Compliancekrav til din leverandør

Transkript

1 1 Cmpliancekrav til din leverandør - It-sikkerhed - Standarder - Kntraktregulering - CSR-krav - Januar 2017, Niels M. Andersen 2 Hvrfr er det vigtigt, at stille krav til sin leverandørs cmpliance med it-sikkerhed, kvalitetsstandarder g CSR mv.? Stigning i hacking, misbrug, fraud g ransmware Clud, data center løsninger, netværk g infrastuktur Mere kmplekse ITsystemer g flere integratiner både i lukkede g åbne fra Stigning i utsurcing Hvrfr stille krav til sin leverandørs cmpliance? Flere devices g platfrme samt flere adgange g indgange til de enkelte systemer Øget afhængighed af underleverandørers ydelser Image, tillid hs kunder, mediemtale Persndata g 2018-krav Øget g skærpet lvgivning g myndighedsregulering samt cmpliance Det bliver kun værre med de igangværende trends, se bl.a.: technlgy-trends-impacting-infrastructure-peratins/ 1

2 3 Mange frskellige frmer fr cmpliancekrav til leverandører Ÿ Ÿ Ÿ Lvgivning Lve Bekendtgørelser Myndighedskntrl g beslutninger Standarder Prces Branche Tekniske Beskyttelse af særlige plysninger Persndata Frretningshemmeligheder IP Frtrlig infrmatin Ÿ Særlige mråder (fx miljø, fødevarer g sundhed) à I det følgende fkus på it-sikkerhed, standarder, CSR-krav g kntraktregulering 4 It-sikkerhed 2

3 5 6 it-trusler, du g dine leverandører skal være pmærksmme på 1. Hacking g Datalæk f.eks. Se- g Hør-sagen, CPR numre lækket i mange tilfælde, hackerangreb fra g md stater, myndigheder, firmaer, rganisatiner mv 2. Ransmware mere end hver femte danske virksmhed g myndighed har været ramt af ransmware, viser undersøgelser fra Dansk IT g PWC Security 3. IT-nedbrud f.eks. da Yusee-kundernes tv-signal gik i srt nytårsaften 4. SPAM g phishing f.eks. da Patent- g Varemærkestyrelsen i 2016 blev franarret et beløb på 6,7 mi. kr. gennem såkaldt direktør-svindel 5. Malware på mbile enheder 1 ud af 25 arbejdsmbiler rammes af malware, ifølge en undersøgelse af sikkerhedsfirmaet Skycure 6. DDS- angreb (Distributed Denial f Service) f.eks. DDS angrebet på DNS-firmaet DYN, sm lagde tjenester sm Sptyfi, Twitter g Amazn ned. 6 IT-sikkerhedslvgivning fr den private g ffentlige sektr Lvgivning Selskabslven 115 Persndatalven g persndatafrrdningen (sidstnævnte træder i kraft d. 25. maj 2018) Outsurcingbekendtgørelsen Ledelsesbekendtgørelsen Sikkerhedsbekendtgørelsen (persndata) Bek. m persndatasikkerhed i frbindelse med udbud af ff. elektrniske kmmunikatinstjenester Lve g bekendtgørelser fr særlige brancher g mråder m infrmatinssikkerhed, lgning g beredskab Indirekte lvkrav Anvendelsesmråde Alle aktie- g anpartsselskaber Både private g ffentlige virksmheder Finansielle virksmheder Frsikringsselskaber g finansielle hldingvirksmheder Databehandlere fr den ffentlige frvaltning Udbud af ffentlige elektrniske kmmunikatinstjenester Teleudbydere, el- g naturgassektrerne (ny lvændring pr. 1. januar 2017 ) g andre lvregulerede særlige mråder g brancher. Fr både private g ffentlige virksmheder Der må frventes yderligere lvgivning g anden regulering 3

4 7 Eksempler på indirekte lvkrav, der påvirker it-sikkerheden Tavshedspligt f.eks. frvaltningslvens 27 fr den ffentlige frvaltning samt regler fr advkater, læger g præster Hvidvaskning f.eks. undersøgelses- g underretningspligt jf. hvidvaskningslvens 6: De af lven mfattede virksmheder g persner skal være pmærksm på kunders aktiviteter [ ] Børsret f.eks. markedsmisbrugsfrrdningen vedrørende plysningspligt, insiderhandel, kursmanipulatin, interne regler mv. Lvgivning g regler vedr. transprt, betaling, fødevarer, sundhed, miljø mv. de knkrete regler, der skal verhldes har str betydning fr IT-sikkerhed Sikkerhedsbekendtgørelsen f.eks. 12: Der skal træffes franstaltninger fr at sikre, at kun autriserede brugere kan få adgang, g at disse kun kan få adgang til de persnplysninger g anvendelser, sm de er autriserede til Straffelven Straffelvens 263 vedrørende brevhemmeligheden (relevant fr plitik, misbrug mv.) 8 Beredskabsplaner Beredskabsplaner i virksmheder efter ledelsesbeslutning Disaster recvery Business cntinuity plan Andre sikkerheds- g beredskabsplaner afpasset den enkelte virksmhed g branche Bekendtgørelser sm har til frmål at fastsætte regler m beredskab på nærmere definerede mråder, fx: Bekendtgørelse m infrmatinssikkerhed g beredskab i net g tjenester Bekendtgørelse m beredskab fr naturgassektren Bekendtgørelse m beredskab fr elsektren (inklusive fr frsyningskritiske it-systemer) Bekendtgørelse m planlægning af sundhedsberedskabet Bekendtgørelse m beredskab m.v. i frbindelse med ffshre lie- g gasaktiviteter m.v. Bekendtgørelse m beredskab m frurening af havet fra lie- g gasanlæg mv. Bekendtgørelse m jernbanevirksmhedere g jernbaneinfrastrukturfrvaltere Bekendtgørelse m risikbaseret kmmunalt redningsberedskab 4

5 9 Standarder 10 Revisinsstandarder: Årsrapprter, revisin g it-sikkerhed Dkumentatin fr kvaliteten af ydelsen fr IT-services Det er et lvfæstet krav, at ffentlige myndigheder kan dkumentere kvaliteten af it-services Desuden har adskillig aktører i den finansielle sektr valgt at følge de samme krav, sm stilles til ffentlige myndigheder Andre private virksmheder har valgt at kræve revisrerklæringer, frdi de pågældende IT-services er væsentlige fr virksmhedens drift. Det følger af regnskabsvejledning fr klasse B- g C-virksmheder punkt 5.1.8, at: ønsker en virksmhed, at revisr afgiver erklæring med sikkerhed m ledelsesberetningen, skal revisr udarbejde en særskilt erklæring herm efter den internatinale standard m andre erklæringspgaver med sikkerhed g yderligere krav ifølge dansk revisrlvgivning, ISAE Vejledningen frefindes på: FSR, Dansk IT, IIA g ISACA har udarbejdet publikatinen Gd it-skik, hvri nævnes følgende eksempler på metdeværk : COBIT, ISO, MSP, PRINCE2, PMI, CMMI g ITIL. Publikatinen frefindes på: 5

