ID Kontrol Henvisning Bilag Medarbejderforhold 1. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at det kontrolleres, at ledere og medarbejdere, der har adgang til personoplysninger, ikke er straffet for en forbrydelse, der gør dem uegnede til at bestride deres hverv. CP afsnit 7.4.3 Ja Nej Kommentarer 2. Har alle Bank RA-medarbejdere, der har adgang til personoplysninger, enten gennemgået det uddannelsesprogram, som Nets DanID tilbyder, eller modtaget tilsvarende niveau af uddannelse i legitimering og registrering ved udstedelsen? CP afsnit 7.4.3 3. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at Bank RA-ansatte til stadighed er bekendt med, og har tilstrækkelig uddannelse og instruktion i, overholdelse af de aktuelt gældende interne politikker og bestemmelser. 4. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at Bank RA-personale, som er autoriseret til at behandle persondata, er underlagt krav om fortrolighed. Overordnede procedurer/forretningsgange 5. Har Bank RA implementeret et security framework, der er i overensstemmelse med anerkendte standarder, eksempelvis ISO 27001? 6. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at der er interne politikker og bestemmelser for sikkerhedsforanstaltninger, samt at der regelmæssigt foretages opfølgning på overholdelsen heraf. 3.1 Allonge 2 Annex 1 pkt f) Version: 1.2 Side 1 af 5
Beskyttelse og anvendelse af persondata 7. Er der tilrettelagt sikringsforanstaltninger og procedurer/forretningsgange hos Bank RA, med henblik på at sikre, at begrænse adgang til personoplysninger til personer som er beskæftiget med Bank RA-opgaver. 8. Er der tilrettelagt tekniske sikringsforanstaltninger og procedurer/forretningsgange hos Bank RA, med henblik på at sikre logning af adgang til, og anvendelse, af personoplysninger, som vedrører Bank RA. CP afsnit 7.4.6 + 5.4 9. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at personoplysninger, som vedrører Bank RA, behandles fortroligt. 10. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at persondata alene anvendes i overensstemmelse med aftalen med Nets DanID, med mindre banken, i henhold til lovgivningen, kan pålægges at anvende persondata til øvrige formål. 5.1 2.1 11. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at persondata ikke deles med tredje-parter. 12. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at personoplysninger behandles som fortrolig information og er beskyttet mod kompromittering. 5.2 CP afsnit 7.4.10 + 5.1 13. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at arkiveret information (herunder relevante data fra Bank RA s it-systemer), kan gøres tilgængelig i tilfælde af tvister, og at alt arkiveret materiale opbevares i mindst løbende kalenderår + fem år. Version: 1.2 Side 2 af 5
14. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at alt relevant elektronisk arkivmateriale sikkerhedskopieres med regelmæssige mellemrum, og at alt materiale i arkiv opbevares betryggende. 15. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at alt elektronisk arkivmateriale påføres elektronisk tidsstempling på arkiveringstidspunktet, og at andet arkivmateriale indføres i en log. Sikringsforanstaltninger 16. Er der hos Bank RA implementeret tekniske og organisatoriske sikringsforanstaltninger, med henblik på at forhindre at persondata: ved uheld eller skadeshensigt ødelækkes, tabes eller ændres gøres tilgængelige uden godkendelse behandles i modstrid med love og reguleringer, herunder GDPR-reguleringen. 17. Har Bank RA tilrettelagt de tekniske og organisatoriske sikringsforanstaltninger under hensyntagen til: det aktuelle tekniske niveau, implementeringsomkostningerne databehandlingens karakter, omfang og formål samt risici i relation til overholdelse af de registreredes rettigheder. 3.4 18. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at kravene fra den indgåede aftale om databehandling indarbejdes i bankens systemer og/eller procedurer/forretningsgange, således at medarbejderne efterlever denne. 5.3 19. Er der tilrettelagt tekniske sikringsforanstaltninger og procedurer/forretningsgange hos Bank RA, med henblik på at sikre registrering og blokering af, og reaktion på, afviste forsøg på at tilgå personoplysninger, som vedrører Bank RA. 20. Er der tilrettelagt tekniske sikringsforanstaltninger og procedurer/forretningsgange hos Bank RA, med henblik på at sikre beskyttelse af personoplysninger vedrørende Bank RA (eksempelvis ved kryptering) ved enhver transmission af disse via eksterne kommunikationsforbindelser. Version: 1.2 Side 3 af 5
21. Er der tilrettelagt tekniske sikringsforanstaltninger og procedurer/forretningsganger hos Bank RA, med henblik på at sikre, at risikoen for uautoriseret afvikling og installation af skadelig kode begrænses på systemer, som anvendes til Bank RA. 22. Er der tilrettelagt procedurer/forretningsganger og tekniske foranstaltninger (herunder backup-rutiner), som i tilfælde af nedbrud eller lignende tekniske og fysiske hændelser kan medvirker til rettidig genoprettelse af tilgængeligheden og adgangen til personoplysninger, som vedrører Bank RA. Underretning og assistance 23. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at Nets DanID, med e-mail til nets-cert@nets.eu, underrettes, uden unødig forsinkelse, om: anmodning om adgang til persondata fra myndigheder, medmindre dette er direkte tilladt i henhold til lovgivning mistanke eller konstatering af brud på persondatasikkerheden, eller andre forhold, hvor Bank RA ikke overholder sine forpligtelser i relation til tekniske og organisatoriske sikringsforanstaltninger enhver henvendelse om adgang til persondata fra enten den registrerede eller tredjepart. 3.9 24. Er der tilrettelagt procedurer/forretningsganger og tekniske foranstaltninger hos Bank RA, med henblik på at sikre, at Banken umiddelbart kan assistere Nets DanID med håndtering af henvendelser fra de registrerede, herunder henvendelser om indsigtsret, berigtigelse, begrænsning og sletning i det omfang Nets DanID ikke selv har mulighed for at imødekomme henvendelse. 3.10 Lokationer og underdatabehandlere 25. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at der ikke kan foretages ændringer i de allerede godkendte lokationer, hvor der fortages eksempelvis behandling, service center etc, jf. Annex 1 til Aftale om Databehandling, medmindre Nets DanID forinden har givet samtykke hertil. 3.12 26. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at der alene kan anvendes underdatabehandlere, som forinden er godkendt af Nets DanID. 4.1 Version: 1.2 Side 4 af 5
27. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at der ikke sker overførsel af Nets DanID s data til lande uden for EØS, uden at der forinden er indhentet skriftlig godkendelse hertil fra Nets DanID, og følgende betingelser er opfyldt: Banken har tilvejebragt de fornødne garantier i relation til overførslen Den registrerede har bevaret sine rettigheder, som kan håndhæves Banken overholder sine forpligtelser i relation til GDPR ved tilstrækkelig beskyttelse af de overførte data Banken overholder de instrukser, som er modtaget fra Nets DanID i relation til behandling af persondata. 4.5 28. Er der tilrettelagt tekniske sikringsforanstaltninger og procedurer/forretningsgange hos Bank RA, med henblik på at sikre, at der opretholdes et sikkerhedsniveau tilsvarende intern adgang ved anvendelse af fjern- eller hjemmearbejdspladser i forbindelse med behandling af personoplysninger, som vedrører Bank RA. Øvrige forhold 29. Er du/i, i forbindelse med revisionen, blevet bekendt med eventuel manglende overholdelse af kravene i databehandleraftalen med Nets DanID? 30. Er du/i, i forbindelse med revisionen, blevet bekendt med forhold eller fra ledelsen, fra datacentralen eller fra andre blevet informeret om forhold, der giver dig/jer anledning til at vurdere, at håndteringen af persondata i relation til Bank RA ikke er betryggende? Version: 1.2 Side 5 af 5