/S.

1. Fjernelse af kundens adgang til Teams

Umiddelbart efter samarbejdets ophør, fjernes adgangen til kundeløsningerne ved at deaktivere kundens brugere i det underliggende Azure AD. Dette sker løbende. Hvis kunden ønsker brugere fjernet eller rettigheder ændres aftales dette med tilknyttet konsulent.

2. Sletning af kundens brugerkontoer i Teams

Brugerkontoer slettes 2 år efter sidste login. Oprydningen udføres en gang årligt.

3. Kunderettede projekter/løsninger (ProjectFlow A/S’ interne ProjectFlow 365)

Senest 1 år efter sidste faktura, arkiveres kundens projekter i projektportalen. Dette foregår løbende.

4. Oplysninger der findes ifm. fakturaer/e-mails/backup

Der foreligger pt. ikke en praktisk anvendelig måde at slette disse informationer på. Det er et område, hvor vi følger udviklingen og implementerer afværgende tiltag.

Ledelseserklæringen indeholder efter vores opfattelse en retvisende redegørelse for de forhold, der skal være opfyldt for at varetage rollen som databehandler.

Xxxxxxx Xxx Xxxxxxx, adm. direktør

Odense den 11/1-2024

ProjectFlow A/S Vindegade 34, 1-2. sal

5000 Odense C Danmark