Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift, vedligehold og videreudvikling af [systemnavn] (herefter Systemet ). Det er forudsat, at data, der behandles i Systemet, i mange tilfælde vil være personoplysninger i henhold til persondatalovgivningen, og kommunerne vil i den forbindelse være dataansvarlig. Når en dataansvarlig overlader behandling af personoplysninger til andre, skal den dataansvarlige sikre sig, at der sørges for den nødvendige datasikkerhed, og den dataansvarlige har også pligt til at kontrollere, at sikkerhedsforanstaltningerne rent faktisk er i orden. Til brug for denne kontrol skal Leverandøren én gang årligt, efter nærmere aftale med KOMBIT, afgive en erklæring med høj grad af sikkerhed fra en statsautoriseret revisor efter revisionsstandarden ISAE 3000 eller tilsvarende. I denne erklæring skal det dokumenteres, at Leverandøren overholder persondatalovgivningen, herunder sikkerhedsbekendtgørelsen, i forbindelse med Leverandørens varetagelse af opgaver for KOMBIT. Når Leverandøren overtager driftsansvaret for Systemet (ved driftskontraktens ikrafttrædelse), skal Leverandøren levere en ISAE 3000 type 1 erklæring eller tilsvarende. Herefter skal Leverandøren én gang årligt levere en ISAE 3000 type 2 erklæring eller tilsvarende, som skal dække hele perioden fra 1. januar 31. december. I året for driftskontraktens ikrafttrædelse skal erklæringen dog kun dække perioden fra driftskontraktens ikrafttrædelse (ofte benævnt Overtagelsesdagen ) til 31. december. Leverandøren skal ligeledes indhente og fremsende en tilsvarende erklæring fra eventuelle underleverandører, som behandler og/eller har adgang til personoplysninger, f.eks. driftsleverandører, som Leverandøren har indgået samarbejde med i forbindelse med varetagelse af opgaver for KOMBIT. KOMBIT vil ved gennemgang af erklæringer fra Leverandøren anvende nedenstående kontrolmål til at vurdere, om erklæringen omfatter de nødvendige forhold. Leverandøren skal derfor sikre, at erklæringer afgivet til KOMBIT er dækkende for nedenstående kontrolmål. Hvis der er områder eller kontrolmål som ikke er relevante, skal kundens revisor begrunde hvorfor. Eksisterer der forhold som er væsentlige og som ikke er indeholdt i områderne eller kontrolmålene, skal disse medtages i den afgivne erklæring. Kommunerne har som dataansvarlige en forpligtigelse til at kontrollere at databehandlere i hele kæden overholder deres forpligtigelser og har derfor ret til at se erklæringerne. September 2016 KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75
Det skal af hver erklæring detaljeret fremgå, hvilke revisionshandlinger der er udført for at nå til erklæringens konklusioner. Er der afdækket risici og/eller svagheder hos Leverandøren, herunder i relation til overholdelse af persondatalovgivningen, driftsmiljøet og/eller sikkerhedsprocedurer, skal disse detaljeret fremgå af erklæringen. Såfremt der i henhold til kontrakten kan anvendes en generel revisionserklæring, skal Leverandøren sikre, at alle områder og kontrolmål er dækket ind samt at revisoren skriftligt redegør for, at Systemet indgår i revisionserklæringen. A. Behandlingssikkerhed A1 A2 A3 A4 Retningslinjer for sikkerhedsorganisation er udarbejdet. A1 - IT-risikovurdering - der foreligger en ledelsesgodkendt it-risikovurdering. A1 - IT-sikkerhedspolitik - der foreligger en ledelsesgodkendt it-sikkerhedspolitik. A1 - Kommunikeret retningslinjer - der foreligger skriftlige retningslinjer for håndtering af personoplysninger som er kommunikeret til alle relevante medarbejdere. Data behandles efter kontrakt/tilladelse fra dataansvarlig. A2 - Tilladelse fra dataansvarlig - der foreligger kontrakt/tilladelse fra dataansvarlig om behandling af data. A2 - Håndtering af data - der er udarbejdet forskrifter for håndtering af data. A2 - Kryptering af data - der er udarbejdet forskrifter for kryptering af personoplysninger. A2 - Sletning af data - der er skriftlige retningslinjer for sletning af data. A2 - Hjemmearbejdspladser - er hjemmearbejdspladser etableret efter Datatilsynets regler. Data videregives ikke fra systemet uden særskilt tilladelse fra den dataansvarlige. A3 - Outsourcet drift - der foreligger underdatabehandleraftaler med leverandører. A3 - Eksterne leverandører - eksterne leverandører, underleverandører og serviceleverandører er bekendt med sikkerhedskravene i aftalen med den dataansvarlige samt at der foreligger en underdatabehandleraftale. A3 - Eksterne konsulenter - eksterne konsulenter og lignende er bekendt med sikkerhedskravene i aftalen med den dataansvarlige samt at der foreligger en underdatabehandleraftale. Retningslinjer for fysisk sikring er udarbejdet, forstået, accepteret og efterlevet. A4 - Adgang til bygning - der foreligger skriftlige retningslinjer for fysisk sikring. A4 - Bygningsforhold - der er adskillelse imellem offentlige rum og interne kontorlokaler. Side 2/5
A5 A6 A7 A4 - Sikring af serverrum - der er sikring imod brand, vand og andre hændelser. Retningslinjer for foranstaltninger for logisk sikkerhed, herunder logning, er udarbejdet, forstået, accepteret og efterlevet. A5 - Password - der er skriftlige retningslinjer for brug af passwords. A5 - Timeout/screensaver - der anvendes screensaver med lås eller anden timeoutfunktion for at minimere risiko for uautoriseret adgang. A5 - Logning - der er etableret skriftlige retningslinjer for logning på platforme således at der opnås sporbarhed. A5 - Åbne netværk - der er etableret skriftlige retningslinjer for brug af åbne netværk med henblik på at sikre personoplysninger. Retningslinjer for administration af autorisationer er udarbejdet, forstået, accepteret og efterlevet. A6 Brugeradministration - der er skriftlige retningslinjer for autorisation af brugere med hensyn til adgang til data som er omfattet af persondataloven. A6 - Brugeradministration Certifikater (fortrolig data) - der foreligger skriftlige retningslinjer som definerer ansvaret for certifikatoprettelse og -nedlæggelse og som angiver hvilke kriterier der oprettes, blokeres og nedlægges efter. Tildelte adgange er i overensstemmelse med arbejdsmæssigt betingede behov (Sikkerhedsbekendtgørelsen 12 og 16 autorisation og adgangskontrol). A7 - Krav om arbejdsbehov - der er kun tildelt dokumenterede adgange i overensstemmelse med arbejdsmæssigt behov. A7 - Krav om arbejdsbehov (admin) - der er udarbejdet særlige skriftlige retningslinjer for personer med administrative privilegier. A8 Tildelte brugeradgange revurderes halvårligt (Sikkerhedsbekendtgørelsen 17). A9 A10 A11 A8 - Revurdering af brugerrettigheder - der foretages periodisk revurdering af brugerrettigheder. Retningslinjer for sikkerhedskopiering er udarbejdet. A9 - Sikkerhedskopiering - der er udarbejdet skriftlige retningslinjer for sikkerhedskopiering. A9 - Sikkerhedskopiering opbevaring - det sikres, at der anvendes sikret opbevaring af backup for at sikre mod uautoriseret adgang. A9 - Sikkerhedskopiering Kryptering - det sikres, at der anvendes kryptering af backup indeholdende personoplysninger for at sikre mod uautoriseret adgang. Retningslinjer for behandling af uddatamateriale (print) er udarbejdet (Sikkerhedsbekendtgørelsen 13). A10 - Uddatamateriale (makulering bl.a.) - der er udarbejdet skriftlige retningslinjer der sikrer, at data ikke kompromitteres i fht. fortrolighed, herunder sikker bortskaffelse af print mv. Retningslinjer for bortskaffelse/reparation af it-udstyr med persondata er udarbejdet. A11 - Reparationer - der er udarbejdet skriftlige retningslinjer for sikker bortskaffelse af data og for reparation af udstyr indeholdende persondata. Side 3/5
A12 A13 A14 A15 Retningslinjer for sikring af eksterne kommunikationslinjer er udarbejdet. A12 - Kommunikationslinjer - der er udarbejdet skriftlige retningslinjer for eksterne kommunikationslinjer for at sikre personoplysninger. Alle de interne retningslinjer gennemgås årligt. A13 - Revurdering (forretningsgange mm.) - der er udarbejdet skriftlige retningslinjer og dokumentation for årlig gennemgang og ajourføring af forretningsgange, retningslinjer og beskrivelser. Medarbejdere instrueres om hvorledes behandling af data skal ske. A14 - Instruktion (behandling af data) - medarbejdere er instruerede om hvorledes behandling af data skal ske. Overdragelse af data til leverandører sker sikkert og ved skriftlig kontrakt. A15 - Overdragelse af data til leverandører sker sikkert og ved skriftlig kontrakt - Ved overdragelse er der udarbejdet kontrakt og truffet sikringsforanstaltninger. B. Den registreredes rettigheder B1 B2 B3 B4 B5 Den dataansvarlige har opfyldt sin oplysningspligt. B1 - Pligt til oplysning - den dataansvarlige har opfyldt sin oplysningspligt. Der er indført foranstaltninger til sikring af den registreredes indsigelsesret. B2 - Indsigelse (klage) - der er indført foranstaltninger til sikring af den registredes indsigelsesret. Der er indført foranstaltninger til sikring af den registreredes indsigtsret. B3 - Indsigt i egne data - der er indført foranstaltninger til sikring af den registreredes indsigtsret. Den registreredes ret til at kræve urigtige oplysninger rettet, slettet eller blokeret, sikres overholdt igennem retningslinjer eller lignende sikringsforanstaltninger. B4 - Rettelse i data - der forefindes skriftlige retningslinjer til sikring af den registreredes ret til at kræve urigtige oplysninger rettet, blokeret eller slettet. Der er indført foranstaltninger til sikring af den registreredes ret til at tilbagekalde samtykke. B5 Samtykke - der er indført foranstaltninger til sikring af den registreredes ret til at tilbagekalde samtykke. C. Anmeldelse C1 Anmeldelser til Datatilsynet foreligger, eller undtagelser fra anmeldelse er indhentet. C1 - Formel anmeldelse - der foreligger den nødvendige anmeldelse til Datatilsynet. Side 4/5
D. Krav til applikationen og det omkringliggende miljø D1 D2 D3 D4 D5 D6 Data er sikret igennem brug af firewall, der er konfigureret i overensstemmelse med den dataansvarliges sikkerhedspolitik (Sikkerhedsbekendtgørelsen 14). D1 - Firewall konfiguration - der anvendes firewall, til sikring af data, der er konfigureret i overensstemmelse med dataansvarliges sikkerhedspolitik. Der gøres brug af antivirussystemer, og der sker kontinuerligt sikkerhedsopdatering af huller i applikationer (Sikkerhedsbekendtgørelsen 14). D2 - Virus beskyttelse - der gøres brug af antivirussystemer som beskytter data og som opdateres med seneste definitioner. D2 - Sikkerhedsopgradering - der sker kontinuerligt sikkerhedsopdatering af applikationer mv med henblik på at imødegå sikkerhedshuller i applikationer mv. Fysisk sikring af platformene er etableret på betryggende vis. D3 - Fysisk sikring - der er etableret fysisk sikring af platforme på betryggende vis, herunder er der etableret sikring imod brand, vand og andre hændelser i form af eksempelvis nødstrøm, køling og brandslukning. Backup og sikkerhedskopiering gennemføres i overensstemmelse med kravene. D4 - Backup - der gennemføres backup og sikkerhedskopiering i overensstemmelse med kravene i sikkerhedsbekendtgørelsen. Logisk sikkerhed på platformen for applikationen er konfigureret korrekt og hensigtsmæssigt (Sikkerhedsbekendtgørelsen 14). D5 - Tekniske platforme - logisk sikkerhed på platformen for applikationen er konfigureret korrekt og hensigtsmæssigt i forhold til Sikkerhedsbekendtgørelsen. Mulighed for logning på applikationsniveau, så alle adgange og behandlinger på personoplysninger kan logges (Sikkerhedsbekendtgørelsen 18) D6 - Logning (applikation) - der er etableret den fornødne logning på applikationsniveau, så alle adgange til- og behandlinger af personoplysninger logges. Adgang til at rette/slette loggen er hensigtsmæssigt begrænset. Side 5/5