6 11 Revisinsstandarder ISAE g SSAE (SOC) ISAE er en frkrtelse fr Internatinal Standard fr Assurance Engagements, g er en revisinsstandard. Standarden dkumenterer, at en servicerganisatin har tilstrækkelig intern kntrl, fx inden fr itsikkerhed ISAE 3402 s dkumenttitlen er Assurance Reprts On Cntrls At A Service Organizatin g kan findes her: USA: Statement n Standards fr Attestatin Engagements n. 16 (SSAE 16): g ( Ppulært benævnt SOC 1 (afrapprteringsvalg sm anvendes sm den prfessinelle SSAE 16 standard), SOC 2 (var specielt designet til mange af nutidens clud cmputing, Sftware as a Service (SaaS), g teknlgi relaterede service rganisatiner) g SOC 3 (tillader servicerganisatiner at afrapprtere m et vilkårligt antal af de fem Trust Services Principper (sikkerhed, tilgængelighed, prcesintegritet, frtrlighed g beskyttelse af persnlige plysninger)) SOC 1, 2 g 3 erstatter de tidligere SAS70 audits g erklæringer. Hvedfrskelle mellem ISAE g SSAE: SSAE bygger på ISAE s struktur, men der er grundlæggende 9 hvedfrskelle hvr SSAE afviger fra ISAE, sm fremgår af: Mange kncerner g udbydere pfylder begge, eksempelvis Micrsft Azure platfrm: 12 ISO-standarder ISO (Internatinal Organizatin fr Standardizatin) er verdens største g mest kendte udgiver af internatinale standarder. Blandt de mest kendte g anvendte ISO-standarder er ISO27000-serien, sm består af en række standarder med indbyrdes relatiner. Ngle af disse standarder pstiller krav (nrmative), mens andre er vejledende i frhld til frskellige aspekter af implementering af et ledelsessystem fr infrmatinssikkerhed. Oversigt ver de vigtigste standarder i serien (ngle af disse standarder er stadig under udarbejdelse): ISO27000 Retningslinjer Indehlder en versigt ver familien samt de definitiner g frudsætninger, der anvendes i resten af standarderne ISO27001 Nrmativ Indehlder krav til, hvrledes et infrmatinssikkerhedsledelsessystem skal implementeres g vedligehldes ISO27002 Retningslinjer Indehlder en liste af alment anerkendte kntrller, der kan bruges sm hjælp ved udvælgelsen g implementeringen af de kntrller, der er nødvendige fr at pnå passende infrmatinssikkerhed i en given rganisatin ISO27003 Retningslinjer Indehlder retningslinjer fr implementering af ISO/IEC ISO27004 Retningslinjer Indehlder retningslinjer fr, hvrdan man kan måle effektiviteten af et infrmatinssikkerhedsledelsessystem ISO27005 Retningslinjer Indehlder retningslinjer fr risikvurdering g -styring ISO27006 Nrmativ Indehlder krav til rganisatiner, der skal certificere andre rganisatiner efter ISO/IEC

7 13 1. Lvkrav Offentlige myndigheder g it-sikkerhed ISO internatinal standard til styring af infrmatinssikkerhed Staten Reginer Kmmuner ISO27001 er valgt sm statslig sikkerhedsstandard efter DS484 (bligatriske standard fra 2007 til 2014) Den natinale cyber- g infrmatinssikkerhedsstrategi fra regeringen anfører, at ISO27001 skal være implementeret prim 2016 Selvejende statslige institutiner er ikke frpligtet, men Digitaliseringsstyrelsen anbefaler implementering mhp. at sikre cmpliance med diverse lvgivninger, der regulerer håndtering af infrmatiner. Danske Reginer: Udgangspunktet er, at reginerne skal følge ISO27001 Den Fællesreginale Infrmatinssikkerhedsplitik er udarbejdet i et samarbejde mellem Regin Hvedstaden, Regin Sjælland, Regin Syddanmark, Regin Midtjylland g Regin Nrdjylland. KL anbefaler anvendelse af ISO27001 i kmmunerne. 14 Fem grunde til valget af ISO27001 Ifølge Digitaliseringsstyrelsen er der fem grunde til valget af ISO27001 sm sikkerhedsstandard: 1) Standarden tager udgangspunkt i den enkelte institutins risikprfil g lægger p til, at der implementeres netp de sikkerhedsfranstaltninger g kntrlprcedurer, der er passende fr den enkelte institutin 2) ISO27001-standarden lægger str vægt på ledelsens engagement g bevidste stillingtagen til hvilke prcedurer, der skal indføres g hvrdan 3) ISO27001indehlder en liste af mulige kntrller, der kan indføres fr at pnå et passende sikkerhedsniveau. Det frdrer en vis grad af mdenhed i den rganisatin, der anvender ISO27001, men giver gså mulighed fr løbende tilpasning i takt med ændringer i rganisatinen, teknlgi g trusselsbilledet 4) Den internatinale standard har en fleksibilitet i frhld til, at den kan anvendes sammen med andre rammeværk fr infrmatinssikkerhed sm f.eks. CBit eller ISF standard f gd practice 5) ISO27001 er en internatinal standard, hvilket letter samarbejdet med andre lande g i højere grad sikrer den nødvendige vedligehldelse af standarden. Vedligehldelse af ISO-standarder varetages af internatinalt sammensatte ekspertgrupper, der med jævne mellemrum vurderer behvet fr revisin. 7

8 15 ITIL - internatinale Best Practice standard fr drift af it-systemer ITIL (Infrmatin Technlgy Infrastructure Library) er den mest udbredte g anerkendte metde i IT Service Management på verdensplan baseret på erfaringer g "best practices" fra både den private g ffentlige sektr ITIL stiller krav til rganisatinsstrukturen, g de faglige færdigheder fr en It-rganisatin, ved at præsentere et udførligt sæt management-prcedurer sm en rganisatin kan benytte til at styre sine it-peratiner ITIL-prcedurer er leverandøruafhængige g er relevante fr alle aspekter af en IT infrastruktur ITIL understøttes af en mfattende kvalifikatinsrdning, akkrediterede uddannelsesrganisatiner samt implementering g evalueringsredskaber ITIL er bl.a. indført i systemfrvaltningen til at sikre ensartede g sammenhængende arbejdsgange g ptimere frvaltningen af NemID, Digital Pst, NemLg-in, NemHandel, NemKnt g Brger.dk Flere g flere kunder stiller krav m verhldelse af ITIL til deres leverandører med det frmål at give et bedre verblik ver pgaver, så det bliver nemmere at udnytte ressurcer på tværs af styrelsens it-systemer g give bedre mulighed fr praktiv planlægning g leverandørstyring Knsulentfirmaet Westergaard A/S har udarbejdet følgende versigt, der viser grænsefladerne mellem de mere end 25 ITIL-prcesser mv.: 16 Branchestandarder Payment Card Industry Data Security Standard (PCI DSS) sm eksempel Krav Hav et sikkert netværk Krav 1: du skal sikre, at din virksmhed installerer g vedligehlder en firewall, der beskytter jeres krtdata Krav 2: du må ikke benytte standardindstillinger til systempasswrds g andre sikkerhedsparametre Beskyt jeres krtdata Krav 3: du skal beskytte jeres krtdata Krav 4: du skal kryptere krtdata, sm I sender ver åbne ffentlige netværk Håndter sårbarheder med faste prcedurer Krav 5: du skal benytte antivirus-sftware g pdatere den jævnligt Krav 6: du skal udvikle g vedligehlde jeres sikkerhed i systemer g applikatiner løbende Implementer en stærk adgangskntrl Krav 7: du skal begrænse adgangen til krtdata i frhld til frretningsbehvet, så færrest muligt kan kmme til dem Krav 8: hver bruger af jeres cmputernetværk skal have et unikt ID Krav 9: færrest muligt skal have fysisk adgang til krtdata Overvåg g test jeres netværk løbende Krav 10: du skal vervåge al adgang til jeres netværk g krtdata Krav 11: du skal fretage jævnlige test af sikkerhedssystemer g prcesser Oprethld en sikkerhedsplitik Krav 12: du skal prethlde en stram sikkerhedsplitik En dansk udgave kan findes på NETS hjemmeside ( 8

9 17 Risk management Risikvurderingen mfatter i grve træk: Risikidentifikatin risici identificeres g beskrives Risikanalyse risici analyseres g måles Risikevaluering risici evalueres i frhld til risiktlerancen IT-sikkerhedsplitikken indehlder retningslinjerne fr styringen af IT-sikkerheden g indgår i risikvurderingen IT-sikkerhedsplitikken skal skrives eller justeres på baggrund af resultaterne af risikvurderingen IT-beredskabsplanen indgår i risikvurderingen IT-beredskabsplanen skal udarbejdes eller justeres på baggrund af resultaterne af risikvurderingen Resultatet af vurderingen er et verblik ver risici, sm er pririteret ud fra ledelsens kriterier fr risiktlerance Resultatet indikerer hvilke risici, der bør accepteres (baseret på risiktlerancen) g hvilke risici, der kræver yderligere franstaltninger Eksempel på en risk management-standard: 18 Kntraktregulering It-sikkerhed 9

10 19 Eksempel på krav til leverandør i it-utsurcing kntrakt Emne: Leverandørens pfyldelse: Betales af: IT-sikkerhedskrav Kundens plitikker Leverandøren Kundens specifikke krav Kunden Leverandørens sikkerhedssystem Leverandør Kvalitet ISO27000-serien Leverandøren Erklæringer ISAE 3402, type I Leverandøren ISAE 3402, type II Særskilte erklæringer Frskelligt Nrmalt kunden Risk management Udarbejdelse af planer Kunden g leverandøren Disaster recvery Udarbejdelse af planer Kunden g leverandøren Business cntinuity Udarbejdelse af planer Kunden g Leverandøren Audits Cmpliance, sikkerhed, øknmi, SLA g andre frhld Kunden g leverandøren 20 Knkrete krav til sikkerhed i kntrakten Adgang g sikkerhedsrammer: Fysisk adgang (frit, ledsaget, registrering mv.) Adgang til data Adgang til systemer Adgang til arkiver Fysiske sikkerhedskrav til bygning, pbevaring mv. Sikkerhedskrav til medarbejdere Kundens verrdnede sikkerhedsplitikker Driftsmæssig sikkerhed: Backup af data g systemer (varm eller kld) Spejlede miljøer g redundans (både hardware g infrastruktur) Imprtering g installatin af filer, systemer, sftware mv. Segmentering af systemer, servere g adgang Leverandørens andre frpligtelser 10

11 21 Disaster recvery g business cntinuity Disaster recvery g business cntinuity planer 1) Pssible disasters 2) Business cntinuity and disaster recvery planning Activities in disaster situatins Other disaster recvery activities Service cntinuity 3) Supplier s prcedures and plans Cntent f disaster recvery plan Disaster recvery executin Testing f plans Testing Test plan Test results and reprting Failed Test Løbende pdatering, praktiske test g øvelser Lvkrav Kundens beføjelser Audit g kntrl Leverandørens frpligtelse til lgning g audit trails Kunden, tredjemand g myndigheders adgang til at udføre audits Scpe fr audit: sikkerhed, teknik, afregning, SLA mv. Opfølgning på findings g rapprter Reguleringsmekaniske vedrørende ver-/underpriser Leverandørens pligt til rapprtering, herunder af ethvert sikkerhedsbrud Practive remedies Trigger-events Remedies (fx rt cause, analysis, escalatin, step in, third party etc.) Leverandørens egen kvalitetssikring g risikstyring Revisinserklæringer ISAE 3402, type I eller II eller særlige erklæringer 11

12 23 Leverandørens knkurs Prblemmråder ved utsurcing: Adgang til data g udlevering heraf Frtsat drift af alle systemer Ret til hardware/sftware Flere risikfaktrer invlveret Hvrdan sikrer kunden sig md utsurcing ved leverandørens knkurs Valg af sikker leverandør Backup af data g systemer til platfrm ejet af kunden Ejerskab til sftwarelicenser Ejerskab til hardware g infrastruktur Ved leje eller service evt. øknmisk sikkerhed fr frtsat drift I særlige tilfælde leje g pantsætning Exit planer Disasterrecvery planer 24 Crprate Scial Respnsibility (CSR) 12

13 25 CSR-krav til sine leverandører Hvrfr CSR-krav? Den glbale infrmatinsstrøm er vkset, NGO erne spiller en større rlle i takt med, at de har fået adgang til medierne med fr eksempel histrier m dårlige arbejdsfrhld i tredjeverdenslandene Kunderne er blevet mere pmærksmme på varens indhld g de frhld, sm varen er blevet prduceret under Flere stre medieskandaler lægger eksternt pres på virksmheders ppriritering af CSR-aktiviteter- f.eks. lieselskabet BPs frurening i Den Mexicanske Glf. CSR-principper Med CSR-principper menes internatinalt anerkendte principper fr menneske- g arbejdstagerrettigheder, miljø g anti-krruptin Mange virksmheder g rganisatiner, f.eks. Staten g Kmmunernes Indkøbsservice (SKI), tager udgangspunkt i FN s Glbal Cmpact, sm er et FN-initiativ, der pstiller ti generelle principper fr virksmheders arbejde med samfundsansvar (se næste slide). Håndtering af risici Et klart frmuleret ambitinsniveau g en velfungerende rganisering er afgørende fr en effektiv håndtering af risici fr negativ indflydelse på virksmhedens CSR-principper i hele virksmhedens leverandørkæde Udarbejd derfr retningslinjer sm beskriver de krav, I har til jeres leverandørers CSR-indsats ( Cde f Cnduct ), sm leverandøren kntraktuelt frpligtes til at verhlde Stil evt. krav m årlig CSR-rapprt fra leverandøren, f.eks. i frbindelse med dennes årsrapprt samt adgang til inspektin g audits. 26 De 10 principper i FN s Glbal Cmpact 1) Virksmheden bør støtte g respektere beskyttelsen af internatinalt erklærede menneskerettigheder 2) Virksmheden bør sikre, at den ikke medvirker til krænkelser af menneskerettighederne 3) Virksmheden bør prethlde freningsfriheden g effektivt anerkende retten til kllektiv frhandling 4) Virksmheden bør støtte udryddelsen af alle frmer fr tvangsarbejde 5) Virksmheden bør støtte effektiv afskaffelse af børnearbejde 6) Virksmheden bør afskaffe diskriminatin i relatin til arbejds- g ansættelsesfrhld 7) Virksmheden bør støtte en frsigtighedstilgang til miljømæssige udfrdringer 8) Virksmheden bør tage initiativ til at fremme større miljømæssig ansvarlighed 9) Virksmheden bør pfrdre til udvikling g spredning af miljøvenlige teknlgier 10) Virksmheden bør mdarbejde alle frmer fr krruptin, herunder afpresning g bestikkelse. 13

14 27 Indhld af Cde f Cnduct SKI-rammeaftale sm eksempel (1/2) Mindstekrav Menneskerettigheder Grundlæggende menneskerettigheder sm fastlagt i princip 1 g 2 i FN s Glbal Cmpact Ved pfyldelsen af Rammeaftalen indestår Leverandøren fr at det leverede g dele heraf til enhver tid verhlder gældende lvgivning, der tager sigte på frbud md frskelsbehandling pga. race, hudfarve, religin eller tr, plitisk anskuelse, seksuel rientering [ ]. Arbejdstagerrettigheder Freningsfrihed bl.a. ILO knventin nr. 87 (1948) m freningsfrihed Tvangsarbejde bl.a. ILO knventin nr. 105 (1957) m afskaffelse af tvangsarbejde Børnearbejde bla. ILO knventin nr. 182 (1999) m de værste frmer fr børnearbejde Eliminering af diskriminatin bl.a. ILO knventin nr. 111 (1958) m diskriminatin Ligeløn bl.a. ILO knventin nr. 100 (1951) m retten til ligeløn Miljø Medvirke til at værne m natur g miljø, sm fastlagt i FN s Glbal Cmpact Ved pfyldelse af Rammeaftalen frpligter Leverandøren sig til at medvirke til at værne m natur g miljø, så samfundsudviklingen kan ske på et bæredygtigt grundlag i respekt fr menneskets livsvilkår g fr bevarelsen af dyreg plantelivet. Anti-krruptin Alle tilfælde af misbrug af betret magt med henblik på at pnå en frdel, f.eks. passiv bestkkelse, underslæb, bedrageri, mandatsvig g embedsmisbrug. 28 Indhld af Cde f Cnduct SKI-rammeaftale sm eksempel (2/2) Mineraler g metaller fra knfliktramte højrisik mråder Mineraler mfattet af OECD Due Diligence Guidance fr Respnsible Supply Chains f Minerals frm Cnflict-Affected and High-Risks Areas Leverandøren frpligtes til at integrere retningslinjerne fastlagt i OECD s nævnte due diligence guide, herunder: etablere stærke frretningsmæssige systemer, sm understøtter retningslinjerne, identificere g håndtere risici i leverandørkæden, udarbejde g implementere en strategi sm svar på identificerede risici, understøtte uafhængige tredjeparts audits i leverandørkæden, g fretage ffentlig rapprtering m leverandørens due diligence. Rapprtering vedr. leverandørens arbejde med at fremme samfundsansvar Erklæring fra leverandørens ledelse g beskrivelse af praktiske tiltag. Dkumentatin g prcedure ved knkret begrundet mistanke m manglende verhldelse Opsigelse Leverandøren skal straks efter kundens anmdning fremsende skriftlig redegørelse g tilhørende dkumentatin, herunder fr i hvilket mfang Leverandøren kan påvirke pfyldelsen af vennævnte mindstekrav Redegørelse g tilhørende dkumentatin skal i frnødent mfang være ledsaget at relevante attester. Manglende igangsætning af initiativer, der har fkus på at bringe det mislighldende frhld til phør vil blive betragtet sm en væsentlig mislighldelse, sm vil berettige kunden til at phæve aftalen. 14

15 29 Kntakt Bech-Bruun Niels M. Andersen Partner København IP & Technlgy T M E nma@bechbruun.cm København Danmark Aarhus Danmark Shanghai Kina T