Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Emini A/S Uafhængig revisors erklæring om ISAK/PeopleTrust-systemet i forhold til Persondataloven Pr. 31. december 2014 Medlem af Deloitte Touche Tohmatsu Limited
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk 03.02.2015 Emini A/S Att.: Niels Wedenborg Vadstrupvej 61 2880 Bagsværd Uafhængig revisors erklæring om ISAK/PeopleTrust-systemet i forhold til Persondataloven Indledning Deloitte har indgået aftale med Emini A/S (Emini) om at revidere udvalgte forhold relateret til overholdelse af Persondataloven i forbindelse med Eminis produkt ISAK/PeopleTrust. ISAK/PeopleTrust er en sagsbehandlingsapplikation målrettet imod alle aktører, der arbejder inden for beskæftigelses- og/eller personaleområdet, og hvor der foregår sagsbehandling og/eller behandling af persondata. Dette omfatter bl.a. private aktørers samarbejde med Arbejdsmarkedsstyrelsen om gennemførelse af jobsøgningsforløb med registrerede ledige kandidater og/eller vikar- og rekrutteringsbranchen og/eller coaching/genplaceringsvirksomheder, uddannelses/kursusinstitutioner og/eller beslægtet virksomhed. ISAK/PeopleTrust udbydes til Eminis kunder (førnævnte aktører) enten som en enkeltstående applikation, hvor ansvaret for relevante drifts- og sikkerhedsmæssige kontroller påhviler aktørerne selv, eller som en hostet løsning, hvor Emini varetager størstedelen af kontrollerne på vegne af aktørerne. Ansvarsfordelingen for kontrollerne for hhv. aktører og Emini ved de to forskellige løsningstyper er beskrevet nærmere i bilag 1 på side 3. Det er Eminis ansvar at sikre, at de nødvendige drifts- og sikkerhedsmæssige kontroller i relation til Persondataloven er overholdt. Vores ansvar er, på basis af vores arbejde, at udtrykke en konklusion om, hvorvidt vi er enige i, om de relevante kontroller er etableret og tilstrækkelige til at opfylde de relevante krav i Persondataloven. Nærværende erklæring er alene beregnet for Emini, de tilsluttede aktører samt deres revisorer.
Deloitte 2 Den udførte revision Revisionen er udført i overensstemmelse med revisionsstandard ISAE 3000, således at der opnås en høj, men ikke fuldstændig, sikkerhed for vores konklusioner. Revisionen er foretaget ved interview, observationer samt analyse og vurdering af design og implementering af de interne kontroller den 31. december 2014. Vi har stikprøvevis efterprøvet de beskrevne kontrolforanstaltninger, herunder vurderinger af den tekniske sikkerhedsopsætning på de tekniske platforme, som understøtter ISAK/PeopleTrust. Vi har ligeledes gennemgået relevante forhold hos Solido Hosting A/S, som Emini A/S anvender som hostingpartner. Revisionen har ikke omfattet en vurdering af brugerrettigheder i selve ISAK/PeopleTrust, idet dette ansvar påhviler de enkelte aktører, og har heller ikke omfattet en detaljeret gennemgang af kildekode, valideringsmekanismer for inddata eller systemudviklingsprocedurer. Revisionen er primær gennemført inden den 31. december 2014 og omfatter en vurdering af kontrollerne og ISAK/PeopleTrust, som de var etableret på dette tidspunkt, samt modtaget ISAE 3402 erklæringer. Der henvises til bilag 1 med oplistning af og forklaring på de ovenfor nævnte krav og kontrolmål. Det er vores opfattelse, at det udførte arbejde giver et tilstrækkeligt grundlag for vores konklusion. Konklusion På grundlag af den udførte revision, er det vores vurdering, at de kontroller, som Emini varetager vedr. hostede ISAK/PeopleTrust-kunder (løsning 2 behandlingssikkerhed, anmeldelse og krav til applikationen og det omgivende miljø) er etableret den 31. december 2014 og dækker de relevante krav i Persondataloven jf. bilag 1. Deloitte Statsautoriseret Revisionspartnerselskab Steen Gellert-Kristensen statsautoriseret revisor Troels Vestergaard senior manager, CISA
Deloitte 3 Bilag 1: Revisionens kontrolmål Den af Emini udviklede applikation ISAK/PeopleTrust tilbydes til aktørerne efter to distinkte løsningsmodeller angivet på nedenstående oversigt: Arbejdsmarkedsstyrelsen Arbejdsmarkedsportalen Brugere hos anden aktør Brugere hos anden aktør Andre aktører Løsning 1 downloader data Løsning 2 Indlæsning af data af aktør Indlæsning af data af aktør ISAK ISAK Aktørs egen infrastruktur Solidos infrastruktur Emini A/S har outsourcet deres it-infrastruktur til virksomheden Solido Hosting A/S/ InterXion. I relation til overholdelsen af Persondataloven er kravene operationaliseret i kontrolmål på følgende sider efter følgende hovedområder: A. Behandlingssikkerhed B. Den registreredes rettigheder C. Anmeldelse. D. Krav til applikationen og det omkringliggende miljø
Deloitte 4 Kontrolmålene er opstillet af Deloitte og dækker for ISAK/PeopleTrusts infrastruktur de relevante dele af Persondataloven, henholdsvis sikkerhedsbekendtgørelsen. Løsning 1 Løsning 2 Ref. Kontrolmål Emini Aktør Emini Aktør A. Behandlingssikkerhed A1 Anden Aktør har indhentet revisionserklæringer i henhold til samme krav, som gælder for Anden Aktør for alle de af Anden Aktør i perioden benyttede databehandlere A2 Retningslinjer for sikkerhedsorganisation er udarbejdet. A3 Ansvaret for arbejdet med sikkerhed er entydig placeret og udmøntet i skriftlige retningslinjer, som er årligt ajourført eller bekræftet som værende fortsat gældende. A4 Data behandles efter kontrakt/tilladelse fra dataansvarlig. A5 A6 A7 A8 A9 A10 A11 A12 A13 A14 A15 Ledelsen hos Anden Aktør har bekræftet, at Anden Aktør - uanset rollen som databehandler - er indforstået med at være direkte og umiddelbart ansvarlig for overholdelsen af Personoplysningsloven og Sikkerhedsbekendtgørelsen samt indforstået med at være underlagt tavshedspligt i henhold til forvaltningslovens regler. Der benyttes alene de udtræksfaciliteter, som stilles til rådighed via Arbejdsmarkedsportalen. Til Anden Aktørs eventuelt egne systemer, uploades alene de data, som fremgår af bilag 5 i databehandlings-/tilslutningsaftalens afsnit Upload af data fra arbejdsmarkedsportalen til Anden Aktørs it-systemer. Der er ikke etableret automatiske integrationsløsninger til AMP Ved interview med et udsnit af Anden Aktørs medarbejdere er testet, at medarbejderne er bekendte med og efterlever retningslinjer omkring søgning i og download af informationer fra Arbejdsmarkedsportalen. Ved interview med et udsnit af medarbejdere er testet, at medarbejderne er bekendte med forskellen på almindelige personoplysninger og følsomme personoplysninger og regler for registrering af og adgang til sådanne oplysninger. Det er ved stikprøve testet, at medarbejdere med medarbejdercertifikater har underskrevet sikkerhedserklæring for anvendelsen af certifikatet. Det er testet, at medarbejdere med LRA-ansvar har underskrevet sikkerhedserklæring vedr. LRA-funktionen. Det er ved stikprøves afprøvning på et udsnit af pc er (eller anden hardwareenhed) testet, at nøgle (certifikat) er installeret og opbevares betryggende, således at certifikatet alene kan anvendes af brugeren. Det er tillige stikprøvevist testet, at der alene er installeret certifikater tilhørende den pågældende bruger hos Anden Aktør, samt at certifikaterne er beskyttet Det er ved stikprøve testet, at krav om sletning af data overholdes, således at data højst er tilgængelige for Anden Aktør indtil en af AMS nærmere fastsat frist. Det er ved interview med Anden Aktørs ledelse verificeret, at data ikke videregives uden særskilt tilladelse fra den dataansvarlige (Kommunen), med mindre der er tale om videregivelse til EDB-servicebureau. Indhentede tilladelser foreligger skriftligt. Skriftlige, ledelsesgodkendte retningslinjer (autorisationsprocedure/- forretningsgang) for logisk adgangskontrol er udarbejdet og implementere for såvel ansatte som eksterne og gæstebrugere. Inddatamateriale må kun anvendes af personer, som er beskæftiget med inddatering og skal opbevares aflåst, når det ikke anvendes. Inddatamateriale slettes eller tilintetgøres, når det ikke længere anvendes til de formål, behandlingen varetager eller kontrol med de inddaterede personoplysninger, dog senest efter en af AMS fastsat frist.
Deloitte 5 Løsning 1 Løsning 2 Ref. Kontrolmål Emini Aktør Emini Aktør A16 A17 A18 A19 A20 A21 A22 A23 A24 Kun de personer, som er autoriseret hertil må have adgang til de personoplysninger, der behandles. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. Der er truffet foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriseret til. Herunder teknisk adgangskontrol i systemerne. Retningslinjer for behandling af uddatamateriale (print) er udarbejdet og implementeret. Uddatamateriale må kun anvendes af personer, som er beskæftiget med de formål, til hvilke behandlingen personoplysningerne foretages. Uddatamateriale skal opbevares på en sådan måde, at uvedkommende ikke kan få adgang til at gøre sig bekendt med de personoplysninger, som er indeholdt heri. Uddata materiale skal slettes eller tilintetgøres, når det ikke længere anvendes til de formål behandlingen varetager. Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Af dokumentationen for tildelte autorisationer skal fremgå, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. Al adgang til persondata skal være betinget af et arbejdsmæssigt behov og skal være skriftligt godkendt. Det skal løbende sikres, at de autoriserede personer fortsat opfylder betingelserne for opretholdelse af deres autorisation. Der skal foreligge dokumentation for, at AA mindst hvert halve år foretager kontrol heraf. Der skal foretages registrering af alle afviste adgangsforsøg. Der skal ske blokering efter et nærmere fastsat antal adgangsforsøg (højst 5). Der skal ske løbende opfølgning. Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger, dog ekskl. batch-kørsler og dokumenter i ikke-endelig form. Loggen skal som minimum indeholde oplysninger i henhold til sikkerhedsbekendtgørelsen. A25 (Adgangs-)loggen skal opbevares i 6 måneder, hvorefter den skal slettes. A26 Opkobling på Arbejdsmarkedsportalen og anden behandling af persondata må ikke ske ved anvendelse af hjemmearbejdspladser eller fra lokaler, som Anden Aktør ikke fast driver i sin virksomhed, med mindre der er truffet tilstrækkelige kompenserende foranstaltninger. B. Den registreredes rettigheder B1 Den dataansvarliges har opfyldt sin oplysningspligt. B2 Der er indført foranstaltninger til sikring af den registreredes indsigelsesret. B3 B4 Den registreredes ret til at kræve urigtige oplysninger rettet, slettet eller blokeret sikres overholdt igennem retningslinjer eller lignende. Der er indført foranstaltninger til sikring af den registreredes ret til at tilbagekalde samtykke. C. Anmeldelse C1 Anmeldelse til Datatilsynet foreligger, eller undtagelse fra anmeldelse er indhentet. D. Krav til applikationen og det omkringliggende miljø D1 D2 Betryggende logisk sikring er etableret gennem hensigtsmæssige arbejdsgange og brug af relevante systemparametre i styresystemer, databasesystemer, webservere, netværkskomponenter m.v. Systemparametre og sikkerhedsmæssig opsætning bør være dokumenteret og følge best practice på området. Systemer og data er sikret ved brug af firewall, der er konfigureret i overensstemmelse med AMS sikkerhedspolitik/retningslinjer i medfør heraf, således at der eksplicit er åbnet op for alene den netværkstrafik, som er nødvendig for databehandlingen.
Deloitte 6 Løsning 1 Løsning 2 Ref. Kontrolmål Emini Aktør Emini Aktør D3 D4 D5 D6 D7 Systemer og data er sikret mod skadelige data og programmer som minimum ved brug af antivirus- og antispyware systemer, som løbende skal være holdt ajour. Applikationer og underliggende basale it-systemer på pc, servere mv. er løbende holdt opdateret med programrettelser fra producenter/leverandør. Retningslinjer for fysisk adgangskontrol såvel som anden sikring mod andre former for fysiske hændelser (brand, vandskade, hærværk etc.) er udarbejdet og implementeret. Sikkerhedskopiering foretages dagligt, og det testes periodisk at systemer og data kan genskabes inden for en tidshorisont, som sætter Anden Aktør i stand til at varetage sine forpligtelser i medfør af aftalen, og således at der er minimal risiko for tab af data. Sikkerhedskopier (datamedier) skal være sikret mod uautoriseret adgang og ødelæggelse. TROV/jws T:\Afd1180\Emini 133921\2014\Emini ISAE3000 erklæring_isak_peopletrust-systemet_end.doc