Tabulex ApS. Februar 2011 7. erklæringsår. R, s



Relaterede dokumenter
Tabulex ApS. Februar erklæringsår. R, s

ISAE 3000 DK ERKLÆRING MARTS RSM plus P/S statsautoriserede revisorer

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-data Danmark A/S

frcewtfrhousf(wpers ml

Front-data Danmark A/S

IST DANMARK APS ISAE 3000 ERKLÆRING

1. Ledelsens udtalelse

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Fonden Center for Autisme CVR-nr.:

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Bilag 1 Databehandlerinstruks

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting

Procedure for tilsyn af databehandleraftale

1. Ledelsens udtalelse

plus revision skat rådgivning

KØNG BORGERFORENING. Opgørelse af skattepligtig indkomst med specifikationer for indkomståret 2011

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018

Lector ApS CVR-nr.:

A/S it-drift og hostingaktiviteter

GML-HR A/S CVR-nr.:

Databehandleraftale 2013

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser

Plan og Handling CVR-nr.:

plus revision skat rådgivning

Komiteen for Sundhedsoplysning CVR-nr.:

Sotea ApS. Indholdsfortegnelse

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

It-instruks om krav til systemrevision af kørselskontorets systemanvendelse for håndtering af kørselsdata

KOMBIT sikkerhedspolitik

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

Underbilag Databehandlerinstruks

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Greve Kommune. Revision af generelle it-kontroller 2011

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Sotea ApS CVR-nr

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)

GML-HR A/S CVR-nr.:

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

I/S ANDST VANDVÆRK. Årsregnskabet 2009

RSM plus. NB Østerhøj. ArbejdseksernPrai. Arsrapport Godkendt på den ordinære generalforsamling. København, den OOg.

plus revision skat rådgivning

plus revision skat rådgivning

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

plus revision skat rådgivning

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Pr. 31. december 2014

Databehandlerinstruks

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS

Informationssikkerhedspolitik. for Aalborg Kommune

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Bilag 4- Ydelsesbeskrivelse

Bilag X Databehandleraftale

Generel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS

Kontraktbilag 7: Databehandleraftale

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

I/S ANDST VANDVÆRK. Årsregnskabet 2010

It-revision af Sundhedsdatanettet januar 2016

Vallensbæk Strands Vandforsyning amba

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

Rackhosting ApS. ISAE 3402-erklæring fra uafhængig

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Bilag B Databehandleraftale pr

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

FORBEREDELSESUDVALGET FOR REGION SYDDANMARK

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

Databehandleraftale. om [Indsæt navn på aftale]

Registreret revisor B er tidligere ved Revisornævnets kendelse af [dato] tildelt en advarsel for mangler ved erklæringsarbejde.

pwc EG Data Inform A/S

BILAG 5 DATABEHANDLERAFTALE

Business Faxe Copenhagen

plus revision skat rådgivning

Databehandleraftale INDHOLDSFORTEGNELSE

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Revisionsrapport Revision af vederlag for 2018

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Vejledning til brug af Bank RA Revisionsinstruks

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

RSMplus. Revisionsprotokollat pr. 31_ december Afdelinger i: Aalborg, Holstebro, Kolding, København, Odense, Skærbæk, Vordingborg og Århus

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Holstebro Kommune. Bilag 4 Revisionsberetning vedrørende Ansvarsforhold, revisionens omfang og rapportering. (Vilkår for revisionsopgaven)

Bilag A Databehandleraftale pr

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

It-sikkerhedstekst ST8

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf Sagsnr: Doknr: april 2009

Databehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Transkript:

Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København V Tlf.: (+45) 3338 9800, Fax: (+45) 3338 9801 e-mail: copenhagen@rsmplus.dk, www.rsmplus.dk CVR-nr. 43622811 (Hjemsted: København) Afdelinger i: Aalborg, Holstebro, Kolding, København, Odense, Skærbæk, Vordingborg og Århus RSM plus er et selvstændigt medlem af RSM International, en uafhængig kæde af selvstændige revisions- og konsulentfirmaer med kontorer i mere end 70 lande

2 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer jf. de mellem Tabulex ApS og dennes kunder indgåede aftaler. Indledning Vi har gennemgået om Tabulex ApS for perioden 1. marts 2010 28. februar 2011 har overholdt reglerne om behandling af personoplysninger i tilknytning til Tabulex s softwareprogrammer, jf. de mellem Tabulex ApS og dennes kunder indgåede aftaler. Det er ledelsens ansvar at sikre opretholdelsen af de aftalte kontroller. Vort ansvar er, baseret på vort arbejde, at udtrykke en konklusion om, hvorvidt vi er enige i, at de aftalte kontroller vedrørende beskyttelse af personoplysninger er opretholdt hos Tabulex ApS. Tabulex ApS varetager ifølge aftale med dennes kunder databehandlingen af følgende programmer TEA, Ekstrakt, Webindskrivning, SFO, IDA og TRIO2, og er i forbindelse hermed ansvarlig for at sikre implementeringen og funktionen af kontrolsystemer med henblik på at forebygge og opdage fejl, herunder bevidste fejl, med henblik på overholdelse af de i aftalerne stillede krav. Bilag 1 viser en oversigt over de kontrolmål og arbejdshandlinger, der er omfattet af revisionen. Nærværende erklæring er udelukkende beregnet for brugerne af Tabulex programmer og deres revisorer. Afgrænsning Revisionen har til formål at vurdere, om sikkerhedsforanstaltningerne til beskyttelse af personoplysninger er tilrettelagt på en hensigtsmæssig måde og i overensstemmelse med standardaftalerne, og om foranstaltningerne har fungeret i revisionsperioden, således at Tabulex ApS har overholdt reglerne om behandling af personoplysninger. Vi har foretaget stikprøvevis revision af de platforme, som understøtter driften af programmer. Erklæringen og den tilhørende revision er afgrænset til følgende programmer - TEA, Ekstrakt, Webindskrivning, SFO, IDA og TRIO2. Følende Tabulex programmer er ikke omfatter nærværende erklæring Hjemmeside, Informationsportal, Lara, Skemalægning, Skolebestyrelse og Trio. Programmerne er ikke omfatter af erklæringen med baggrund i deres egenskab som enten distribueret database udenfor Tabulex s driftsmiljø eller ikke indeholdende personhenførbar data. Det udførte arbejde Vi har udført vort arbejde i overensstemmelse med den danske revisionsstandard om andre erklæringsopgaver med sikkerhed med henblik på at opnå høj grad af sikkerhed for en konklusion om overholdelsen af bekendtgørelsens forskrifter om beskyttelse af personoplysninger i Tabulex

4 Bilag 1: Test af kontroller, der er udført, og tilknyttede resultater Nedenfor er oplistet de kontrolmål, som er gennemgået som led i vores arbejde, samt de tilknyttede arbejdshandlinger. Driftsafvikling Der er etableret passende forretningsgange og kontroller vedrørende drift, herunder overvågning, registrering og opfølgning på relevante hændelser. Vi har kontrolleret, at der foreligger tilstrækkelige procedurer for driftsafviklingen af Tabulex ApS programmer samt stikprøvevis testet, at procedurerne efterleves. Det er endvidere påset, at der foretages passende overvågning af driften. Fysisk sikkerhed Der er etableret fornøden beskyttelse mod skader forårsaget af f.eks. brand, vandskade, strømafbrydelse, tyveri eller hærværk. Vi har gennemgået den fysiske sikkerhed vedrørende systemer, som er placeret hos Interxion Danmark ApS, og vi har påset, at der er etableret fornøden beskyttelse mod bl.a. brand, vandskade, strømafbrydelse, tyveri og hærværk. Sikkerhedskopiering Der foreligger tilstrækkelige procedurer for sikkerhedskopiering. Vi har kontrolleret, at der foreligger passende procedurer for sikkerhedskopiering. Vi har ved gennemgang af systemopsætning stikprøvevis testet, at procedurerne efterleves, samt at der er foretaget dublering til at kunne sikre tilgængeligheden af data. Adgangsrettigheder Der er etableret passende forretningsgange og kontroller for tildeling, opfølgning og vedligeholdelse af adgangsrettigheder til systemer og data. Vi har kontrolleret, at tildeling af adgangsrettigheder til systemsoftware sker efter passende forretningsgange, og at der foretages periodisk opfølgning på de tildelte adgangsrettigheder. Det er den dataansvarliges ansvar at tildele, ændre og slette autorisationer i applikationen samt påse, at kun aktuelle brugere har adgang til Tabulex ApS programmer.

5 Fysiske og logiske adgangskontroller Der er etableret logiske og fysiske adgangskontroller, som begrænser risikoen for uautoriseret adgang til systemer eller data. Vi har kontrolleret, at der anvendes passwordkvalitet i henhold til god praksis. Vi har endvidere påset, at det sikres, at der anvendes autentifikation af brugere på alle adgangsveje. Vi har kontrolleret, at fysisk adgang til systemer, som er placeret hos Interxion Danmark ApS, sikres via et elektronisk system, der logger alle adgange til serverrummet. Fysiske adgangskontroller vedrørende adgang til den dataansvarliges kontorlokaler mv. er ikke omfattet af de leverede serviceydelser, og er derfor den dataansvarliges eget ansvar. Organisatorisk funktionsadskillelse Der er etableret passende funktionsadskillelse i og omkring it-funktionerne, herunder mellem udvikling, drift samt brugerfunktioner. Vi har kontrolleret, at der opretholdes tilstrækkelig funktionsadskillelse i relation til den drift, der udføres af Tabulex ApS. Logisk funktionsadskillelse Der er etableret fornødne logiske adgangskontroller, der underbygger den organisatoriske funktionsadskillelse. Vi har ved stikprøvevis udtræk af systemkonfigurationer kontrolleret, at der er etableret logiske adgangskontroller til servere, således at de enkelte driftsområder er adskilt, samt at driftsfunktioner er begrænset til relevante driftsfunktioner. Oprettelse af brugere med adgang til Tabulex ApS programmer foretages af den dataansvarlige, hvorfor tildeling af autorisationer til disse brugere er den dataansvarliges ansvar. Datakommunikation Datakommunikation er tilrettelagt på en hensigtsmæssig måde og er tilstrækkeligt sikret mod risiko for tab af autenticitet, integritet, uafviselighed/sporbarhed, tilgængelighed samt fortrolighed.

6 Vi har ved gennemgang af den generelle datakommunikation kontrolleret, at strukturen er sikret mod skader og uautoriserede indgreb, samt at der er mulighed for at anvende sikre krypterede protokoller. Datakommunikation til Tabulex ApS programmer er den dataansvarliges eget ansvar.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback