Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Relaterede dokumenter
Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018

1. Ledelsens udtalelse

EG Cloud & Hosting

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

IST DANMARK APS ISAE 3000 ERKLÆRING

Fonden Center for Autisme CVR-nr.:

Bilag 1 Databehandlerinstruks

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Databehandlerinstruks

Retningsgivende databehandlervejledning:

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Tilladelsen gives på følgende vilkår:

1. Ledelsens udtalelse

Procedure for tilsyn af databehandleraftale

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

GML-HR A/S CVR-nr.:

Sikkerhedsregler for Kalundborg Kommune

ISAE 3000 DK ERKLÆRING MARTS RSM plus P/S statsautoriserede revisorer

Lector ApS CVR-nr.:

Michael Teschl Etik Portalerne ApS Lotusvej København S. Sendt til:

Underbilag Databehandlerinstruks

Plan og Handling CVR-nr.:

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Bilag 9 Databehandleraftale

Komiteen for Sundhedsoplysning CVR-nr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Driftskontrakt. Databehandleraftale. Bilag 14

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

BILAG 5 DATABEHANDLERAFTALE

Databehandleraftale 2013

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

1. Indledende bestemmelser Formål. Område

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration

Pr. 31. december 2014

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS

hos statslige myndigheder

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

GML-HR A/S CVR-nr.:

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Staten og Kommunernes Indkøbsservice

Kontraktbilag 7: Databehandleraftale

Databehandleraftale. om [Indsæt navn på aftale]

Tabulex ApS. Februar erklæringsår. R, s

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Tabulex ApS. Februar erklæringsår. R, s

IMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

BILAG 14: DATABEHANDLERAFTALE

Rammeaftalebilag 5 - Databehandleraftale

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Bilag A Databehandleraftale pr

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Bilag 4- Ydelsesbeskrivelse

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)

Bilag X Databehandleraftale

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

origo Databehandleraftale

Bekendtgørelse om tilsynet med de anerkendte arbejdsløshedskassers administration

Dato: 6. oktober 2011 Side 1 af 7. Fælles Databehandlerinstruks -

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

Tønder Kommune BILAG 10

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

Retsudvalget REU Alm.del Bilag 364 Offentligt

Bilag B Databehandleraftale pr

Vilkår og privatlivspolitik

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Kontraktbilag 3. Databehandleraftale

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

Sletteregler. v/rami Chr. Sørensen

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

2. Leverandøren er som databehandler forpligtet til følgende:

Politik for informationssikkerhed i Plandent IT

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

BILAG G DATABEHANDLERAFTALE. mellem. Aalborg Havn Logistik A/S XXX A/S

Transkript:

www.pwc.dk Netic A/S Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser Juni 2018

Indhold 1. Ledelsens udtalelse 2 2. Uafhængig revisors erklæring med sikkerhed om beskrivelse af kontroller, deres udform- ning og funktionalitet 3 3. Sikkerhedskrav, kontrolaktiviteter, test og resultat heraf 5 PwC 1

1. Ledelsens udtalelse Denne beskrivelse og vurdering vedrører kontroller i relation til Netic A/S overholdelse af persondataloven i forbindelse med Netic A/S rolle som databehandler ved håndtering af personoplysninger i erhvervet som anden aktør. Beskrivelsen knytter sig til kontrollerne, som disse var udformet i perioden 1. maj 2017-30. april 2018. Netic A/S er som databehandler af personhenførbare informationer bl.a. omfattet af: Lov om behandling af personoplysninger (persondataloven) Bekendtgørelse nr. 528 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen). Herved er Netic A/S ansvarlig for, at sikre implementeringen og funktionen af kontroller med henblik på at forebygge og opdage fejl, herunder bevidste fejl, med henblik på overholdelse af lovgivningens krav. Med baggrund i ovenstående vurderer Netic A/S, at vi i relation til persondataloven i alle væsentlige forhold har udformet og implementeret kontroller på et betryggende niveau i perioden 1. maj 2017-30. april 2018 i relation til applikationer, som opbevarer data omfattet af persondataloven. Aalborg den 30. maj 2018 Netic A/S Steen Jensen administrerende direktør 2

