MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Transkript

1 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Telefon Telefax MedCom Revisorerklæring vedrørende overholdelse af relevante forhold relateret til Lov om behandling af personoplysninger i forbindelse med Sundhedsdatanettet Året 2015

2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Telefon Telefax MedCom Att.: Lars Hulbæk Forskerparken Odense M Erklæring fra uafhængig revisor vedrørende overholdelse af relevante forhold relateret til Lov om behandling af personoplysninger i forbindelse med Sundhedsdatanettet Indledning Deloitte har indgået aftale med MedCom om at afgive revisorerklæring på udvalgte forhold relateret til driften af Sundhedsdatanettet (SDN). Baggrunden herfor er, at MedCom ønsker at kunne dokumentere over for de tilsluttede organisationer, at der generelt er etableret tilstrækkelige kontroller ift. persondatalovgivningen i relation til driften af SDN, herunder VDX. MedCom varetager de juridiske aftaler med organisationerne, som tilsluttes SDN. MedCom har outsourcet den praktiske håndtering af it-infrastrukturen til NetDesign, der anvender underleverandøren Netic til blandt andet drift af Aftalesystemet samt housing af knudepunktet, som fysisk står i Netics eget datacenter og hos Novi. Endvidere foretages udvikling af Aftalesystemet via Trifork. TDC leverer MPLS-netværksforbindelser til SDN. Det bemærkes, at nærværende erklæring efter aftale ikke omfatter sikkerheden i MPLS-infrastrukturen. Det er MedComs ansvar at sikre, at de nødvendige drifts- og sikkerhedsmæssige kontroller i relation til de relevante dele af Persondataloven er etableret. Det er de enkelte kunder, der beslutter og bærer ansvaret for, hvilke andre SDN-tilsluttede organisationer, der kan tilgå deres data, hvilke personoplysninger, der transmitteres via SDN, og hvorledes disse anvendes. Indhold, herunder kryptering, på SDN, er således ikke omfattet af erklæringen. Vores ansvar er, på basis af vores arbejde, at udtrykke en konklusion om, hvorvidt vi er enige i, om de relevante kontroller er etableret og tilstrækkelige til at opfylde de relevante krav i Persondataloven.

3 Deloitte 2 Nærværende erklæring er alene beregnet for MedCom, MedComs revisorer samt organisationer, der er eller ønsker at blive tilsluttet SDN. Den udførte revision Revisionen er udført i overensstemmelse med revisionsstandard 3000 (ISAE 3000 DK), således at der opnås en høj, men ikke fuldstændig, sikkerhed for vores konklusioner. Vi har overholdt kravene til uafhængighed og andre etiske krav i IESBA s Etiske regler, som er baseret på grundlæggende principper om integritet, objektivitet, faglige kompetencer og fornøden omhu, fortrolighed samt professionel adfærd. Deloitte anvender ISQC 1 og opretholder derfor et omfattende system for kvalitetsstyring, herunder dokumenterede politikker og procedurer for overholdelse af etiske regler, faglige standarder samt gældende krav ifølge lov og øvrig regulering. Revisionen er foretaget ved interview, observationer, analyse og vurdering af de interne kontroller samt ved gennemførelse af tekniske analyser, herunder blandt andet sårbarhedsskanninger og review af konfigurationer for SDN firewall og routere. Vi har stikprøvevis efterprøvet de beskrevne kontrolforanstaltninger, herunder vurdering af etablerede retningslinjer og af den tekniske sikkerhedsopsætning på de tekniske platforme, som understøtter SDN. Vi har endvidere påset tilstedeværelsen af fysisk og logisk sikkerhed omkring SDNkommunikationsudstyr placeret hos to udvalgte kunder. Revisionen er gennemført i marts og april 2016 og omfatter en vurdering af, hvorvidt kontrollerne har været hensigtsmæssigt designet og implementeret samt opretholdt gennem hele Vi har endvidere gennemført revisionen med udgangspunkt i Deloittes vurdering af god it-skik, og det er vores opfattelse, at det udførte arbejde giver et tilstrækkeligt grundlag for vores konklusion. Erklæringen dækker relevante forhold generelt hos MedCom og NetDesign/Netic, men omfatter ikke eventuelle afvigelser fra den generelle kontrakt, som enkeltkunder måtte have aftalt med MedCom. En vurdering af en kundes eventuelle individuelle aftaler med Medcom omkring anvendelse af SDN er således ikke omfattet af denne erklæring, og vil kræve en kundespecifik erklæring.

4 Deloitte 3 Grundlag for konklusion med forbehold Vi har identificeret følgende væsentlige svagheder i kontrolmiljøet vedrørende SDN: Manglende opdatering og sikkerhedspatchning på dele af henholdsvis det testede netværksudstyr, den anvendte serverplatform og webapplikationer (kontrolmål D5). Manglende proaktiv opfølgning på adgang til kritiske netværksenheder og produktionsservere, herunder manglende logning af direkte login på databasen til Aftalesystemet (kontrolmål D6). Manglende dokumentation af netværksopsætning omkring aftalesystemet, som dokumenterer, at det ikke er netværksmæssigt forbundet til støttesystemer, som indeholder kendte sårbarheder (A12). Der henvises til bilag 1 med oplistning af og forklaring på de ovenfor nævnte krav og kontrolmål. Konklusion med forbehold Bortset fra de kontrolmål, som er nævnt under Grundlag for konklusion med forbehold, kan vi erklære, at der for de i bilag 1 nævnte kontrolmål har været etableret hensigtsmæssige og betryggende kontroller i perioden 1. januar 31. december Kontrolmål, der i bilag 1 er markeret med grå, er ikke omfattet af revisionen, idet det er den enkelte SDN organisations ansvar at leve op til disse kontrolmål. København, den 14. juni 2016 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Steen Gellert-Kristensen statsautoriseret revisor Brian Bomholdt director, CISA

5 Deloitte 4 Bilag 1: Kontrolmål ved gennemgang af systemer i relation til Persondataloven Bestemmelserne i Persondataloven og Sikkerhedsbekendtgørelsen er i forhold til sikkerhedskravene på flere punkter af mere generel og overordnet karakter. Som følge heraf henviser den vejledning, som Datatilsynet har udarbejdet i forbindelse med Sikkerhedsbekendtgørelsen til de krav, der stilles fra den dataansvarlige og til ISO De krav, som fremgår direkte af loven eller bekendtgørelsen kan ikke fraviges. Derimod kan der justeres på, hvordan sikkerheden implementeres, når der skal findes støtte i vejledningen, ISO27001 og almindelig god praksis. Herudover kan der være konkrete krav i de enkelte kundekontrakter, der kan have en rækkevidde, der går ud over Persondatalovens almindelige krav. Disse er i givet fald ikke omfattet af nedenstående. De enkelte målepunkter udspringer enten i Persondataloven, i Sikkerhedsbekendtgørelsen eller er uddybet på anden vis, f.eks. via ISO Dette er symboliseret via anvendelsen af nedenstående figurer. Betyder, at målepunktet udspringer direkte af et krav i Persondataloven. Betyder, at kravet fremgår direkte i Sikkerhedsbekendtgørelsen. Betyder, at kravet er en konkretisering af et overordnet mål, som er angivet i lov/bekendtgørelse. Kontrolmål markeret med gråt er den enkelte kundes ansvar og således ikke omfattet af denne erklæring. Ref. Kontrolmål A. Behandlingssikkerhed A1 A2 A3 A4 A5 Retningslinjer for sikkerhedsorganisation er udarbejdet. Data behandles efter kontrakt/tilladelse fra dataansvarlig. Data videregives ikke fra systemet uden særskilt tilladelse fra den dataansvarlige. Retningslinjer for fysisk sikring er udarbejdet og følges. Retningslinjer for foranstaltninger for logisk sikkerhed, herunder logning, er udarbejdet. A6 A7 Retningslinjer for administration af autorisationer er udarbejdet. Tildelte adgange er i overensstemmelse med arbejdsmæssigt betingede behov (Sikkerhedsbekendtgørelsen 12 og 16 autorisation og adgangskontrol). A8 Tildelte brugeradgange revurderes halvårligt (Sikkerhedsbekendtgørelsen 17). A9 Retningslinjer for sikkerhedskopiering er udarbejdet. A10 Retningslinjer for behandling af uddatamateriale (print) er udarbejdet (Sikkerhedsbekendtgørelse 13).

6 Deloitte 5 Ref. A11 A12 A13 A14 A15 Kontrolmål Retningslinjer for bortskaffelse/reparation af it-udstyr med persondata er udarbejdet. Retningslinjer for sikring af eksterne kommunikationslinjer er udarbejdet. Alle de interne retningslinjer gennemgås årligt. Medarbejdere instrueres om, hvorledes behandling af data skal ske. Overdragelse af data til leverandører sker sikkert og ved skriftlig kontrakt. B. Den registreredes rettigheder B1 B2 B3 B4 B5 Den dataansvarlige har opfyldt sin oplysningspligt. Der er indført foranstaltninger til sikring af den registreredes indsigelsesret. Der er indført foranstaltninger til sikring af den registreredes indsigtsret. Den registreredes ret til at kræve urigtige oplysninger rettet, slettet eller blokeret, sikres overholdt igennem retningslinjer eller lignende sikringsforanstaltninger. Der er indført foranstaltninger til sikring af den registreredes ret til at tilbagekalde samtykke. C. Anmeldelse C1 Anmeldelser til Datatilsynet foreligger, eller undtagelser fra anmeldelse er indhentet. D. Krav til applikationen og det omkringliggende miljø D1 D2 D3 Data er sikret igennem brug af firewall, der er konfigureret i overensstemmelse med den dataansvarliges sikkerhedspolitik (Sikkerhedsbekendtgørelsen 14) Der gøres brug af antivirus-systemer, og der sker kontinuerligt sikkerhedsopdatering af huller i applikationer (Sikkerhedsbekendtgørelsen 14) Fysisk sikring af platformene er etableret på betryggende vis. D4 D5 D6 Backup og sikkerhedskopiering gennemføres i overensstemmelse med kravene. Logisk sikkerhed på platformen for applikationen er konfigureret korrekt og hensigtsmæssigt (Sikkerhedsbekendtgørelsen 14). Mulighed for logning på applikationsniveau, så alle adgange og behandlinger på personoplysninger kan logges (Sikkerhedsbekendtgørelsen 18). BBOM/as T:\Afd1180\MedCom\2016\Erklæring_behandling af personoplysninger - END docx