Tlf: HUMAN TIME A/S

Størrelse: px
Starte visningen fra side:

Download "Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S"

Transkript

1 Tlf: BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN AF WHISTLEBLOWERSYSTEMET OG DE TILHØRENDE KONTROLLER OG DERES UDFORMNING TIL SIKRING AF OVERHOLDELSE AF LOV OM BEHANDLING AF PERSONOPLYSNINGER BDO Statsautoriseret revisionsaktieselskab, en danskejet revisions- og rådgivningsvirksomhed, er medlem af BDO International Limited - et UK-baseret selskab med begrænset hæftelse - og en del af det internationale BDO netværk bestående af uafhængige medlemsfirmaer.

2 INDHOLDSFORTEGNELSE Side 1. Uafhængig revisors erklæring om beskrivelsen af whistleblowersystemet og de tilhørende kontroller og deres udformning til sikring af overholdelse af lov om behandling af personoplysninger Udsagn fra Human Time A/S Human Time A/S beskrivelse af whistleblowersystemet og de tilhørende kontroller til sikring af overholdelse af lov om behandling af personoplysninger Kontrolmål, kontroller, test og resultat af test Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og Inddatamateriale som indeholder personoplysninger Autorisation og adgangskontrol - 11, 12 og Uddatamateriale som indeholder personoplysninger Eksterne kommunikationsforbindelser Kontrol med afviste adgangsforsøg Logning Almindelige bestemmelser Andre forhold... 20

3 1 1. UAFHÆNGIG REVISORS ERKLÆRING OM BESKRIVELSEN AF WHISTLEBLOWERSYSTEMET OG DE TILHØRENDE KONTROLLER OG DERES UDFORMNING TIL SIKRING AF OVERHOLDELSE AF LOV OM BEHANDLING AF PERSONOPLYSNINGER Til: Ledelsen i Human Time A/S Human Time A/S kunder Indledning Vi har fået som opgave at afgive erklæring om Human Time A/S (serviceleverandøren) beskrivelse på side 4 af whistleblowersystemet og de pr. 1. juni 2012 tilhørende kontroller og deres udformning til sikring af overholdelse af lov om behandling af personoplysninger, og om serviceleverandøren i forhold til det anvendte whisleblowersystem overholder lov om behandling af personoplysninger. Serviceleverandørens ansvar På side 3 i nærværende rapport har serviceleverandøren afgivet et udsagn om egnetheden af den samlede præsentation af beskrivelsen og hensigtsmæssigheden af de udformede kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Serviceleverandøren er ansvarlig for udarbejdelsen af beskrivelsen og udsagnet, herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret. Endvidere er serviceleverandøren ansvarlig for leveringen af de ydelser, beskrivelsen omfatter. Serviceleverandøren er desuden ansvarlig for at definere kontrolmål samt udforme og implementere tekniske og organisatoriske foranstaltninger (kontroller) mod, at de i whistleblowersystemet registrerede personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, eller at disse personoplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Revisors ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om serviceleverandørens beskrivelse samt om udformningen af kontroller, der knytter sig til de kontrolmål, som er anført i denne beskrivelse, og om serviceleverandøren i forhold til det anvendte whistleblowersystem overholder lov om behandling af personoplysninger. Vi har udført vores arbejde i overensstemmelse med ISAE 3000 om andre erklæringsopgaver med sikkerhed end revision eller review af historiske oplysninger. Revisionen er tilrettelagt og udført med henblik på at opnå høj grad af sikkerhed for vores konklusion og er baseret på lov om behandling af personoplysninger, jf. lov nr. 479 af 31. maj 2000 med senere ændringer, og de i medfør af loven udstedte bekendtgørelser, herunder bekendtgørelse nr. 528 af 15. juni 2000 med senere ændringer (sikkerhedsbekendtgørelsen). En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen og udformningen af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet. En erklæringsopgave med sikkerhed omfatter endvidere vurdering af den samlede præsentation af beskrivelsen og hensigtsmæssigheden af de anførte kontrolmål. Vores arbejde har omfattet forespørgsler, observationer og inspektioner samt stikprøvevis efterprøvelse af den information, vi har modtaget. Det er vores opfattelse, at det udførte arbejde giver et tilstrækkeligt og egnet grundlag for vores konklusion. Begrænsning i kontroller hos en serviceleverandør Serviceleverandørens beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder, og omfatter derfor ikke nødvendigvis alle de aspekter ved whistleblowersystemet, som hver enkelt kunde måtte anse for vigtigt efter deres særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage fejl eller udeladelser ved behandlingen af personoplysninger.

4

5 3 2. UDSAGN FRA HUMAN TIME A/S Human Time A/S - Bomuldsgade 4, 2. sal, 2500 Valby - -

6 4 3. HUMAN TIME A/S BESKRIVELSE AF WHISTLEBLOWERSYSTEMET OG DE TILHØRENDE KONTROLLER TIL SIKRING AF OVERHOLDELSE AF LOV OM BEHANDLING AF PERSONOPLYSNINGER Indledning Det er af væsentlig betydning for Human Time A/S ledelse, at der til stadighed er 100% fokus på itsikkerhed, at de trufne foranstaltninger til sikring af et højt it-sikkerhedsniveau løbende bliver vedligeholdt, samt at det med jævne mellemrum vurderes, om der er behov for at justere foranstaltningerne. Human Time A/S har valgt at få udarbejdet en revisorerklæring for at dokumentere over for kunderne, at virksomheden anser et højt it-sikkerhedsniveau som en selvfølge særligt når der er tale om et system, hvori der lagres meget personfølsomme data. Systemet Systemet leveres som en SaaS (Software as a Service), det vil sige en internetbaseret applikation hostet af Human Time A/S. Systemet består af en it-portal, hvor whistleblowere hos kundens ansatte og/eller forretningsforbindelser/samarbejdspartnere anonymt kan indrapportere kritisable forhold. I systemets administrator-portal kan kundens administrator-brugere foretage sagsbehandlingen i et elektronisk sagsbehandlingssystem. Alle personfølsomme data i kundernes whistleblowersystemer er krypterede med en kundespecifik krypteringsnøgle. Ingen medarbejdere hos Human Time A/S ej heller systemudviklerne - har adgang til de personfølsomme data, der er lagret i kundernes whistleblower-portaler. Human Time A/S har ikke adgang til oplysningerne i kundernes systemer, da disse er krypterede. Derfor er det fastsat i kontrakten mellem kunden og Human Time A/S, at kunden er ansvarlig for: med jævnlige mellemrum at gennemgå transaktionsloggen, at den i systemet konfigurerede passwordpolitik overholder persondatalovens og sikkerhedsbekendtgørelsens krav til kompleksitet, periodisk passwordskift samt midlertidig deaktivering af login i tilfælde af forgæves login-forsøg, at der er implementeret procedurer for sletning af transaktionslog og personfølsomme oplysninger i overensstemmelse med retningslinjerne i persondatalovgivningen, og at inddrage systemadgange for fratrædende medarbejdere samt i det tilfælde, hvor en medarbejder skifter stilling, hvorefter vedkommende ikke skal have adgang til systemet. Identifikation af risici og implementering af kontroller Human Time A/S ledelse har analyseret de systemmæssige risici. På baggrund af risikoanalysen har ledelsen formuleret relevante kontrolmål og implementeret de nødvendige og tilstrækkelige kontroller, så det tilsikres, at systemet overholder persondataloven og sikkerhedsbekendtgørelsen. Bilaget i denne rapport indeholder en liste over de implementerede kontrolmål og kontroller og er en integreret del af nærværende beskrivelse. Human Time A/S - Bomuldsgade 4, 2. sal, 2500 Valby - -

7 5 4. KONTROLMÅL, KONTROLLER, TEST OG RESULTAT AF TEST I nærværende beskrivelse er følgende informationer beskrevet af Human Time A/S: Relevante kontrolmål, udvalgt af Human Time A/S. Indførte kontrolaktiviteter, udvalgt af Human Time A/S, og udformet til at nå kontrolmålene. Human Time A/S kommentarer til de af revisor identificerede afvigelser. Vores arbejde blev gennemført i overensstemmelse med ISAE 3000 om andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger med henblik på at opnå høj grad af sikkerhed for vores konklusion. Vores test af kontrollernes design og implementering har omfattet de kontrolmål og tilknyttede kontrolaktiviteter, der er udvalgt af Human Time A/S. Vores test har omfattet de handlinger, som blev vurderet nødvendige for at kunne opnå høj grad af sikkerhed for, at de anførte kontrolmål blev opnået pr. 1. juni I nærværende beskrivelse er følgende informationer således beskrevet af BDO: En beskrivelse af de udførte test med henblik på at konkludere, hvorvidt Human Time A/S anførte kontroller var hensigtsmæssigt udformet til at nå de anførte kontrolmål. Resultatet af vores test af hensigtsmæssighed og udformning af kontroller med Human Time A/S kommentarer til enhver af de konstaterede afvigelser. De udførte test af kontrollernes design og implementering er beskrevet nedenfor: Type Forespørgsel Beskrivelse Forespørgsler hos passende personale hos Human Time A/S er udført for alle væsentlige kontrolaktiviteter. Forespørgslerne blev udført for blandt andet at opnå viden og yderligere oplysninger om indførte politikker og procedurer, herunder hvordan kontrolaktiviteterne udføres, samt at få bekræftet beviser for politikker, procedurer og kontroller. Inspektion Dokumenter og rapporter, der indeholder angivelse om udførelse af kontrollen, er gennemlæste med det formål at vurdere udformningen og overvågningen af de specifikke kontroller, herunder om kontrollerne er udformede, således at de kan forventes at blive effektive, hvis de implementeres, og om kontrollerne overvåges og kontrolleres tilstrækkeligt og med passende intervaller. Test af væsentlige systemopsætninger af tekniske platforme, databaser og netværksudstyr er udført for at påse, om kontroller er implementerede, herunder eksempelvis vurdering af logning, sikkerhedskopiering, patch management, autorisationer og adgangskontroller, datatransmission og besigtigelse af udstyr og lokaliteter. Observation Anvendelsen og eksistensen af specifikke kontroller er observeret, herunder test for at påse, at kontrollen er implementeret. For de ydelser, som Aimes Grid Services leverer, har vi modtaget en ISO certificering for Hosting, afgivet pr. 4. april For de ydelser, som Wannafind.dk A/S leverer, har vi fra uafhængig revisor modtaget en erklæring om efterlevelse af egen it-sikkerhedspolitik, afgivet for perioden 1. januar 31. december Disse serviceunderleverandørers relevante kontrolmål og tilknyttede kontroller indgår ikke i Human Time A/S beskrivelse af serviceydelser og kontroller i tilknytning til whistleblowersystemet. Vi har således alene vurderet erklæringen og testet de kontroller hos Human Time A/S, der overvåger funktionaliteten af serviceunderleverandørens kontroller.

8 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Ledelsen gennemfører én gang årligt en risikoanalyse og gennemgår kontrolmål og kontroller ( 5, stk.2). Vi har udført forespørgsler hos passende personale og inspiceret procedurebeskrivelse og referat fra seneste it-sikkerhedsudvalgsmøde, hvor it-sikkerhedspolitik, risikovurdering samt kontrolmål og kontroller blev gennemgået. Vi har foretaget inspektion af serviceleverandørens it-sikkerhedspolitik, risikovurdering, kontrolmål og kontroller. Instruktion til alle medarbejdere om overholdelse af HumanTimes A/S' kodeks for god it-adfærd ( 6). Vi har udført forespørgsler hos passende personale og inspiceret serviceleverandørens Kodeks for god it-adfærd samt modtaget kopi af alle medarbejderes erklæring om, at de er bekendte med Kodeks for god it-adfærd og vil overholde de beskrevne retningslinjer herfor. Indgåelse af databehandleraftaler med de underleverandører, der behandler persondata ( 7, stk.1). Vi har udført forespørgsler hos passende personale og inspiceret serviceleverandørens indgåede skriftlige databehandleraftale med hosting-leverandøren Aimes Grid Services i England samt tilhørende ISO certifikat. 6

9 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Indgåelse af databehandleraftaler med kunderne ( 7, stk.1). Vi har udført forespørgsler hos passende personale og inspiceret serviceleverandørens standard Softwareserviceaftale Vi har observeret, at hosting hos Aimes Grid Services i England er integreret i aftalen med de enkelte kunder. Begrænsning af de enkelte medarbejderes adgang til personfølsomme oplysninger ( 8). Vi har udført forespørgsler hos passende personale samt observeret, at det alene er medarbejdere i udviklingsafdelingen, der har adgang til udviklingsserveren i Holstebro og produktionsserveren i England. Vi har observeret, at ingen medarbejdere hos serviceleverandøren har adgang til personfølsomme data, da kunderne selv varetager sagsbehandlingen. Vi har observeret, at der ikke er personfølsomme data på udviklingsserveren, da der alene anvendes testdata herpå. Vi har via stikprøver observeret, at personfølsomme data på produktionsserveren er krypterede. 7

10 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Vi har udtrukket oplysninger fra Active Directory, og inspiceret tildelte brugerrettigheder. Begrænsning af adgang til kontorlokalerne i Holstebro ( 8). Vi har udført forespørgsler hos passende personale. Vi har inspiceret nøglekortoversigt samt templates for udlevering og inddragelse af nøglekort. Begrænsning af adgang til kontorlokalerne i Valby ( 8). Vi har udført forespørgsler hos passende personale. Vi har observeret, at de enkelte kontorlokaler er aflåst uden for normal arbejdstid, at indgangsdøren altid er aflåst, og at der er tilkoblet alarm, når der ikke er medarbejdere på kontoret. Vi har inspiceret nøgleoversigt samt templates for udlevering og inddragelse af nøgle. 8

11 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Begrænsning af adgang til hostingcenter ( 8). Vi har udført forespørgsler hos passende personale samt indgåede hostingaftale mellem Aimes Grid Services og serviceleverandøren. Endvidere har vi inspiceret tilhørende sikkerhedsdokumenter og ISO certifikat fra Bureau Veritas. Fratrådte medarbejdere skal afskæres fra at kunne tilgå Human Time A/S fysiske lokationer. Vi har udført forespørgsler hos passende personale samt templates for udlevering og inddragelse af nøgler og nøglekort. Begrænsning af fjernadgang til produktionsserver. Vi har udført forespørgsler hos passende personale samt observeret adgangssikkerheden for fjernadgang til produktionsserveren. Vi har inspiceret udtræk af brugere, grupper og tildelte rettigheder fra Active Directory. Begrænsning af hostingpartners adgang til produktionsserver ( 8). Vi har udført forespørgsel hos passende personale samt observeret adgangssikkerheden til produktionsserveren. 9

12 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Vi har via stikprøvekontrol inspiceret kryptering af personfølsomme data for henholdsvis indberetningsdata og auditlog. Begrænsning af personkreds med adgang til personfølsomme oplysninger i databasen ( 8). Vi har udført forespørgsel hos passende personale for begrænsning af adgang til personfølsomme oplysninger i databasen samt observeret, at personfølsomme data er krypterede. Vi har via stikprøvekontrol inspiceret kryptering af personfølsomme data for henholdsvis indberetningsdata og auditlog. Produktionsserveren skal beskyttes bag en firewall, så ingen udefrakommende kan tilgå den ( 8). Vi har udført forespørgsel hos passende personale og inspiceret indgåede hostingaftale mellem Aimes Grid Services og serviceleverandøren samt tilhørende sikkerhedsdokumenter og ISO certifikat fra Bureau Veritas. Fratrådte medarbejdere skal afskæres fra at kunne tilgå Human Time A/S it-systemer. Vi har udført forespørgsel hos passende personale for nedlæggelse af adgange for fratrådte medarbejdere. 10

13 4.1 Generelle sikkerhedsbestemmelser - 5, 6, 7, 8 og 9 Kontrolmål 1 6 Sikre at risikoanalyse, kontrolmål og kontroller altid er fyldestgørende og afspejler de faktuelle forhold. Sikre at alle medarbejdere er informeret om it-retningslinjerne. Sikre at formelle krav om databehandleraftaler er iagttaget. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger virtuelle rammer. Sikre at uvedkommende ikke har adgang til steder, hvor der behandles personoplysninger fysiske rammer. Sikre at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab. Begrænsning af uvedkommende adgang til oprettede fjernadgangsforbindelser. Vi har udført forespørgsel hos passende personale. Vi har observeret adgangsbegrænsning og sikkerheden i forbindelse med fjernadgang. Det skal tilsikres, at et eventuelt fjendtligt angreb ikke vil kunne udnytte kendte sikkerhedsbrister på produktionsserveren. Vi har udført forespørgsel af passende personale. Vi har observeret, at produktionsserveren løbende opdateres og er sikret med henholdsvis password og faste IP-adresser. Der skal udføres penetrationstests, der dokumenterer, at der ikke er nogen kendte sikkerhedsbrister. Vi har udført forespørgsel hos passende personale. Vi har tillige inspiceret penetrationstestrapporter. Det skal sikres, at data på elektroniske datamedier ikke kommer til uvedkommendes kendskab ved reparation/destruktion af serveren ( 9). Vi har udført forespørgsel hos passende personale. Vi har endvidere inspiceret den indgåede hostingaftale mellem Aimes Grid Services og serviceleverandøren samt tilhørende sikkerhedsdokumenter og ISO certifikater fra Bureau Veritas. 11

14 4.2 Inddatamateriale som indeholder personoplysninger - 10 Kontrolmål 7 Sikre at inddata ikke kommer til uvedkommendes kendskab. Det skal sikres, at inddata, som opbevares hos Human Time A/S, ikke kommer til uvedkommendes kendskab ( 10). samt indgåede aftaler. Vi har observeret, at alle personfølsomme data er sikret med kryptering. Vi har inspiceret procedurebeskrivelser for anvendelse af tolke, som sikrer, at informationer behandles fortroligt, og at medier bliver destrueret behørigt efter endt brug. Det skal sikres, at data ikke kan "opsnappes" i forbindelse med indtastningen i systemet ( 10).. Vi har ved logon til whistleblowersystemet observeret, at forbindelsen er krypteret med et Secure Socket Layer (SSL) certifikat. 12

15 4.3 Autorisation og adgangskontrol - 11, 12 og 16 Kontrolmål 8 9 Etablere betryggende ramme for autorisation og adgangskontrol Human Time A/S. Etablere betryggende ramme for autorisation og adgangskontrol Systembrugerne (kunderne). Der skal være retningslinjer for, hvilke medarbejdere der er autoriseret til at tilgå personfølsomme data, lagret i kundernes systemer ( 11 og 16).. Vi har via Walk Through og stikprøvekontrol observeret, at ingen af serviceleverandørens medarbejdere har adgang til kunders personfølsomme data. Der skal være etableret retningslinjer for brug af login-oplysninger ( 11 og 16).. Vi har observeret opsætning og begrænsninger for de forskellige medarbejdere hos serviceleverandøren. Det skal sikres, at Human Time A/S fratrædende medarbejderes systemadgange inddrages.. Der skal etableres adgangskontrol, så administratorer/sagsbehandlere kun kan logge ind ved brug af personlige login/password ( 12). samt serviceleverandørens standard Softwareserviceaftale Vi har inspiceret standardopsætningen i whistleblowersystemet og observeret login og passwordopsætning. 13

16 4.3 Autorisation og adgangskontrol - 11, 12 og 16 Kontrolmål 8 9 Etablere betryggende ramme for autorisation og adgangskontrol Human Time A/S. Etablere betryggende ramme for autorisation og adgangskontrol Systembrugerne (kunderne). Der skal etableres retningslinjer for password-politik ( 12). samt serviceleverandørens standard Softwareserviceaftale Systemadgange skal kunne begrænses, så der kun er adgang til de nødvendige funktionaliteter ( 12). samt serviceleverandørens standard Softwareserviceaftale Det skal sikres, at kundernes fratrædende medarbejderes systemadgange inddrages ( 12). samt serviceleverandørens standard Softwareserviceaftale 14

17 4.4 Uddatamateriale som indeholder personoplysninger - 13 Kontrolmål 10 Uddata. Begrænsning af adgang til uddata - Human Time A/S medarbejdere ( 13, stk.1). samt serviceleverandørens standard Softwareserviceaftale Begrænsning af adgang til uddata underleverandører ( 13, stk.1). samt kontroller for begrænsning af adgang til uddata. Begrænsning af adgang til uddata kunder ( 13, stk.2). samt serviceleverandørens standard Softwareserviceaftale Ingen afgivelser konstateret. Det skal sikres, at personoplysninger slettes i systemet, når der ikke længere er behov, for at have dem registreret ( 13, stk.4). samt serviceleverandørens standard Softwareserviceaftale 15

18 4.5 Eksterne kommunikationsforbindelser - 14 Kontrolmål 11 Eksterne kommunikationsforbindelser. Det skal sikres, at Human Time A/S opkobling til produktionsserveren sker via en krypteret linje ( 14). samt serviceleverandørens standard Softwareserviceaftale Vi har observeret, at opkobling til produktionsserveren sker via en SSL krypteret forbindelse. Det skal sikres, at der ikke afsendes personfølsomme oplysninger via ( 14).. Vi har observeret, at fremsendte til de berørte administratorer ikke indeholder personfølsomme oplysninger. Det skal sikres, at der ikke transmitteres personfølsomme oplysninger ukrypteret over det åbne internet ( 14).. Vi har observeret, at al kommunikation i administrationsportalen sker via SSL krypteret forbindelse. Det skal sikres, at uvedkommende ikke kan hacke produktionsserveren ( 14). samt indgået aftale mellem Aimes Grid Services og serviceleverandøren, herunder tilhørende sikkerhedsdokumenter og ISO certifikat fra Bureau Veritas. 16

19 4.6 Kontrol med afviste adgangsforsøg - 18 Kontrolmål 12 Kontrol med afviste adgangsforsøg. Det skal sikres, at ingen uvedkommende kan få adgang til personfølsomme oplysninger i whistleblowersystemet ved bruteforce-hacking ( 18). samt serviceleverandørens standard Softwareserviceaftale Vi har observeret standardopsætningen for login-forsøg. Ingen afgivelser konstateret 17

20 4.7 Logning - 19 Kontrolmål 13 Logning. Det skal sikres, at alle væsentlige handlinger logges ( 19). samt opsætning af Auditlog. Ingen afgivelser konstateret Det skal sikres, at kun særligt autoriserede personer kan se audit-loggen ( 19). samt serviceleverandørens standard Softwareserviceaftale Vi har observeret, at Audit loggen er krypteret. Ingen afgivelser konstateret Det skal sikres, at audit-loggen slettes efter 6 måneder. samt serviceleverandørens standard Softwareserviceaftale Ingen afgivelser konstateret 18

21 4.8 Almindelige bestemmelser - 3 Kontrolmål 14 Sikre at produktionsdata ikke fortabes. Der skal implementeres backup-procedurer, der tilsikrer effektiv backup af produktionsdata ( 3). samt serviceleverandørens standard Softwareserviceaftale Vi har inspiceret indgåede aftale mellem Aimes Grid Services og serviceleverandøren samt tilhørende sikkerhedsdokumenter og ISO certifikat fra Bureau Veritas. Vi har inspiceret indgåede aftale for remotebackup, konfiguration af backup og revisorerklæring om underleverandørens efterlevelse af egen itsikkerhedspolitik. Ingen afgivelser konstateret Det skal dokumenteres, hvorvidt de enkelte backups er blevet udført korrekt.. Vi har observeret rapporter for daglig sikkerhedskopiering og inspiceret dokumentation herfor. Ingen afgivelser konstateret Det skal sikres, at backup-proceduren for kundeportaler på produktionsserveren fungerer korrekt, og at backup-sæt kan retableres korrekt. samt serviceleverandørens standard Softwareserviceaftale Vi har observeret, at der har været foretaget retablering af produktionsdata med efterfølgende test af, om indlæste data var fuldt funktionsdygtige, og at der forefindes dokumentation herfor. Ingen afgivelser konstateret 19

22 4.9 Andre forhold Kontrolmål Beskyttelse af kildekode. Sikre at kundeportalerne hurtigt kan retableres i tilfælde af systemnedbrud. Sikre at systemændringer er veldokumenterede og er testet, inden de lægges i produktion. Sikre oppetid. Der skal implementeres en backupprocedure, der tilsikrer effektiv backup af kildekoden. Backupprocedure og kontroller er beskrevet under punkt 4.8. Det skal sikres, at de enkelte kildekode-backups bliver udført korrekt. Procedure for verificering af backup er beskrevet under punkt 4.8. Det skal sikres, at backup-proceduren for kildekoden fungerer korrekt, og at backup sæt kan retableres korrekt. Procedure for restoretest af backup er beskrevet under punkt 4.8. Det skal sikres, at uvedkommende ikke kan få adgang til kildekoden på udviklingsmaskinerne.. Vi har ved udtræk af brugerrettigheder fra Active Directory observeret begrænsning for adgang til kildekoden. Det skal tilsikres, at uvedkommende ikke kan få fysisk adgang til udviklingsserveren.. Vi har inspiceret nøglekortoversigt samt templates for udlevering og inddragelse af nøglekort. Ingen afgivelser konstateret 20

23 4.9 Andre forhold Kontrolmål Beskyttelse af kildekode. Sikre at kundeportalerne hurtigt kan retableres i tilfælde af systemnedbrud. Sikre at systemændringer er veldokumenterede og er testet, inden de lægges i produktion. Sikre oppetid. Der skal være en beredskabsplan, der foreskriver, hvordan kundeportalerne hurtigt kan retableres i tilfælde af hardwarefejl/systemnedbrud. og inspiceret beredskabsplanen. Vi har tillige inspiceret indgåede aftale mellem Aimes Grid Services og serviceleverandøren samt tilhørende sikkerhedsdokumenter og ISO certifikat fra Bureau Veritas. Ingen afgivelser konstateret Det skal sikres, at det registreres, hvilke systemændringer der implementeres i hver versionsopdatering. Alle systemændringer skal testes på betryggende vis, inden de lægges i produktion.. Vi har i udviklingsværktøjet observeret, at samtlige ændringer registreres heri. i forbindelse med håndtering af systemændringer, herunder bestilling af ændringer, test og godkendelse heraf, før den endelige version overføres til produktionsmiljøet. Der skal implementeres versionsstyring for de enkelte kildekodefiler. Versionsstyring af kildekodefiler er medtaget under kontrollen for registrering af, hvilke systemændringer der implementeres i hver versionsopdatering. 21

24 4.9 Andre forhold Kontrolmål Beskyttelse af kildekode. Sikre at kundeportalerne hurtigt kan retableres i tilfælde af systemnedbrud. Sikre at systemændringer er veldokumenterede og er testet, inden de lægges i produktion. Sikre oppetid. Der skal implementeres et overvågningssystem, der registrerer nedetid.. Vi har observeret overvågningssystemet og registrering af nedetid for hver enkelt kunde. Overvågning af øvrigt produktionsudstyr varetages af hostingcentret Aimes Grid Services. 22

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland Lovafdelingen Dato: Kontor: Databeskyttelseskontoret Sagsbeh: André Dybdal Pape/ Marcus Nymand Sagsnr.: 2016-766-0019 Dok.: 2104838 Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Pr. 31. december 2014

Pr. 31. december 2014 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Emini A/S Uafhængig revisors

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. om [Indsæt navn på aftale] Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

1. Indledende bestemmelser Formål. Område

1. Indledende bestemmelser Formål. Område 1. Indledende bestemmelser Formål 1.1 Formålet med bestemmelserne er, at den enkelte persons retsbeskyttelse og integritet ikke krænkes ved behandling af personoplysninger i Region Hovedstaden og på Steno

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

Sikkerhedsregler for Kalundborg Kommune

Sikkerhedsregler for Kalundborg Kommune Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til

Læs mere

Dokumentation af sikkerhed i forbindelse med databehandling

Dokumentation af sikkerhed i forbindelse med databehandling - Dokumentation af sikkerhed i forbindelse med databehandling Al databehandling, der er underlagt persondataloven, skal overholde de tekniske krav, der er opstillet i Datatilsynets bekendtgørelse 528 (sikkerhedsbekendtgørelsen).

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik Informationssikkerhedspolitik Er informationssikkerhed aktuel? Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet Hvorfor

Læs mere

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) Databehandleraftale mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) og Hedensted Kommune Horsens Kommune Odder Kommune Niels Espes Vej 8 Rådhustorvet 4 Rådhusgade

Læs mere

PERSONDATALOVEN OG SUNDHEDSLOVEN

PERSONDATALOVEN OG SUNDHEDSLOVEN KIROPRAKTIK 2014 PERSONDATALOVEN OG SUNDHEDSLOVEN Kort om Persondataloven og Sundhedsloven Sundhedsloven 'Hovedloven' på området Relevant i ft. oplysninger er særligt:» Tavshedspligt, indhentelse og videregivelse

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Sikkerhed i Stamdatamodulet KOMBIT

Sikkerhed i Stamdatamodulet KOMBIT Sikkerhed i Stamdatamodulet KOMBIT 1 Indholdsfortegnelse 1 Indholdsfortegnelse... 2 2 Historik... 3 3 Oversigt... 4 3.1 Relevante OCES-detaljer... 4 4 Overholdelse af persondatalov mv.... 5 5 Importer...

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Dataklassificering på Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Indeks Indeks... 2 Introduktion... 3 Formål... 3 Interessenter... 3 Dokument struktur... 3 Revision af dokumentet...

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

MUSEUM ØSTJYLLAND. Revisionsprotokollat af 26. maj (side 16-20) Revision af Budget- og Regnskabsskemaet for 2014

MUSEUM ØSTJYLLAND. Revisionsprotokollat af 26. maj (side 16-20) Revision af Budget- og Regnskabsskemaet for 2014 Tlf: 33 12 65 45 CVR-nr. 29 79 40 30 randers@bdo.dk www.bdo.dk BDO Kommunernes Revision Godkendt revisionsaktieselskab Thors Bakke 4, 2. DK-8900 Randers MUSEUM ØSTJYLLAND Revisionsprotokollat af 26. maj

Læs mere

Whistleblower-politik

Whistleblower-politik Whistleblower-politik 1. Hvad er formålet med whistleblower-politikken? Hvis du som medarbejder bliver opmærksom på uregelmæssigheder, så vil det være naturligt at du går til din chef, til HR-afdelingen,

Læs mere

Cloud Computing De juridiske aspekter

Cloud Computing De juridiske aspekter Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

Bekendtgørelse om tilsynet med de anerkendte arbejdsløshedskassers administration

Bekendtgørelse om tilsynet med de anerkendte arbejdsløshedskassers administration BEK nr 370 af 28/04/2011 (Gældende) Udskriftsdato: 23. januar 2017 Ministerium: Beskæftigelsesministeriet Journalnummer: Beskæftigelsesmin., Pensionsstyrelsen, j.nr. 10-22-0024 Senere ændringer til forskriften

Læs mere

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer Borgerrådgiveren Socialforvaltningen Brev er d.d. fremsendt pr. e-mail. 16-11-2012 Sagsnr. 2012-98616 Dokumentnr. 2012-900691 Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31. Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til drifts- og hosting-ydelser for 1. januar 2014 til 31. december 2014 Indholdsfortegnelse Ledelsens

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

Version: 1.2 Side 1 af 6

Version: 1.2 Side 1 af 6 1. Efterleves en procedure hos Bank RA, som sikrer, at egne brugere bliver legitimerede brugere i henhold til gældende lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme?

Læs mere

RISIKOANALYSE CYBER RISK / DATA OG NETFORSIKRING

RISIKOANALYSE CYBER RISK / DATA OG NETFORSIKRING 1 Involverede parter 1.1 Virksomheden Navn: CVR.nr. Kontaktperson: Juridiske enheder omfattet af analysen: 1.2 Willis Adresse Forsikringsmægler E-mail / Telefon @willis.dk / 88 139 2 Om virksomheden 2.1

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Greve Kommune. Revision af generelle it-kontroller

Greve Kommune. Revision af generelle it-kontroller Deloitte Statsautoriseret Revisionsaktieselskab CVR-nr. 4 1 37 14 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma 647-192717 JNA/jna 26.09.2016 DATABEHANDLERAFTALE mellem herningcentret (Dataansvarlig) og Emplate ApS (Databehandler) Advokatfirma Indholdsfortegnelse 1. Parterne... 3 2. De juridiske rammer... 3 3. Pligt

Læs mere

Datatilsynets inspektionsrapport

Datatilsynets inspektionsrapport Side 1 af 28 Datatilsynets inspektionsrapport Version 1.0 af Datatilsynets inspektionsskema i SurveyXact Dette skema anvendes på Datatilsynets inspektioner hos myndigheder. Tilsynet udfylder skemaet med

Læs mere

Overskrift: Sikkerhed og fortrolighed ved personhenførbare data - Omsorgssystemer Akkrediteringsstandard: Revideres: Februar 2019

Overskrift: Sikkerhed og fortrolighed ved personhenførbare data - Omsorgssystemer Akkrediteringsstandard: Revideres: Februar 2019 1 of 5 Overskrift: Sikkerhed og fortrolighed ved personhenførbare data - Omsorgssystemer Akkrediteringsstandard: Sikkerhed og fortrolighed ved personhenførbare data Formål: Godkendt: Februar 2016 Revideres:

Læs mere

It-sikkerhedstekst ST6

It-sikkerhedstekst ST6 It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

It-sikkerhedstekst ST11

It-sikkerhedstekst ST11 It-sikkerhedstekst ST11 Fælles login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST11 Version 1 September 2016 Fælles login Udtrykket "Login" anvendes om den proces, der giver

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

DANMARKS BIBLIOTEKSFORENING UDSKRIFT AF REVISIONSPROTOKOL SIDE 123-127 VEDRØRENDE ÅRSREGNSKABET 2013

DANMARKS BIBLIOTEKSFORENING UDSKRIFT AF REVISIONSPROTOKOL SIDE 123-127 VEDRØRENDE ÅRSREGNSKABET 2013 Tlf: 39 15 52 00 BDO Statsautoriseret revisionsaktieselskab koebenhavn@bdo.dk Havneholmen 29 www.bdo.dk DK-1561 København V CVR-nr. 20 22 26 70 DANMARKS BIBLIOTEKSFORENING UDSKRIFT AF REVISIONSPROTOKOL

Læs mere

ANDELSBOLIGFORENINGEN AF 1941 RINGSTED. EKSTRAKT AF REVISIONSPROTOKOLLAT PR. 31. DECEMBER 2013 (afd )

ANDELSBOLIGFORENINGEN AF 1941 RINGSTED. EKSTRAKT AF REVISIONSPROTOKOLLAT PR. 31. DECEMBER 2013 (afd ) Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 ANDELSBOLIGFORENINGEN AF 1941 RINGSTED EKSTRAKT AF REVISIONSPROTOKOLLAT

Læs mere

LÆSØ NATURA-2000 LODSEJERFORENING F.M.B.A. STORHAVEVEJ 4, 9940 LÆSØ OPGØRELSE AF SKATTEPLIGTIG INDKOMST INDKOMSTÅRET 2015 (REGNSKABSÅRET 2015)

LÆSØ NATURA-2000 LODSEJERFORENING F.M.B.A. STORHAVEVEJ 4, 9940 LÆSØ OPGØRELSE AF SKATTEPLIGTIG INDKOMST INDKOMSTÅRET 2015 (REGNSKABSÅRET 2015) Tlf: 99 89 14 00 BDO Statsautoriseret revisionsaktieselskab saeby@bdo.dk Sæbygårdvej 25 www.bdo.dk DK-9300 Sæby CVR-nr. 20 22 26 7020222670 LÆSØ NATURA-2000 LODSEJERFORENING F.M.B.A. STORHAVEVEJ 4, 9940

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Bilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler

Bilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler Acadrenr. 15/27563 Bilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler og persondataloven for Helsingør Kommune Indledning / Introduktion It-sikkerhedsaftale med ekstern part som følger af

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

HUMLEBÆK BOLIGSELSKAB. EKSTRAKT AF REVISIONSPROTOKOLLAT PR. 31. DECEMBER 2013 (afd. 406)

HUMLEBÆK BOLIGSELSKAB. EKSTRAKT AF REVISIONSPROTOKOLLAT PR. 31. DECEMBER 2013 (afd. 406) Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMLEBÆK BOLIGSELSKAB EKSTRAKT AF REVISIONSPROTOKOLLAT PR.

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Datatilsynet har besluttet at undersøge sagen af egen drift.

Datatilsynet har besluttet at undersøge sagen af egen drift. KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål

Læs mere

Understøttelse af LSS til NemID i organisationen

Understøttelse af LSS til NemID i organisationen Understøttelse af LSS til NemID i organisationen Table of contents 1 Dette dokuments formål og målgruppe... 3 2 Introduktion til LSS til NemID... 4 2.1 Forudsætninger hos organisationen... 5 2.1.1 SSL

Læs mere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

TVovervågning. Struer Kommune Retningslinjer for anvendelse og indkøb af. TV-overvågning

TVovervågning. Struer Kommune Retningslinjer for anvendelse og indkøb af. TV-overvågning TVovervågning Struer Kommune Retningslinjer for anvendelse og indkøb af TV-overvågning Formål TV-overvågning i Struer Kommune benyttes for at bekæmpe, forebygge og opklare kriminelle handlinger som hærværk,

Læs mere

Bilag 7, Den uafhængige revisors erklæring om kvalitetskontrol (blank)

Bilag 7, Den uafhængige revisors erklæring om kvalitetskontrol (blank) Bilag 7, Den uafhængige revisors erklæring om kvalitetskontrol (blank) Virksomhedens ledelse har ansvaret for etablering, implementering anvendelse af det generelle erklæringsopgaver med sikkerhed samt

Læs mere

Oversigt (indholdsfortegnelse)

Oversigt (indholdsfortegnelse) Oversigt (indholdsfortegnelse) Kapitel 1 - Almindelige bestemmelser Kapitel 2 - Generelle sikkerhedsbestemmelser Kapitel 3 - Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2013 August 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 15. august 2014 Formål Vi har i perioden

Læs mere