2. Uafhængig revisors erklæring med sikkerhed om beskrivelse af kontroller, deres udformning og funktionalitet Til ledelsen i Netic A/S Omfang Vi har gennemgået den af ledelsen hos Netic A/S udarbejdede beskrivelse og vurdering vedrørende kontroller i relation til Netic A/S overholdelse af persondataloven i forbindelse med Netic A/S rolle som databehandler jf. de mellem Netic A/S kunder og Netic A/S indgåede databehandlingsaftaler i relation til deres serviceydelser. Vores revision har omfattet relevante sikkerhedskrav for den databehandling, der foretages hos Netic A/S i henhold til følgende regler: Lov om behandling af personoplysninger (persondataloven lov nr. 429 af 31. maj 2000, som senest er ændret ved lovbekendtgørelse (LBK) nr. 503 af 12. juni 2009), Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen), som senest er ændret ved bekendtgørelse nr. 201 af 22. marts 2001, Vejledning nr. 37 af 2. februar 2001 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Vores revision omfatter ikke særlige forhold fra kundeaftaler, men omfatter relevante sikkerhedskrav, jf. indgåede databehandleraftaler. Sikkerhedskravene er oplistet i afsnit 3. Virksomhedens ledelse har ansvaret for, at sikkerhedskravene i relation til ovenstående regler er overholdt. Vores ansvar er, på grundlag af vores arbejde, at udtrykke en konklusion om, hvorvidt vi er enige i, at de etablerede kontroller er tilstrækkelige til at opfylde de relevante krav i persondataloven. Vores erklæring dækker perioden 1. maj 2017-30. april 2018 og er udelukkende udarbejdet til brug for Netic A/S og Netic A/S kunder. Netic A/S ansvar Netic A/S ledelse har ansvaret for, at sikkerhedskravene i relation til behandling af persondata er overholdt. Vores ansvar er på grundlag af vores arbejde at udtrykke en konklusion om, hvorvidt vi er enige i, at de etablerede kontroller er tilstrækkelige til at opfylde de relevante sikkerhedskrav. Vores uafhængighed og kvalitetsstyring Vi har overholdt kravene til uafhængighed og andre etiske krav i FSR danske revisorers retningslinjer for revisors etiske adfærd (Etiske regler for revisorer), der bygger på de grundlæggende principper om integritet, objektivitet, faglig kompetence og fornøden omhu, fortrolighed og professionel adfærd. PricewaterhouseCoopers er underlagt international standard om kvalitetsstyring, ISQC 1, og anvender og opretholder således et omfattende kvalitetsstyringssystem, herunder dokumenterede politikker og procedurer vedrørende overholdelse af etiske krav, faglige standarder og krav ifølge lov og øvrig regulering. Vores ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om udformningen og funktionen af kontrollerne, der knytter sig til de sikkerhedskrav, der er anført i afsnit 3. Vi har udført vores arbejde i overensstemmelse med ISAE 3000 DK, Andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger. Denne standard kræver, at vi plan- PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, CVR-nr. 33 77 12 31 3

lægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. En erklæringsopgave med sikkerhed, hvor der afgives erklæring om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør, omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anses for nødvendige for at give høj grad af sikkerhed for, at de sikkerhedskrav, der er anført i beskrivelsen, blev nået. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør Kontroller hos en serviceleverandør vil som følge af deres art muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Det er vores opfattelse, at ledelsens beskrivelse og vurdering af kontroller i relation til deres serviceydelser, som Netic A/S har implementeret med henblik på at opnå en passende behandlingssikkerhed i relation til persondata, er retvisende, og at kontrollerne i perioden 1. maj 2017-30. april 2018 har været opretholdt på et betryggende niveau i overensstemmelse med aftale herom. I afsnit 3 har vi identificeret de sikkerhedskrav, som vores revision har omfattet. Aarhus, den 4. juni 2018 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab Jesper Parsberg Madsen statsautoriseret revisor Iraj Bastar senior manager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, CVR-nr. 33 77 12 31 4

3. Sikkerhedskrav, kontrolaktiviteter, test og resultat heraf 1.1. Virksomheder der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, må kun behandle disse efter instruks fra den dataansvarlige. (Persondataloven 41, stk. 1). Netic har tilrettelagt formaliserede processer til sikring af, at data behandles i overensstemmelse med kontrakt/tillæg fra dataansvarlig. Instruktion fra den dataansvarlig er indirekte indarbejdet i Netic s formaliserede forretningsgange (Itsikkerhedshåndbog) grundet tekniske setup. formaliserede processer til sikring af, at data behandles i overensstemmelse med kontrakt/tillæg fra dataansvarlig. Vi har påset, at it-sikkerhedshåndbogen indeholder alle relevante instruktioner fra en dataansvarlig. 1.2. Databehandlere skal træffe tekniske og organisatoriske sikkerhedsforanstaltninger, som sikrer mod, at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger (Persondataloven 41, stk. 3, 3, stk. 1). Netic har tilrettelagt formaliserede processer til sikring mod, at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Disse kontroller omfatter: Beskytte mod at de kommer til uvedkommendes kendskab Adgangskontrol til produktion og test data? Retningslinjer for bortskaffelse af medier og udstyr, Retningslinjer for sikkerhedskopiering, Lagrede kopier gemmes på en an- formaliserede procedurer, der sikrer mod at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven om behandling af personoplysninger. Vi har stikprøvevist efterprøvet, at kontrollerne vedrørende lagring, ulovlig destruktion samt uautoriseret adgang er effektive. PwC 5

1.3. Databehandlere skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. (Sikkerhedsbekendtgørelsen 3 stk. 1) den fysisk lokalitet som sikrer fortrolige eller følsomme personoplysninger mod uvedkommendes kendskab, misbrug eller øvrig behandling i strid med loven, Datamedier, der har indeholdt fortrolige eller følsomme personoplysninger, afleveres til destruktion Sikkerhedskopi af lokale data (midlertidige arbejdskopier), hvor dette omfatter fortrolige eller følsomme personoplysninger, opbevares på en forsvarlig måde, og sådanne backup medier destrueres. Netic har tilrettelagt formaliserede og ledelsesgodkendte processer til sikring af sikkerhedskopiering og restore af produktionsmiljøer som Netic har driftsansvaret for. formaliserede processer for gennemgang af backup samt restore. Vi har stikprøvevist efterprøvet, at kontrollerne vedrørende lagring, restore samt uautoriseret adgang fungerer som beskrevet. 1.4. For personoplysninger som er af Netic har tilrettelagt formaliserede Vi har under vores revision, fået særlig interesse for fremmede magter processer til sikring af data og datamediers formaliserede processer til sikring af oplyst, at Netic ikke har kunder skal de dataansvarlige træffe foranstaltninger, -bortskaffelse eller tilintetgørelse bortskaffelse af diske, data mv. der er underlagt krigsreglen. der muliggør bortskaffelse i tilfælde af krig eller lignende forhold. eller tilintetgørelse i tilfælde af krig yderligere væsentlige bemærk- PwC 6

eller lignende forhold ninger. (Persondataloven 41, stk. 4, 3, stk. 2). 1.5. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige. (Persondataloven 42, stk. 2). Netic har tilrettelagt formaliserede processer for aftaleindgåelser, til sikring af, at enhver databehandling, modtagelse og videregivelse af data sker i henhold til instruks fra en dataansvarlig i henhold til indgåede databehandlingsaftaler. formaliserede processer for aftaleindgåelser, som sikrer, at Netic alene handler efter instruks fra en dataansvarlig. 1.6. Den dataansvarlige skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne (Sikkerhedsbekendtgørelsen 5). Netic har tilrettelagt formaliserede processer, som sikrer, at de organisatoriske forhold understøtter sikkerhedsforanstaltningerne i Persondataloven. Der foretages minimum en årlig vurdering af medarbejdernes forståelse af sikkerhedsforanstaltningerne i persondataloven. Vi har påset at Netic har tilrettelagt de organisatoriske forhold så sikkerhedsforanstaltningerne understøttes i persondataloven. Vi har stikprøvevis testet, at medarbejderne hvert år underskriver en sikkerhedserklæring, hvori der gøres opmærksom på såvel politik som sikkerhedshåndbog med de gældende retningslinjer. 1.7. Databehandlere skal fastlægge retningslinjer til sikring af fysisk sikkerhed (Sikkerhedsbekendtgørelsen 5, 8 og 10). Netic har tilrettelagt kontroller til sikring af fysisk sikkerhed. Disse kontroller omfatter en række adgangskontroller i bygninger, hvor der behandles personoplysninger (adgangskort og adgangskode). Ved indgåelse af aftaler med eksterne parter sikres det, at den eksterne part modtager den fornødne information om de it-sikkerhedsmæssige krav. kontroller til sikring af den fysiske sikkerhed. Vi har stikprøvevis testet, at de fysiske adgangskontroller fungerer som beskrevet. PwC 7

1.8. Databehandlere skal fastlægge retningslinjer for sikkerhedsorganisationen. (Sikkerhedsbekendtgørelsen 5). Netic har tilrettelagt arbejdsgange for sikkerhedsorganisationen. Netic evaluerer periodisk sikkerhedsorganisationen. arbejdsgange for sikkerhedsorganisationen. 1.9. Databehandlere skal fastlægge interne retningslinjer for administration af og kontrol med autorisationer. (Sikkerhedsbekendtgørelsen 5). Netic har tilrettelagt processer for administration af, og kontrol med, autorisationer, samt Netic har etableret procedurer for godkendelse af autorisationer. processer for administration af, og kontrol med, autorisationer. Vi har stikprøvevist testet, at der foreligger godkendelse fra nærmeste chef og fra Netic s kunder med adgang til løsningen. Under revision af adgange observeret har vi observeret, at kritiske infrastrukturadgange er tildelt nøglepersoner. Dog kræver Netic s vagtordning, at alle teknikere har samme adgange. Vi har fået oplyst, at Netic internt arbejder på at implementere kontroller til benyttelsen af adgange på tværs af fagområder. Vi har endvidere observeret, at der ikke er etableret procedurer for periodisk opfølgning på eksternes adgange til JIRA. Vi har fået oplyst, at det er kundens ansvar, at oplyse Netic om fratrædelser. yderligere PwC 8

1.10. Databehandlere skal fastlægge interne retningslinjer for logisk sikkerhed, herunder logning og kontrol af afviste adgangsforsøg. (Sikkerhedsbekendtgørelsen 5, 12 og 18). Netic har tilrettelagt foranstaltninger for logisk sikkerhed, herunder logning og kontrol af afviste adgangsforsøg. Disse kontroller omfatter: Kvalitetskrav til password Kontrol af afviste adgangsforsøg Log og opfølgning over afviste adgangsforsøg. foranstaltninger for logisk sikkerhed, herunder logning og kontrol af afviste adgangsforsøg. Vi har stikprøvevis testet opsætningen af kundevendte servere og påset at: Kvalitetskravene til password lever op til kravene i Datatilsynets anbefalinger til god skik Vi har desuden påset, at der foretages opfølgning på eventuelle afviste adgangsforsøg. 1.11. Databehandleren skal sikre, at kun autoriserede brugere har adgang til personfølsomme data, og at de tildelte brugeradgange er i overensstemmelse med arbejdsmæssigt betingede behov. (Sikkerhedsbekendtgørelsen 11 og 16, autorisation og adgangskontrol). Netic har tilrettelagt formaliserede processer som sikrer, at tildelte brugeradgange er i overensstemmelse med arbejdsmæssigt betingede behov. Alle autorisationer godkendes af medarbejdernes nærmeste chef og indeholder begrundelse for det ønskede adgang til Løsningen. formaliserede processer for brugeradministration og rettighedsstyring. Vi har stikprøvevist testet, at der for tildelte autorisationer foreligger en begrundelse for den ønskede adgang og godkendelse fra nærmeste chef. 1.12. Tildelte brugeradgange revurderes mindst en gang hvert halve år for at sikre, at de autoriserede personer fortsat opfylder betingelserne. (Sikkerhedsbekendtgørelsen 17). Netic har tilrettelagt formaliserede processer som sikrer, at egne autorisationer revurderes mindst én gang hvert halve år. For så vidt angår autorisationer til testmiljøet udstedes disse for en begrænset periode på seks måneder, og der kræves nye autorisationer ved forlængelse. Vi har påset, at der er tilrettelagt formaliserede processer for brugeradministration og rettighedsstyring. Vi har stikprøvevis testet, at brugeradgange revurderes mindst én gang hvert halve år. PwC 9

1.13 Databehandlere skal fastlægge interne retningslinjer for om behandling og destruktion af ind- og uddatamateriale. (Sikkerhedsbekendtgørelsen 5). Netic har tilrettelagt formaliserede processer for behandling og destruktion af ind- og uddata-materiale. Disse kontroller omfatter: Valideringskontroller for inddatamateriale Retningslinjer for sikker destruktion af uddatamateriale. formaliserede processer for behandling og destruktion af ind- og uddatamateriale. Vi har stikprøvevis testet, at kontrollerne vedrørende valideringskontroller for inddatamateriale samt retningslinjer for sikker destruktion af uddatamateriale udføres. 1.14 Databehandlere skal fastlægge interne retningslinjer for anvendelsen af edb-udstyr. (Sikkerhedsbekendtgørelsen 5). Netic har udarbejdet retningslinjer, som beskriver anvendelsen af itudstyr. Vi har påset, at Netic s retningslinjer for anvendelse af it-udstyr indeholder alle relevante kontroller, og vi har påset at de indeholder alle, for sikkerhedsbekendtgørelsen 5, relevante retningslinjer. Vi har desuden påset, at disse retningslinjer omtales i den årlige sikkerhedserklæring, som underskrives af medarbejderne. 1.15 Databehandlere skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. (Sikkerhedsbekendtgørelsen 6). Netic har fastsat regler for uddannelse, træning og oplysninger om informationssikkerhed. Vi har gennemgået, Netic s regler for kurser om informationssikkerhed. Vi har observeret, at der er etableret afdelingsmøder om sikkerhed, hvor håndtering af personoplysninger til tider indgår. 1.16 Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlin- Der foreligger en skriftlig aftale med den dataansvarlige, hvori det fremgår, at behandling af personoplysninger skal foregå i overensstemmelse med reglerne i sikkerhedsbekendtgørelsen. Vi har påset, at der foreligger en skriftlig aftale mellem Netic s kunder og Netic, som henviser til reglerne i sikkerhedsbekendtgørelsen. PwC 10

gen ved databehandleren. (Sikkerhedsbekendtgørelsen 7, stk. 1). 1.17 Databehandlere skal fastlægge interne retningslinjer for sikkerhedsreglerne i forbindelse med anvendelse af hjemmearbejdspladser. Netic har udarbejdet retningslinjer for overholdelse af sikkerhedsreglerne i forbindelse med anvendelse af hjemmearbejdspladser. Vi har påset, at der foreligger retningslinjer for overholdelse af sikkerhedsreglerne i forbindelse med anvendelse af hjemmearbejdspladser (Sikkerhedsbekendtgørelsen 7, stk. 2). Disse kontroller omfatter: Krav til opkobling via en sikker VPN-forbindelse Forbud mod at etablere andre kommunikationsforbindelser på pc en Retningslinjer for behandling af data, herunder forbud mod at gemme data lokalt Den enkelte medarbejder bekræfter i den årlige sikkerhedserklæring, at ovenstående retningslinjer overholdes. Vi har stikprøvevis testet Netic s adgangskontroller via VPN og vurderet, at disse overholder de sikkerhedsmæssige krav i persondataloven. Vi har desuden påset at de årlige sikkerhedserklæringer, som underskrives af medarbejderne, indeholder omtale af retningslinjerne for brug af hjemmearbejdspladser, herunder forbud mod at downloade personfølsomme oplysninger på pc er som anvendes ved hjemmearbejdspladser. 1.18 Databehandlere skal fastlægge interne retningslinjer for bortskaffelse, salg, kassation, reparation og service af it- udstyr med persondata Netic har udarbejdet retningslinjer for bortskaffelse, salg, kassation, reparation og service af it- udstyr indeholdende persondata. Vi har påset, at Netic har udarbejdet retningslinjer for bortskaffelse, salg, kassation, reparation og service af itudstyr indeholdende persondata. (Sikkerhedsbekendtgørelsen 9). 1.19 Databehandlere skal fastlægge interne retningslinjer for behandling af inddata. (Sikkerhedsbekendtgørelsen 10). Netic har udarbejdet retningslinjer for behandling af inddata. Den enkelte medarbejder underskriver en sikkerhedserklæring hvert år, hvor Vi har påset, at Netic har udarbejdet retningslinjer for behandling af inddata. Vi har observeret, at it-sikkerheds- PwC 11

der kvitteres for, at retningslinjerne for behandling af inddata overholdes. politikken og it-sikkerhedshåndbogen omtaler forhold omkring retningslinjer for behandling af inddata. 1.20. Databehandlere skal fastlægge interne retningslinjer for behandling af uddatamaterialer. Netic har udarbejdet retningslinjer for behandling af uddatamaterialer. Vi har påset, at Netic har udarbejdet retningslinjer for behandling af uddatamaterialer. (Sikkerhedsbekendtgørelsen 13). Vi har stikprøvevis testet, at de årlige sikkerhedserklæringer, indeholder omtale af retningslinjerne for uddata,. 1.21. Databehandlerens skal udarbejde retningslinjer for sikring af eksterne kommunikationslinjer og træffe foranstaltninger, der sikrer, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger (Sikkerhedsbekendtgørelsen 14). Netic har udarbejdet retningslinjer for sikring af eksterne kommunikationslinjer, og Netic har tilrettelagt formaliserede processer som sikrer, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Disse kontroller omfatter: Vi har påset, at Netic har udarbejdet retningslinjer for sikring af eksterne kommunikationslinjer. Vi har foretaget gennemgang af netværksopsætningen og testet, at kommunikationslinjerne er stærkt krypteret. Retningslinjer for netværksadgang, Stærk kryptering af kommunikationslinjer. 1.22 Databehandleren skal sikre, at der foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måne- Netic har tilrettelagt en række formaliserede processer til logning og håndtering af logoplysninger. Netic s procedurer omfatter: Alle medarbejderes adgang til systemerne logges med de nødvendige oplysninger om, hvilken bruger der har tilgået systemet, samt formaliserede processer for logning og håndtering af logoplysninger. Vi har ydermere foretaget inspektion af Netic s egenkontrol af brugernes adgange til,- og anvendelse af systemerne. Under vores revision af databehandleraftalerne har vi observeret, at der i disse er henvisninger til sikkerhedsbekendtgørelsens 19 artikel 528. Desuden har vi observeret, at der ikke er etableret en log målrettet denne artikel. Vi har ikke observeret mekanismer i Netic s logsystem der PwC 12

der, hvorefter den skal slettes. (Sikkerhedsbekendtgørelsen 19). hvilke personer der er tilgået. Stikprøve kontrol af brugernes system anvendelse. understøtter kravene i 19 artikel 528. Vi har endvidere observeret, at Netic s log opbevares i ét år, hvor det i sikkerhedsbekendtgørelsens 19 artikel 528 nævnes, at denne skal opbevares i seks måneder og derefter slettes. yderligere 1.23. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold hos databehandleren. Netic har tilrettelagt formaliserede processer som sikrer, at alle retningslinjer gennemgås mindst én gang årligt, og at ændringer til retningslinjerne dokumenteres i en log. Vi har påset at der foreligger dokumentation for Netic s it-sikkerhedspolitik, og vi har testet, at håndbogen revurderes og opdateres mindst én gang årligt. (Sikkerhedsbekendtgørelsen 5, stk. 2). PwC 13

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback