IDQ A/S CVR-nr.:

Relaterede dokumenter
Komiteen for Sundhedsoplysning CVR-nr.:

Lector ApS CVR-nr.:

GML-HR A/S CVR-nr.:

Plan og Handling CVR-nr.:

GML-HR A/S CVR-nr.:

! """!!,-$).*.).* /$)**..)('''!"#$%&& Penneo dokumentnøgle: KGKCD-N2CXK-TS7GU-5HP8E-BAHCQ-1P55E

Penneo dokumentnøgle: LOZHN-525P1-PFUWF-YBB23-DZ248-SWG8Z

People Like Us ApS CVR nr Vermlandsgade København S. Indsamlingsregnskab 2017 (j. nr )

Aftale vedrørende fælles dataansvar

Carl Emil Feldt og hans familie

Penneo dokumentnøgle: 5P4CZ-34NAG-I4CUD-IYDIC-IPVFO-MDZSF

P. Holm ApS Revisionsprotokollat til årsregnskabet for 2014/15. Penneo dokumentnøgle: 5ZKQN-DF48I-WZIZP-PPTQL-2W05T-GN30E

Lars Pinnerup Nielsen. Indsamlingsregnskab. 5. december 2016 til 5. december Indsamlingsnævnet j. nr

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Boligselskabet Isafjord A.M.B.A Njalsgade 30A, st. tv., 2300 København S CVR-nr

Penneo dokumentnøgle: KQPPP-WY6SK-5XXAL-E7F12-8GILX-N8P4Z

Birgitte Roager Olsens Cancerbehandling i Tyskland

Stenlien Vandværk a.m.b.a. CVR-nr

INDSAMLINGSREGNSKAB FOR. LittleBigHelp. afholdt i perioden 1. september august 2016

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Løkkefonden CVR-nr Indsamling via internetdonationer

Valhøjs Allé 130. Gennem dit ansættelsesforhold i CHRISTOFFERSEN & KNUDSEN indsamles der personoplysninger om dig.

Behandling af personoplysninger

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

INDSAMLINGSREGNSKAB FOR. LittleBigHelp. afholdt i perioden 1. september juni 2017

Børne- og Ungdomsforeningen i. Grenaa Frikirke. Årsregnskab CVR-nr

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Landsforeningen Praktisk Økologi Tudsdamvej Hundslund CVR nummer:

Tæmer Abdo Wahab indsamling. IN nr Indsamlings- og fordelingsregnskab. 12. november marts 2017

Grundejerforeningen Sandager Revisionsprotokollat til årsregnskabet 2017

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Fonden Center for Autisme CVR-nr.:

Dansk Selskab for Pædiatrisk Fysioterapi CVR-nr

Nordjysk Tandlægeforening CVR-nr

Årsmøde, Dansk Psykiatrisk Selskab. Revisionsprotokollat for regnskabsåret 1/ /

Bilag B Databehandleraftale pr

Ejendomsselskabet Slotsgården A/S

Hjælp til Stine Legarth Thomsen

Bilag A Databehandleraftale pr

JP Property Invest ApS

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Ejerforeningen Ferieprojekt Hvide Sande Sluse M.b.a. Årsrapport 2017

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Indsamlingsregnskab for perioden

H Trier Holding ApS Stidalsmarken Silkeborg. CVR-nr: ÅRSRAPPORT 8. februar december 2016

BILAG 5 DATABEHANDLERAFTALE

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Dansk Selskab for Pædiatrisk Fysioterapi

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Stenlien Vandværk a.m.b.a. CVR-nr

Databehandleraftale (v.1.1)

Sagfører H. Toftkilds Legat af 1926 Årsregnskab 2018

ISA WORLD SUP. Copencold Hawaii. Denmark 2017

Dansk Missionsråd. Revisionsprotokollat af Årsregnskab for vedrørende. Penneo dokumentnøgle: M5SD6-LBU48-FH5SC-QZ61I-NG8TB-3KCB2

Smedefabrikken ApS. Opgørelse af skattepligtig indkomst med specifikationer for indkomståret CVR-nr

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

Ejendomsselskabet Godthåbsvej 187 A/S

Penneo dokumentnøgle: GC4OV-KBQ6E-LYALE-YX8N5-662SC-3S81K

Specifikationer til årsrapporten for 2017

Persondata politik for GHP Gildhøj Privathospital

Bilag 1 Databehandler aftale (v.1.2)

NCTU IVS Langebrogade København K. ÅRSRAPPORT 3. december 2014 til 31. december CVR-nr:

! Databehandleraftale

Regnskabserklæring til revisor for Odense Lærerforening. Efter anmodning skal jeg afgive nedenstående erklæring i forbindelse med jeres:

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

FornyDinBolig ApS Hulvejen 164, 9530 Støvring

Standardvilkår. Databehandleraftale

JP Property Invest ApS

Nyreforeningen København CVR nr Regnskab for landslotteri afholdt i perioden 15. marts juni 2016

Aftale vedrørende fælles dataansvar

Henriette Lønstrup indsamling. Journalnummer Indsamlings- og fordelingsregnskab. 1. juni marts 2017

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

BILAG TILSYN OG EGENKONTROL UDFØRT DEN [INDSÆT: DATO]

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Glen Marc Nesgaard Margretheholmsvej 62, 4. tv København K. E/F Udsigten - Referat af ordinær generalforsamling 2018

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Regnskabserklæring til revisor for Dansk Missionsråd. Efter anmodning skal jeg afgive nedenstående erklæring i forbindelse med jeres:

Fyns Almennyttige Boligselskab Afdeling 96, Krybilyparken Revisionsprotokollat til byggeregnskab med skæringsdato den 28.

LENDUM KRAFTVARMEVÆRK A.M.B.A. TÅRSVEJ 37B, LENDUM, 9870 SINDAL RESULTATBUDGET 2018/19

The Gospel Fellowship. Årsregnskab CVR-nr

Ejerforeningen Gl. Ladegaard

Persondatapolitik for Aabenraa Statsskole

Sbi 2012 ApS i likvidation Langelinie Allé 35, 2100 København

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Aftale omkring behandling af persondata.

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik for Tørring Gymnasium 2018

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Obton Solenergi Badin Komplementaranpartsselskab

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Islamisk Center Vest Roskildevej 30 B 2620 Albertslund. CVR-nummer: INDSAMLINGSREGNSKAB 1. januar december 2018

Odense Vineyard. Årsregnskab CVR-nr

Sameksistens ApS. Istedgade 62, 5. tv København V. CVR-nr Årsrapport for perioden 1. januar til 31.

DATABEHANDLERAFTALE. Omsorgsbemanding

Visma Addo identifikationsnummer: 48B6-12BE65-41B0A3

Fornydinbolig ApS Hulvejen 164, 9530 Støvring

Persondatapolitik Vordingborg Gymnasium & HF

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Transkript:

Uafhængig revisors ISAE 3000 - erklæring med sikkerhed om beskrivelsen af kontroller rettet mod databeskyttelse og behandling af personoplysninger pr. 28. marts 2019 ISAE 3000 IDQ A/S CVR-nr.: 34 04 62 20 Maj 2019 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019

Indholdsfortegnelse Side Vurdering 1. Ledelsens udtalelse 3 2. Uafhængig revisors erklæring 5 3. Kontrolmål, kontrolaktivitet, test og resultat heraf 9 3.1 Principper 9 3.2 Den registreredes rettigheder 10 3.3 Dataansvarlig og databehandler 13 5.3 Overførsel af personoplysninger til tredjelande eller internationale organisationer 21 Symbol Vores gennemgang har ikke ført til bemærkninger. Der er konstateret enkelte svagheder. Der er fundet væsentlige svagheder eller mangler. 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 2

1. Ledelsens udtalelse Denne erklæring vedrører IDQ A/S overholdelse af databeskyttelsesforordningen (GDPR 1 ) og tilhørende databeskyttelseslov. Vi bekræfter, at vi, efter vores opfattelse, i al væsentlighed har overholdt ovennævnte kriterier, pr. 28. marts 2019. Vi bekræfter herudover, at revisor har haft adgang til al information og materiale, som har været nødvendig for erklæringsafgivelsen. På den baggrund er det vores vurdering, at vi, i al væsentlighed, har udført en hensigtsmæssig drift og administration for vores ydelser. København, 9. maj 2019 IDQ A/S Henrik Saustrup Adm. direktør 1 Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (herefter databeskyttelsesforordningen ). 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 3

2. Uafhængig revisors ISAE 3000-erklæring med sikkerhed om beskrivelsen af kontroller rettet mod databeskyttelse og behandling af personoplysninger Uafhængig revisors erklæring om overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov pr. 28. marts 2019 Til IDQ A/S ledelse, selskabets kunder og disses revisorer Vi har efter aftale undersøgt IDQ A/S overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov pr. 28. marts 2019. Vores konklusion udtrykkes med høj grad af sikkerhed. Erklæringen er alene udarbejdet til brug for IDQ ledelse, selskabets kunder og disses revisorer til vurdering af de tilrettelagte forretningsgange, og kan ikke anvendes til andre formål. Ledelsens ansvar Ledelsen i IDQ har ansvaret for at implementere og sikre opretholdelsen af forretningsgange som krævet af databeskyttelsesforordningen og tilhørende databeskyttelseslov. Revisors ansvar Det er vores ansvar, på grundlag af det udførte arbejde, at udtrykke en konklusion om, hvorvidt selskabet overholder de krav, der er nævnt i databeskyttelsesforordningen og tilhørende databeskyttelseslov. Vi har udført vores arbejde i overensstemmelse med ISAE 3000, andre erklæringsopgaver med sikkerhed end revision eller review af historiske finansielle oplysninger og yderligere krav ifølge dansk revisorlovgivning med henblik på at opnå høj grad af sikkerhed for vores konklusion. Grant Thornton A/S er underlagt international standard om kvalitetsstyring, ISQC 1, og anvender således et omfattende kvalitetsstyringssystem, herunder dokumenterede politikker og procedurer vedrørende overholdelse af etiske krav, faglige standarder og gældende krav i lov og øvrig regulering. Vi har overholdt kravene til uafhængighed og andre etiske krav i FSR danske revisorers retningslinjer for revisors etiske adfærd (Etiske regler for revisorer), der bygger på de grundlæggende principper om integritet, objektivitet, faglig kompetence og fornøden omhu, fortrolighed og professionel adfærd. Vores arbejde har omfattet forespørgsler, observationer samt vurdering og stikprøvevis undersøgelse af den information, vi har modtaget. På grund af begrænsninger i ethvert kontrolsystem kan der opstå fejl eller besvigelser, som ikke afdækkes af vort arbejde. Endvidere vil en anvendelse af vor konklusion på efterfølgende perioders transaktioner være undergivet en risiko for, at der foretages ændringer af systemer eller kontroller, ændring i kravene til behandling af oplysninger eller i selskabets overholdelse af de beskrevne politikker og procedurer, hvorved vores konklusion eventuelt ikke længere vil være gældende. Konklusion Denne konklusion er udformet på grundlag af forståelsen af de kriterier, som der er redegjort for i erklæringens indledende afsnit, og som bygger på kravene i databeskyttelsesforordningen og tilhørende databeskyttelseslov. Det er vores opfattelse, at IDQ A/S, i alle væsentlige henseender, lever op til ovennævnte kriterier, pr. 28. marts 2019. 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 4

2. Uafhængig revisors ISAE 3000-erklæring med sikkerhed om beskrivelsen af kontroller rettet mod databeskyttelse og behandling af personoplysninger (fortsat) Beskrivelse af test af kontroller De specifikke kontroller, der er testet, samt arten og resultater af disse tests, fremgår i det efterfølgende afsnit. Tiltænkte brugere og formål Denne erklæring er udelukkende tiltænkt kunder, der har anvendt IDQ ydelser, og deres revisorer, som har en tilstrækkelig kompetence til at vurdere den medfølgende beskrivelse sammen med anden information, herunder information om kunders egne kontroller. Denne information tjener til opnåelse af en forståelse af kundernes informationssystemer, som er relevante for regnskabsaflæggelsen. København, den 9. maj 2019 Grant Thornton Statsautoriserede revisionspartnerselskab CVR-nr. 34 20 99 36 Ole Skou Statsautoriseret revisor Anders Grønning-Kjærgaard Director, Head of IT Audit & Advisory (CISA,CISM,CRISC & CISSP) 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 5

3. Kontrolmål, kontrolaktivitet, test og resultat heraf Den følgende oversigt er udformet for at skabe et overblik over de kontroller, som IDQ A/S har implementeret i henhold til overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelses-lov. Vores test af funktionaliteten har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en høj grad af sikkerhed for, at de anførte artikler pr. 28. marts 2019 er efterlevet. De krav, som fremgår direkte af forordningen eller loven, kan ikke fraviges. Derimod kan der justeres på, hvordan sikkerheden implementeres, da sikkerhedskravene i forordningen på flere punkter er af mere generel og overordnet karakter, som bl.a. skal tage hensyn til formål, behandlingens karakter, kategorien af personoplysninger mv. Herudover kan der være konkrete krav i de enkelte kundekontrakter, der kan have en rækkevidde, der går ud over databeskyttelseslovens almindelige krav. Disse er i givet fald ikke omfattet af nedenstående. Metode Forespørgelse Observation Overordnet beskrivelse Interview af udvalgte medarbejdere angående kontroller Observation af hvordan kontroller udførelse (Design) Kontroller udført hos IDQ A/S kunder er herudover ikke omfattet af vores erklæring, idet kundernes egne revisorer må foretage denne gennemgang og vurdering. Vi har udført vores tests af kontroller hos IDQ A/S via følgende handlinger: Inspektion Test af kontrol Gennemgang af politikker, procedurer og dokumentation af kontrollernes udførelse (Implementering) Gennemførelse af kontrolhandlinger, som vi selv har udført eller som har observeret gennemført af ansvarlige medarbejdere (Udførelse) 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 6

3.1 : Principper 7 - Betingelser for samtykke 8 - Betingelser for et barns samtykke i forbindelse med informationssamfundstjene ster sikrer, at de registrerede har givet skriftligt samtykke til behandling af personoplysninger. Der foretages løbende og mindst én gang årligt vurdering af, om procedurerne skal opdateres. IDQ A/S indsamler ikke samtykke for deres kunder. 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 7

3.2 : Den registreredes rettigheder 12 - Gennemsigtig oplysning, meddelelser og nærmere regler for udøvelsen af den registreredes rettigheder sikrer, at oplysninger om behandlingen af personoplysninger kan udleveres i en gennemsigtig, lettilgængelig og forståelig form til den registrerede. sikrer, at udøvelsen af den registreredes rettigheder sker rettidigt, herunder besvarelse af den registreredes anmodninger og begrundelse for eventuelt afslag. Ikke relevant, da virksomheden, som databehandler, ikke har forpligtelse til at give oplysninger om behandlingen til den registrerede. Vi har forespurgt til dokumentation for løbende kontrol af, at anmodninger er besvaret rettidigt og korrekt. Ingen væsentlige afvigelser konstateret i øvrigt. 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 8

3.2 : Den registreredes rettigheder 13 - Oplysningspligt ved indsamling af personoplysninger hos den registrerede 14 - Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede sikrer, at den registrerede har modtaget den dataansvarliges kontaktoplysninger, oplysning om formål med behandling af personoplysningerne samt oplysning om evt. overførsel af personoplysninger til modtagere, tredjelande eller internationale organisationer. sikrer, at den registrerede har modtaget oplysning om retten til indsigt, berigtigelse eller sletning af personoplysninger samt begrænsning af behandlingen. Ikke relevant, da virksomheden, som databehandler, ikke har forpligtelse til at give oplysninger om behandlingen til den registrerede. Ikke relevant, da virksomheden, som databehandler, ikke har forpligtelse til at give oplysninger om behandlingen til den registrerede. 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 9

3.2 : Den registreredes rettigheder 15 - Den registreredes indsigtsret 16 - Ret til berigtigelse 19 - Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling sikrer, at den registreredes ret til indsigt i egne registrerede personoplysninger og behandlingen heraf er overholdt. sikrer, at den registreredes ret til berigtigelse af egne registrerede personoplysninger er overholdt, herunder berigtigelse hos modtagere af personoplysningerne. virksomheden kan håndtere anmodninger fra registrerede eller bistå den dataansvarlige, og vi har inspiceret procedurer for håndtering af de registreredes rettigheder. virksomheden kan håndtere anmodninger fra registrerede eller bistå den dataansvarlige, og vi har inspiceret procedurer for håndtering af de registreredes rettigheder. 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 10

3.2 : Den registreredes rettigheder 17 - Ret til sletning ( retten til at blive glemt ) 19 - Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling 18 - Ret til begrænsning af behandling 19 - Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling sikrer, at den registreredes ret til sletning af egne registrerede personoplysninger er overholdt, herunder sletning hos modtagere af personoplysningerne. sikrer, at den registreredes ret til begrænsning af behandling af egne registrerede personoplysninger, er overholdt, herunder begrænsning hos modtagere af personoplysningerne. virksomheden kan håndtere anmodninger fra registrerede eller bistå den dataansvarlige, og vi har inspiceret procedurer for håndtering af de registreredes rettigheder. virksomheden kan håndtere anmodninger fra registrerede eller bistå den dataansvarlige, og vi har inspiceret procedurer for håndtering af de registreredes rettigheder. 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 11

3.2 : Den registreredes rettigheder 20 - Ret til dataportabilitet sikrer, at den registreredes ret til at overføre egne registrerede personoplysninger til en anden dataansvarlig, er overholdt. 23 - Begrænsninger N/A området er ikke relevant i forhold til kontrolmål for en erklæring. virksomheden kan håndtere anmodninger fra registrerede eller bistå den dataansvarlige, og vi har inspiceret procedurer for håndtering af de registreredes rettigheder. N/A området er ikke relevant i forhold til kontrolmål for en erklæring. 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 12

3.3 : Dataansvarlig og databehandler 24 - Den dataansvarliges ansvar 25 - Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger 26 - Fælles dataansvarlige 27 - Repræsentanter for dataansvarlige og databehandlere, der ikke er etableret i Unionen sikrer, at dataansvarliges tekniske og organisatoriske foranstaltninger til beskyttelse af den registreredes rettigheder og behandlingen af personoplysninger er godkendt af den dataansvarlige. sikrer, at kravene om databeskyttelse er implementeret gennem design og standardindstillinger i virksomhedens tekniske og organisatoriske sikringsforanstaltninger. N/A områderne er ikke relevante i forhold til kontrolmål for en erklæring virksomheden, har indgået databehandleraftale med dataansvarlige, og vi har stikprøvevis inspiceret databehandleraftaler med dataansvarlige. For dokumentation for udvikling se gennemgang af ISO27002, afsnit 14 i IDQ A/S s egen ISAE 3402-erklæring. N/A områderne er ikke relevante i forhold til kontrolmål for en erklæring 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 13

3.3 : Dataansvarlig og databehandler 28 - Databehandler 29 - Behandling, der udføres for den dataansvarlige eller databehandleren 30 - Fortegnelse over behandlingsaktiviteter sikrer, at behandling af personoplysninger alene sker i henhold til en kontrakt eller et andet retligt bindende dokument (databehandleraftale), samt at databehandlingen alene foretages af databehandlere, som er godkendt af den dataansvarlige. sikrer, at virksomheden fører en fortegnelse over kategorier af behandlingsaktiviteter, der foretages på vegne af de dataansvarlige. virksomheden, har indgået databehandleraftale med underdatabehandler, og vi har stikprøvevis inspiceret databehandleraftaler med dataansvarlige og databehandler. virksomheden har udarbejdet en fortegnelse over behandlingsaktiviteter, og vi har inspiceret fortegnelsen. Yderligere har vi inspiceret dokumentation for ledelses-godkendelse. Vi har observeret, at virksomheden ikke har noteret kontaktinformationer på udvalgte dataansvarlige, men at processen med indhentning af disse informationer fortsat pågår. Ingen væsentlige afvigelser konstateret i øvrigt. 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 14

3.3 : Dataansvarlig og databehandler 31 - Samarbejde med tilsynsmyndigheden N/A området er ikke relevant i forhold til kontrolmål for en erklæring. 32 - Behandlingssikkerhed sikrer, at der på baggrund af en evaluering af risici er truffet passende tekniske og organisatoriske sikringsforanstaltninger mod hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af, eller adgang til, personoplysninger. N/A området er ikke relevant i forhold til kontrolmål for en erklæring. virksomheden, har udarbejdet en risikoanalyse, som tager udgangspunkt i de registreredes rettigheder, og vi har inspiceret risikoanalysen. Yderligere har vi forespurgt til løbende vurdering og opdatering af analysen. 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 15

3.3 : Dataansvarlig og databehandler 33 - Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden 34 - Underretning om brud på persondatasikkerheden til den registrerede sikrer, at databehandler ved brud på persondatasikkerheden kan understøtte den dataansvarliges pligt til rettidig og fyldestgørende anmeldelse til tilsynsmyndigheden, samt underretning til de registrerede. virksomheden kommunikerer brud på persondatasikkerheden til dataansvarlige og, hvor relevant, til til-synsmyndighederne og de registrerede, og vi har inspiceret dokumentation for styring af persondatabrud. Yderligere har vi forespurgt til løbende vurdering og opdatering af procedurerne, og vi har inspiceret dokumentation for dette. 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 16

3.3 : Dataansvarlig og databehandler 35 - Konsekvensanalyse vedrørende databeskyttelse sikrer, at databehandler har modtaget resultatet af den dataansvarliges konsekvensanalyse vedrørende databeskyttelse, inden der foretages behandling af personoplysninger, samt at der foretages en fornyet konsekvensanalyse ved ændring i den risiko, som behandlingsaktiviteterne udgør. 36 - Forudgående høring sikrer, at databehandler har modtaget resultatet af den dataansvarliges høring hos tilsynsmyndigheden, såfremt konsekvensanalysen viser, at behandlingen af personoplysninger vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen. virksomheden, har udarbejdet en konsekvensanalyse, og vi har inspiceret dokumentationen. IDQ A/S har ikke behandlingsaktiviteter der giver anledning til høring hos Datatilsynet, hvorfor punktet ikke er relevant. 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 17

3.3 : Dataansvarlig og databehandler 37 Databeskyttelsesrådgiver 38 Databeskyttelsesrådgiverens stilling 39 Databeskyttelsesrådgiverens opgaver sikrer, at der - i de tilfælde, hvor det er krævet - er udpeget en databeskyttelsesrådgiver, som opfylder krav om tilstrækkelige kompetencer, og som er anmeldt til tilsynsmyndigheden. sikrer databeskyttelsesrådgiverens stilling, herunder at en databeskyttelsesrådgiver ikke modtager instrukser vedrørende udførelsen af dennes opgaver, samt at en databeskyttelsesrådgiver ikke udfører opgaver eller har andre pligter, som kan medføre interessekonflikt. sikrer, at databeskyttelsesrådgiveren er bekendt med omfanget af sine opgaver, inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger samt rapporterer direkte til ledelsen hos den dataansvarlige eller hos databehandleren. Vi har forespurgt til dokumentation for vurdering af behovet for databeskyttelsesrådigiver, og vi har inspiceret vurderingen. Vi har yderligere forespurgt til dokumentation for løbende vurdering af behovet, og vi har inspiceret dokumentationen. IDQ A/S har fravalgt at have en DPO, hvorfor punktet ikke er relevant IDQ A/S har fravalgt at have en DPO, hvorfor punktet ikke er relevant IDQ A/S er i proces med at finde en DPO. Ingen væsentlige afvigelser konstateret i øvrigt. 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 18

3.4 : Overførsel af personoplysninger til tredjelande eller internationale organisationer 44 - Generelt princip for overførsel 45 - Overførsel baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet 46 - Overførsler omfattet af fornødne garantier 47 - Bindende virksomhedsregler 48 - Overførsel eller videregivelse uden hjemmel i EU-retten sikrer, at der alene sker overførsel af personoplysninger til et tredjeland eller en international organisation, hvis Kommissionen har fastslået, at tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland, eller den pågældende internationale organisation, har et tilstrækkeligt beskyttelsesniveau- Vi har forespurgt til dokumentation for, om virksomheden overfører til tredjelande, og vi har inspiceret databehandleraftaler. 49 - Undtagelser i særlige situationer 50 - Internationalt samarbejde om beskyttelse af personoplysninger 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019 19

2019 Grant Thornton International Denmark - All rights reserved. "Grant Thornton" henviser til det brand, hvorunder Grant Thorntons medlemsfirmaer leverer tjenesteydelser indenfor revision, regnskab, skat og rådgivning til deres kunder og/eller til et eller flere medlemsfirmaer, afhængig af konteksten. Grant Thornton Danmark er medlem af firmaet Grant Thornton International Ltd (GTIL). GTIL og medlemsvirksomhederne er ikke et globalt partnerskab. GTIL og hvert enkelt medlemsfirma udgør hver især en separat juridisk enhed. Tjenesteydelser leveres af medlemsfirmaerne. GTIL leverer ikke tjenesteydelser til kunder. GTIL og dets medlemmer repræsenterer og forpligter ikke hinanden og er heller ikke ansvarlige for hinandens handlinger og forsømmelser. 2019 Grant Thornton ISAE 3000 erklæring for IDQ A/S 09 maj 2019

Underskrifterne i dette dokument er juridisk bindende. Dokumentet er underskrevet via Penneo sikker digital underskrift. Underskrivernes identiteter er blevet registereret, og informationerne er listet herunder. Med min underskrift bekræfter jeg indholdet og alle datoer i dette dokument. Henrik Saustrup Underskriver Serienummer: CVR:34046220-RID:14399917 IP: 130.185.xxx.xxx 2019-05-09 14:07:08Z Anders Grønning Kjærgaard Revisor Serienummer: PID:9208-2002-2-822661869402 IP: 62.243.xxx.xxx 2019-05-09 14:07:42Z Ole Skou Statsautoriseret revisor Serienummer: PID:9208-2002-2-260031819805 IP: 62.243.xxx.xxx 2019-05-09 14:24:27Z Dette dokument er underskrevet digitalt via Penneo.com. Signeringsbeviserne i dokumentet er sikret og valideret ved anvendelse af den matematiske hashværdi af det originale dokument. Dokumentet er låst for ændringer og tidsstemplet med et certifikat fra en betroet tredjepart. Alle kryptografiske signeringsbeviser er indlejret i denne PDF, i tilfælde af de skal anvendes til validering i fremtiden. Sådan kan du sikre, at dokumentet er originalt Dette dokument er beskyttet med et Adobe CDS certifikat. Når du åbner dokumentet i Adobe Reader, kan du se, at dokumentet er certificeret af Penneo e-signature service <penneo@penneo.com>. Dette er din garanti for, at indholdet af dokumentet er uændret. Du har mulighed for at efterprøve de kryptografiske signeringsbeviser indlejret i dokumentet ved at anvende Penneos validator på følgende websted: https://penneo.com/validate

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback