IST DANMARK APS ISAE 3000 ERKLÆRING

Transkript

1 MAJ 2017 IST DANMARK APS ISAE 3000 ERKLÆRING Uafhængig revisors erklæring om IST Danmark ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerheds- foranstaltninger til beskyttelse af personoplysninger. Beierholm Statsautoriseret Revisionspartnerselskab Knud Højgaards Vej Søborg CVR-nr Tlf

2 Erklæringsopbygning Kapitel 1: IST Danmark ApS ledelseserklæring Kapitel 2: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet Kapitel 3: Sikkerhedskrav, kontrolaktivitet, test og resultat heraf Kapitel 4: Andre oplysninger /2

3 K APITEL 1: IST Danmark ApS ledelseserklæring Denne beskrivelse og vurdering vedrører kontroller i relation til IST Danmarks ApS overholdelse af persondataloven i forbindelse med IST Danmark ApS rolle som databehandler ved håndtering af personoplysninger i erhvervet som anden aktør. Beskrivelsen knytter sig til kontrollerne, som disse var udformet perioden 1. marts februar IST Danmark ApS er som databehandler af personhenførbare informationer bl.a. omfattet af: Bekendtgørelse nr. 528 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen) Vejledning nr. 37 om - sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning Herved er IST Danmark ApS ansvarlig for at sikre implementeringen og funktionen af kontroller med henblik på at forebygge og opdage fejl, herunder bevidste fejl, med henblik på overholdelse af lovgivningens krav. Med baggrund i ovenstående vurderer IST Danmark ApS, at vi i relation til persondataloven i alle væsentlige forhold har udformet og implementeret kontroller på et betryggende niveau i perioden 1. marts februar 2017 i relation til Software as a Service (SaaS) produkter, som opbevarer data omfattet af persondataloven og sikkerhedsbekendtgørelsen. Roskilde, den 5. maj 2017 Adm. direktør Anne Frederiksen RISC Manager, Niels Højgaard IST Danmark ApS, Gammel Marbjergvej 9, 4000 Roskilde, CVR-nummer /3

4 K APITEL 2 : Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet Til kunder af IST Danmarks softwareprogrammer Omfang Vi har fået som opgave at afgive en erklæring om, hvorvidt IST Danmark ApS for perioden 1. marts februar 2017 har overholdt passende sikkerhedsforanstaltninger til beskyttelse af personoplysninger, jf. de mellem IST Danmark ApS og dennes kunder indgåede aftaler i relation til Software as a Service (SaaS) produkter: Folkeskole, Privat-, fri- og efterskole, Daginstitutioner, SFO, Klub og Ungdomsskole Vores revision har omfattet relevante sikkerhedskrav for den databehandling, der foretages hos IST Danmark ApS i henhold til følgende regler: Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen), som senest er ændret ved bekendtgørelse nr. 201 af 22. marts 2001, Vejledning nr. 37 af 2. februar 2001 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Vores revision omfatter ikke særlige forhold fra kundeaftaler, men omfatter relevante sikkerhedskrav, jf. indgåede databehandleraftaler. Sikkerhedskravene er oplistet i kapitel 3. Virksomhedens ledelse har ansvaret for, at sikkerhedskrav i relation til ovenstående regler er overholdt. Vores ansvar er, på grundlag af vores arbejde, at udtrykke en konklusion om, hvorvidt vi er enige i, at de etablerede kontroller er tilstrækkelige til at opfylde de relevante krav i persondataloven. Vores konklusion udtrykkes med høj grad af sikkerhed. Afgrænsning Erklæringen afdækker ikke de it-sikkerhedsmæssige kontrolmål og tilhørende kontroller, som er etableret hos underleverandør. IST Danmark ApS anvender underleverandør på følgende område: Co-location/ floorrent faciliteter (den fysiske sikkerhed for produktionsudstyr). Følende Tabulex programmer er ikke omfattet af nærværende erklæring Hjemmeside, Informationsportal, Lara, Skemalægning, Skolebestyrelse og Trio. Programmerne er ikke omfatter af erklæringen med baggrund i deres egenskab som enten distribueret database udenfor IST Danmarks driftsmiljø eller ikke indeholdende personhenførbar data. Produkter der hører under betegnelsen "Hypernet" er ligeledes ikke omfattet af erklæringen da driftsansvaret henligger hos IST International i Sverige. /4

5 IST Danmark ApS ansvar IST Danmark ApS ledelse har ansvaret for, at sikkerhedskrav i relation til behandling af persondata er overholdt. Beierholms uafhængighed og kvalitetsstyring Vi har overholdt kravene til uafhængighed og andre etiske krav i FSR s Etiske Regler, som er baseret på grundlæggende principper om integritet, objektivitet, faglige kompetencer og fornøden omhu, fortrolighed samt professionel adfærd. Vi anvender ISQC 1 og opretholder derfor et omfattende system for kvalitetsstyring, herunder dokumenterede politikker og procedurer for overholdelse af etiske regler, faglige standarder samt gældende krav ifølge lov og øvrig regulering. Revisors ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om udformningen og funktionen af kontroller, der knytter sig til de sikkerhedskrav, der er anført i kapitel 3. Vi har udført vores undersøgelser i overensstemmelse med den internationale standard om andre erklæringsopgaver med sikkerhed og yderligere krav ifølge dansk revisorlovgivning med henblik på at opnå høj grad af sikkerhed for vores konklusion om overholdelse af sikkerhedsbekendtgørelsens regler om beskyttelse af personoplysninger i IST Danmark ApS. Vores arbejdede har omfattet forespørgsler, observationer og vurdering samt stikprøvevis efterprøvning af den information, vi har modtaget. I forhold til vurderingen af sikkerhedsframeworket er den foretaget med udgangspunkt i ISO27002:2013 Standard for informationssikkerhed. Det er Beierholms opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos IST Danmark ApS På grund af begrænsninger i ethvert kontrolsystem kan der opstå fejl eller besvigelser, som ikke afdækkes af vores arbejde. Endvidere vil en anvendelse af vores konklusion på efterfølgende perioders transaktioner være undergivet en risiko for, at der er foretaget ændringer af systemer eller kontroller, ændring i kravene til behandling af oplysninger eller i virksomhedens overholdelse af de beskrevne politikker og procedurer, hvorved vores konklusion eventuelt ikke længere vil være gældende. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos serviceleverandører kan blive utilstrækkelige eller svigte. Konklusion Det er vor opfattelse, at IST Danmark ApS for perioden 1. marts februar 2017 overholder forskrifterne i bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger jf. de mellem IST Danmark ApS og dennes kunder indgåede aftaler, i relation til Software as a Service (SaaS) produkter: Folkeskole, Privat-, fri- og efterskole, Daginstitutioner, SFO, Klub og Ungdomsskole. Søborg, den 5. maj 2017 Beierholm Statsautoriseret Revisionspartnerselskab Kim Larsen Statsautoriseret revisor Jesper Aaskov Pedersen IT-auditor, Manager /5

6 KAPITEL 3: Revisors beskrivelse af sikkerhedskrav, kontrolaktivitet, test og resultat heraf Vi har struktureret vores arbejde i overensstemmelse med IASE 3000 andre erklæringsopgaver med sikkerhed. Hvert kontrolmål har sit eget afsnit, som alle indledes med en opremsning af de krav, som Sikkerhedsbekendtgørelsen stiller (gråt tekstfelt). Under det grå felt er tre kolonner: Første kolonne viser de aktiviteter, som IST Danmark ApS jf. sin dokumentation har iværksat for at leve op til kravene, anden kolonne viser, hvordan vi har valgt at teste, om det forholder sig som beskrevet, mens tredje kolonneviser resultatet af vores test. Hvad angår periode har vi i vores test forholdt os til, om IST Danmark ApS har levet op til sikkerhedskravene perioden 1. marts februar KONTROLMÅL 1 : Virksomheder, der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, må kun behandle disse efter instruks fra den dataansvarlige. (Persondataloven 41, stk. 1). formaliserede processer til sikring af, at data behandles i overensstemmelse med kontrakt/tillæg fra dataansvarlig. Instruktion/ opgavebeskrivelser fra dataansvarlig er indarbejdet i IST Danmark ApS formaliserede forretningsgange (f.eks. gennem it-sikkerhedshåndbog). Vi har påset, at formaliserede processer til sikring af, at data behandles i overensstemmelse med kontrakt/tillæg fra dataansvarlig. Vi har påset, at it-sikkerhedshåndbogen indeholder alle relevante instruktioner fra en dataansvarlig. /6

7 KONTROLMÅL 2 : Databehandlere skal træffe tekniske og organisatoriske sikkerhedsforanstaltninger, som sikrer mod at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. (Persondataloven 41, stk. 3 og Sikkerhedsbekendtgørelsen 3, stk. 1) formaliserede processer til sikring mod, at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Disse kontroller omfatter: Retningslinjer for bortskaffelse af medier og udstyr, Retningslinjer for sikkerhedskopiering, Lagrede kopier gemmes på en anden fysisk lokalitet, som sikrer fortrolige eller følsomme personoplysninger mod uvedkommendes kendskab, misbrug eller øvrig behandling i strid med loven. Datamedier, der indeholdt fortrolige eller følsomme personoplysninger, afleveres il destruktion Sikkerhedskopi af lokale data (midlertidige arbejdskopier) hvor dette omfatter fortrolige eller følsomme personoplysninger, opbevares på en forsvarlig måde, og sådanne backup medier destrueres. Vi har påset, at formaliserede procedurer der sikrer mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven om personoplysninger. Vi har stikprøvevist efterprøvet, at kontrollerne vedrørende lagring, ulovlig destruktion samt uautoriseret adgang er effektive. /7

8 KONTROLMÅL 3 : Databehandlere skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. (Persondataloven 41, stk. 3 og Sikkerhedsbekendtgørelsen 3, stk. 1) formaliserede processer til sikring af sikkerhedskopiering og restore af produktionsmiljøer, som IST Danmark ApS har driftsansvaret for. IST Danmark ApS anvender ikke deciderede testmiljøer udenfor omtalte produktionssetup. Vi har påset at formaliserede processer for sikring af produktionsmiljøet, gennemgang af backup og restore. Vi har stikprøvevist efterprøvet, at kontrollerne af backupmiljøet og tilhørende lagring, restore samt uautoriseret adgang fungerer som beskrevet. KONTROLMÅL 4 : For personoplysninger, som er af særlig interesse for fremmede magter, skal de dataansvarlige træffe foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. (Persondataloven 41, stk. 4 og Sikkerhedsbekendtgørelsen 3, stk. 2) formaliserede processer til sikring af bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Vi har påset, at formaliserede processer til sikring af bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. /8

9 KONTROLMÅL 5 : Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige. (Persondataloven 42, stk. 2) formaliserede processer til aftaleindgåelser til sikring af, at enhver databehandling, modtagelse eller videregivelse af data sker i henhold til instruks fra en dataansvarlig i henhold til indgåede databehandlingsaftaler. Vi har påset, at formaliserede processer for aftaleindgåelse, som sikrer, at IST Danmark ApS alene handler efter instruks fra en dataansvarlig. Vi har stikprøvevist efterprøvet, at der foreligger databehandleraftaler for IST Danmark ApS kunder. KONTROLMÅL 6 : Den dataansvarlige skal give den fornødne instruktion til de medarbejdere, som behandler personoplysninger. (Sikkerhedsbekendtgørelsen 5) formaliserede processer, som sikrer at de organisatoriske forhold understøtter sikkerhedsforanstaltningerne i persondataloven. Alle medarbejdere underskriver hvert år en sikkerhedserklæring, hvori der gøres opmærksom på såvel politik som sikkerhedshåndbog med de gældende retningslinjer. Ved indgåelse af aftaler med eksterne parter sikres den fornødne information om it-sikkerhedsmæssige krav, indgåelse af tavshedserklæringer o.l. Vi har påset, at de organisatoriske forhold, så sikkerhedsforanstaltningerne i persondataloven understøttes. Vi har stikprøvevist testet, at medarbejderne hvert år underskriver en sikkerhedserklæring, hvori der gøres på såvel politik som sikkerhedshåndbog med de gældende retningslinjer. Vi har desuden påset, at der er indhentet en revisionserklæring fra en underleverandør, som sikrer, at tilsvarende krav overholdes på områder, hvor der er foretaget outsourcing. Vi har derudover drøftet underleverandørens setup i forhold til adgang til IST Danmark ApS produktionsmiljø. /9

10 KONTROLMÅL 7 : Databehandlere skal fastlægge retningslinjer til sikring af fysisk sikkerhed. (Sikkerhedsbekendtgørelsen 5, 8 og 10) kontroller til sikring af fysisk sikkerhed. Disse kontroller omfatter en række adgangskontroller i bygninger, hvor der behandles personoplysninger (adgangskort og adgangskode). Ved indgåelse af aftaler med eksterne parter sikres det, at den eksterne part modtager den fornødne information om de it-sikkerhedsmæssige krav. Vi har påset, at kontroller til sikring af den fysiske sikkerhed. Vi har stikprøvevist testet, at de fysiske adgangskontroller fungerer som beskrevet. Vi har desuden påset, at der er indhentet en revisionserklæring fra en underleverandør som sikrer, at tilsvarende krav overholdes på områder, hvor der er foretaget outsourcing. Vi har herudover drøfter underleverandørens setup i forhold til adgang til IST Danmark ApS produktionsmiljø. KONTROLMÅL 8 : Databehandlere skal fastlægge retningslinjer for sikkerhedsorganisationen. (Sikkerhedsbekendtgørelsen 5) IST Danmark ApS er der placeret et organisatorisk ansvar for itsikkerhed, og det er dokumenteret og implementeret. It-sikkerheden er koordineret på tværs af virksomhedens organisatoriske rammer. Der foreligger passende forretningsgange for medarbejdere omkring angivelse af tavshedserklæring. Gennem inspektion og test har vi sikret, at det organisatoriske ansvar for it-sikkerhed er dokumenteret og implementeret. Vi har kontrolleret, at it-sikkerheden er forankret på tværs af organisationen i forhold til SaaS produkter. Ved interview har vi kontrolleret, at den itsikkerhedsansvarlige har kendskab til rollen og de tilhørende ansvarsområder. Gennem stikprøve på ansættelsesaftale har vi kontrolleret, at medarbejdere i IST Danmark ApS er bekendte med deres tavshedspligt. /10

11 KONTROLMÅL 9 : Databehandlere skal fastlægge interne retningslinjer for administration af og kontrol med autorisationer. (Sikkerhedsbekendtgørelsen 5) processer for administration af, og kontrol med, interne autorisationer. Alle interne autorisationer godkendes af medarbejdernes nærmeste chef. Vi har påset, at processer for administration af og kontrol med autorisationer. Vi har stikprøvevist testet, at der foreligger godkendelse fra nærmeste chef i forhold til med adgang til produktionsmiljøet (i relation til Software as a Service (SaaS) produkter). KONTROLMÅL 10: Databehandlere skal fastlægge interne retningslinjer for logisk sikkerhed, herunder logning og kontrol af afviste adgangsforsøg. (Sikkerhedsbekendtgørelsen 5, 12 og 18) foranstaltninger for logisk sikkerhed, herunder logning og kontrol af afviste adgangsforsøg. Disse kontroller omfatter: Kvalitetskrav til password Kontrol af afviste adgangsforsøg Log og opfølgning over afviste adgangsforsøg. Vi har påset, at foranstaltninger for logisk sikkerhed, herunder logning og kontrol af afviste adgangsforsøg. Vi har stikprøvevist testet opsætningen af Windows domænekontroller samt i forhold til SaaS produkter og påset, at Kvalitetskravene til password lever op til kravene i Datatilsynets anbefalinger til god skik. Der foretages lockout af brugere efter tre afviste adgangsforsøg ved forkert password. Vi har desuden påset, at der foretages opfølgning på eventuelle afviste adgangsforsøg. /11

12 KONTROLMÅL 11: Databehandlere skal fastlægge interne retningslinjer for anvendelsen af it-udstyr. (Sikkerhedsbekendtgørelsen 5) IST Danmark ApS har udarbejdet retningslinjer, som beskriver anvendelsen af it-udstyr. Vi har påset, at IST Danmark ApS retningslinjer for anvendelse af it-udstyr indeholder alle relevante kontroller, og vi har påset, at de indeholder alle for sikkerhedsbekendtgørelsen 5 s relevante retningslinjer. Vi har desuden påset, at disse retningslinjer omtales i den årlige sikkerhedserklæring, som underskrives af medarbejderne. KONTROLMÅL 12: De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold hos databehandleren. (Sikkerhedsbekendtgørelsen 5, stk. 2) formaliserede processer, som sikrer, at alle retningslinjer gennemgås mindst én gang årligt, og at ændringer i retningslinjerne dokumenteres i en log. Vi har påset, at der foreligger dokumentation for IST Danmark ApS it-sikkerhedspolitik, og vi har testet, at håndbogen revurderes og opdateres mindst én gang årligt. /12

13 KONTROLMÅL 1 3 : Databehandleren skal sikre, at kun autoriserede brugere har adgang til personfølsomme data, og at de tildelte brugeradgange er i overensstemmelse med arbejdsmæssigt betingede behov. (Sikkerhedsbekendtgørelsen 11 og 16, autorisation og adgangskontrol) formaliserede processer, som sikrer, at tildelte brugeradgange er i overensstemmelse med arbejdsmæssigt betingede behov. Alle autorisationer godkendes af medarbejdernes nærmeste chef og indeholder begrundelse for den ønskede adgang til applikation og tilhørende data Vi har påset, at formaliserede processer for brugeradministration og rettighedsstyring. Vi har stikprøvevist testet, at der for tildelte autorisationer foreligger begrundelse for den ønskede adgang og godkendelse fra nærmeste chef. KONTROLMÅL 14: Tildelte brugeradgange revurderes mindst én gang hvert år for at sikre, at de autoriserede personer fortsat opfylder betingelserne. (Sikkerhedsbekendtgørelsen 17) formaliserede processer, som sikrer, at egne autorisationer revurderes mindst én gang hvert halve år. For så vidt angår autorisationer til produktionsmiljøet udstedes disse for en begrænset periode, og der kræves nye autorisationer ved forlængelse. Vi har påset, at der er tilrettelagt formaliserede processer for brugeradministration og rettighedsstyring. Vi har stikprøvevist testet, at brugeradgange revurderes mindst én gang hvert år. /13

14 KONTROLMÅL 1 5 : Databehandlere skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. (Sikkerhedsbekendtgørelsen 6) IST Danmark ApS har fastsat regler for uddannelse, træning og oplysninger om informationssikkerhed ved håndtering af personoplysninger. Den enkelte medarbejder underskriver en sikkerhedserklæring hvert år. Vi har gennemgået IST Danmark ApS rammer for awereness træning af medarbejder i forbindelse med håndtering behandling af personoplysninger. Vi har påset, at undervisningsmaterialet er tilstrækkeligt til at afdække sikkerhedskravene. Vi har testet, at der foreligger underskrevne sikkerhedserklæringer fra alle medarbejdere. KONTROLMÅL 1 6 : Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren. (Sikkerhedsbekendtgørelsen 7, stk. 1) Der foreligger en skriftlig aftale med den dataansvarlige, hvori det fremgår, at behandling af personoplysninger skal foregå i overensstemmelse med reglerne i sikkerhedsbekendtgørelsen. Vi har påset, at der foreligger en skriftlig aftale mellem IST Danmark ApS kunder og IST Danmark ApS, som henviser til reglernes i sikkerhedsbekendtgørelsen. /14

15 KONTROLMÅL 1 7 : Databehandlere skal fastlægge interne retningslinjer for sikkerhedsreglerne i forbindelse med anvendelse af hjemmearbejdspladser. (Sikkerhedsbekendtgørelsen 7, stk. 2) IST Danmark ApS har udarbejdet retningslinjer for overholdelse af sikkerhedsreglerne i forbindelse med anvendelse af hjemmearbejdspladser. Disse kontroller omfatter: Krav til opkobling via en sikker VPN-forbindelse Forbud mod at etablere andre kommunikationsforbindelser på pc en Retningslinjer for behandling af data, herunder forbud mod at gemme data lokalt Den enkelte medarbejder bekræfter i den årlige sikkerhedserklæring, at ovenstående retningslinjer overholdes. Vi har påset, at der foreligger retningslinjer for overholdelse af sikkerhedsreglerne i forbindelse med anvendelse af hjemmearbejdspladser. Vi har stikprøvevist testet IST Danmark ApS adgangskontroller via VPN og vurderet, at disse overholder de sikkerhedsmæssige krav i persondataloven. Vi har desuden påset, at de årlige sikkerhedserklæringer, som underskrives af medarbejderne, indeholder omtale af retningslinjerne for brug af hjemmearbejdspladser, herunder forbud mod at downloade personfølsomme oplysninger på pc er, som anvendes ved hjemmearbejdspladser. /15

16 KONTROLMÅL 1 8 : Databehandlere skal fastlægge interne retningslinjer for bortskaffelse, salg, kassation, reparation og service af it-udstyr med persondata. (Sikkerhedsbekendtgørelsen 9) IST Danmark ApS har udarbejdet retningslinjer for bortskaffelse, salg, kassation, reparation og service af it-udstyr indeholdende persondata. Vi har påset, at IST Danmark ApS har udarbejdet retningslinjer for bortskaffelse, salg, kassation, reparation og service af it-udstyr indeholdende persondata. Vi har stikprøvevist testet, at udstyr med persondata bortskaffes i henhold til retningslinjerne. KONTROLMÅL 1 9 : Databehandlere skal fastlægge interne retningslinjer for behandling af inddata. (Sikkerhedsbekendtgørelsen 10) IST Danmark ApS har udarbejdet retningslinjer for behandling af inddata. Den enkelte medarbejder underskriver en sikkerhedserklæring hvert år, hvor der kvitteres for, at retningslinjerne for behandling af inddata overholdes. Vi har påset, at IST Danmark ApS har udarbejdet retningslinjer for behandling af inddata. Vi har stikprøvevist testet, at de årlige sikkerhedserklæringer indeholder omtale af retningslinjerne for inddata, og underskrives hvert år af medarbejderne /16

17 KONTROLMÅL 20: Databehandlere skal fastlægge interne retningslinjer for behandling af uddatamaterialer. (Sikkerhedsbekendtgørelsen 13) IST Danmark ApS har udarbejdet retningslinjer for behandling af uddatamaterialer. Den enkelte medarbejder underskriver en sikkerhedserklæring hvert år, hvor der kvitteres for, at retningslinjerne for behandling af uddata overholdes. Vi har påset, at IST Danmark ApS har udarbejdet retningslinjer for behandling af uddatamaterialer. Vi har stikprøvevist testet, at de årlige sikkerhedserklæringer indeholder omtale af retningslinjerne for uddata, og underskrives hvert år af medarbejderne. KONTROLMÅL 2 1 : Databehandleren skal udarbejde retningslinjer for sikring af eksterne kommunikationslinjer og træffe foranstaltninger, der sikrer, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. (Sikkerhedsbekendtgørelsen 14) IST Danmark ApS har udarbejdet retningslinjer for sikring af eksterne kommunikationslinjer, og formaliserede processer, som sikrer, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Disse kontroller omfatter: Retningslinjer for netværksadgang Stærk kryptering af kommunikationslinjer. Vi har påset, at IST Danmark ApS har udarbejdet retningslinjer for sikring af eksterne kommunikationslinjer. Vi har foretaget gennemgang af netværksopsætningen og testet, at kommunikationslinjerne er stærkt krypteret. /17

18 KONTROLMÅL 2 2 : Databehandleren skal udarbejde retningslinjer for sikring af eksterne kommunikationslinjer og Databehandleren skal sikre, at der foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. (Sikkerhedsbekendtgørelsen 19) en række formaliserede processer til logning og håndtering af logoplysninger. Loggen opbevares i henhold til aftale med IST Danmark ApS kunder i 6 måneder, hvorefter den destrueres. IST Danmark ApS procedurer omfatter: Alle medarbejderes adgang til systemerne logges med de nødvendige oplysninger om, hvilken bruger der har tilgået systemet, samt hvilke personer der er tilgået. Stikprøvekontrol af brugernes systemanvendelse. Vi har påset, at formaliserede processer for logning og håndtering af log-oplysninger. Vi har ydermere foretaget inspektion af IST Danmark ApS egenkontrol af brugernes adgange til og anvendelse af systemerne. /18

19 KAPITEL 4: Andre oplysninger Det er kundernes ansvar at skabe sammenhæng mellem kravene i persondataloven og kundernes egne processer, herunder: IST Danmark ApS er ikke ansvarlig for adgangsrettigheder, herunder tildeling, ændring og nedlæggelse, i forhold til den enkelte kundes brugere og deres adgange til SaaS produkter. Kunden er selv forpligtiget til at sikre, at administrere egne medarbejderes adgang til de forskellige funktioner (roller). Kunderne er ansvarlige for datatransmission til SaaS produkter, og det er kundernes ansvar at skabe den nødvendige datatransmission til IST Danmarks datacenter. Kunden skal selv sikre de nødvendige kontroller i tilknytning til dette kontrolmål. /19