Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Relaterede dokumenter
Procedure for tilsyn af databehandleraftale

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018

EG Cloud & Hosting

1. Ledelsens udtalelse

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Pr. 31. december 2014

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

IST DANMARK APS ISAE 3000 ERKLÆRING

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

Bilag X Databehandleraftale

Driftskontrakt. Databehandleraftale. Bilag 14

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Plan og Handling CVR-nr.:

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

BILAG 5 DATABEHANDLERAFTALE

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Rammeaftalebilag 5 - Databehandleraftale

Lector ApS CVR-nr.:

Dato: 6. oktober 2011 Side 1 af 7. Fælles Databehandlerinstruks -

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

GML-HR A/S CVR-nr.:

PERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger ) Generelt om databeskyttelse Gennemsigtighed og samtykke...

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Bilag 9 Databehandleraftale

Kontraktbilag 7: Databehandleraftale

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

Databehandleraftale e-studio.dk Side 1 af 6

Tønder Kommune BILAG 10

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

GML-HR A/S CVR-nr.:

Bilag 1 Databehandlerinstruks

PERSONDATALOVEN OG SUNDHEDSLOVEN

Komiteen for Sundhedsoplysning CVR-nr.:

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

Databehandleraftale. om [Indsæt navn på aftale]

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Databehandleraftale (v.1.1)

Tabulex ApS. Februar erklæringsår. R, s

origo Databehandleraftale

Bilag 1 Databehandler aftale (v.1.2)

BILAG 14: DATABEHANDLERAFTALE

2. Leverandøren er som databehandler forpligtet til følgende:

DATABEHANDLERAFTALE. Mellem. [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen )

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Overordnet organisering af personoplysninger

Fonden Center for Autisme CVR-nr.:

Kontraktbilag 3. Databehandleraftale

SOPHIAGÅRD ELMEHØJEN

Tilladelsen gives på følgende vilkår:

Overordnet organisering af personoplysninger

Behandling af personoplysninger

Tjekliste til databehandleraftaler

SKABELON FOR DATABEHANDLERAFTALER MELLEM KUNDER OG KMD - af 5. december 2017

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Databeskyttelsespolitik for DSI Midgård

Tabulex ApS. Februar erklæringsår. R, s

Databeskyttelsespolitik

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

NSP Servicevilkå r for Indirekte GW LEVERANDØR

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

SKABELON FOR DATABEHANDLERAFTALER MELLEM KUNDER EG - af [Indsæt dato]

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

DATABEHANDLERAFTALE Version 1.1a

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Databehandlerinstruks

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Databehandleraftale. 1. Baggrund, formål og definitioner. mellem. xxxxxxxxxx xxxxxxxxxx xx xxxx xxxxxxx CVR.nr. xxxxxx

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

DATABEHANDLERAFTALE. Mellem. Efterskolen ved Nyborg Ringvej Nyborg CVR. nr.: (herefter Kunden )

PERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger... 2

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

ISAE 3000 DK ERKLÆRING MARTS RSM plus P/S statsautoriserede revisorer

Retningsgivende databehandlervejledning:

1.2 I tilfælde af konflikt mellem Aftalen eller andre aftaler mellem parterne og Databehandleraftalen skal Databehandleraftalen have forrang.

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Bilag 11 - Databehandleraftale

Bilag A Databehandleraftale pr

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Transkript:

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift, vedligehold og videreudvikling af [systemnavn] (herefter Systemet ). Det er forudsat, at data, der behandles i Systemet, i mange tilfælde vil være personoplysninger i henhold til persondatalovgivningen, og kommunerne vil i den forbindelse være dataansvarlig. Når en dataansvarlig overlader behandling af personoplysninger til andre, skal den dataansvarlige sikre sig, at der sørges for den nødvendige datasikkerhed, og den dataansvarlige har også pligt til at kontrollere, at sikkerhedsforanstaltningerne rent faktisk er i orden. Til brug for denne kontrol skal Leverandøren én gang årligt, efter nærmere aftale med KOMBIT, afgive en erklæring med høj grad af sikkerhed fra en statsautoriseret revisor efter revisionsstandarden ISAE 3000 eller tilsvarende. I denne erklæring skal det dokumenteres, at Leverandøren overholder persondatalovgivningen, herunder sikkerhedsbekendtgørelsen, i forbindelse med Leverandørens varetagelse af opgaver for KOMBIT. Når Leverandøren overtager driftsansvaret for Systemet (ved driftskontraktens ikrafttrædelse), skal Leverandøren levere en ISAE 3000 type 1 erklæring eller tilsvarende. Herefter skal Leverandøren én gang årligt levere en ISAE 3000 type 2 erklæring eller tilsvarende, som skal dække hele perioden fra 1. januar 31. december. I året for driftskontraktens ikrafttrædelse skal erklæringen dog kun dække perioden fra driftskontraktens ikrafttrædelse (ofte benævnt Overtagelsesdagen ) til 31. december. Leverandøren skal ligeledes indhente og fremsende en tilsvarende erklæring fra eventuelle underleverandører, som behandler og/eller har adgang til personoplysninger, f.eks. driftsleverandører, som Leverandøren har indgået samarbejde med i forbindelse med varetagelse af opgaver for KOMBIT. KOMBIT vil ved gennemgang af erklæringer fra Leverandøren anvende nedenstående kontrolmål til at vurdere, om erklæringen omfatter de nødvendige forhold. Leverandøren skal derfor sikre, at erklæringer afgivet til KOMBIT er dækkende for nedenstående kontrolmål. Hvis der er områder eller kontrolmål som ikke er relevante, skal kundens revisor begrunde hvorfor. Eksisterer der forhold som er væsentlige og som ikke er indeholdt i områderne eller kontrolmålene, skal disse medtages i den afgivne erklæring. Kommunerne har som dataansvarlige en forpligtigelse til at kontrollere at databehandlere i hele kæden overholder deres forpligtigelser og har derfor ret til at se erklæringerne. September 2016 KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75

Det skal af hver erklæring detaljeret fremgå, hvilke revisionshandlinger der er udført for at nå til erklæringens konklusioner. Er der afdækket risici og/eller svagheder hos Leverandøren, herunder i relation til overholdelse af persondatalovgivningen, driftsmiljøet og/eller sikkerhedsprocedurer, skal disse detaljeret fremgå af erklæringen. Såfremt der i henhold til kontrakten kan anvendes en generel revisionserklæring, skal Leverandøren sikre, at alle områder og kontrolmål er dækket ind samt at revisoren skriftligt redegør for, at Systemet indgår i revisionserklæringen. A. Behandlingssikkerhed A1 A2 A3 A4 Retningslinjer for sikkerhedsorganisation er udarbejdet. A1 - IT-risikovurdering - der foreligger en ledelsesgodkendt it-risikovurdering. A1 - IT-sikkerhedspolitik - der foreligger en ledelsesgodkendt it-sikkerhedspolitik. A1 - Kommunikeret retningslinjer - der foreligger skriftlige retningslinjer for håndtering af personoplysninger som er kommunikeret til alle relevante medarbejdere. Data behandles efter kontrakt/tilladelse fra dataansvarlig. A2 - Tilladelse fra dataansvarlig - der foreligger kontrakt/tilladelse fra dataansvarlig om behandling af data. A2 - Håndtering af data - der er udarbejdet forskrifter for håndtering af data. A2 - Kryptering af data - der er udarbejdet forskrifter for kryptering af personoplysninger. A2 - Sletning af data - der er skriftlige retningslinjer for sletning af data. A2 - Hjemmearbejdspladser - er hjemmearbejdspladser etableret efter Datatilsynets regler. Data videregives ikke fra systemet uden særskilt tilladelse fra den dataansvarlige. A3 - Outsourcet drift - der foreligger underdatabehandleraftaler med leverandører. A3 - Eksterne leverandører - eksterne leverandører, underleverandører og serviceleverandører er bekendt med sikkerhedskravene i aftalen med den dataansvarlige samt at der foreligger en underdatabehandleraftale. A3 - Eksterne konsulenter - eksterne konsulenter og lignende er bekendt med sikkerhedskravene i aftalen med den dataansvarlige samt at der foreligger en underdatabehandleraftale. Retningslinjer for fysisk sikring er udarbejdet, forstået, accepteret og efterlevet. A4 - Adgang til bygning - der foreligger skriftlige retningslinjer for fysisk sikring. A4 - Bygningsforhold - der er adskillelse imellem offentlige rum og interne kontorlokaler. Side 2/5

A5 A6 A7 A4 - Sikring af serverrum - der er sikring imod brand, vand og andre hændelser. Retningslinjer for foranstaltninger for logisk sikkerhed, herunder logning, er udarbejdet, forstået, accepteret og efterlevet. A5 - Password - der er skriftlige retningslinjer for brug af passwords. A5 - Timeout/screensaver - der anvendes screensaver med lås eller anden timeoutfunktion for at minimere risiko for uautoriseret adgang. A5 - Logning - der er etableret skriftlige retningslinjer for logning på platforme således at der opnås sporbarhed. A5 - Åbne netværk - der er etableret skriftlige retningslinjer for brug af åbne netværk med henblik på at sikre personoplysninger. Retningslinjer for administration af autorisationer er udarbejdet, forstået, accepteret og efterlevet. A6 Brugeradministration - der er skriftlige retningslinjer for autorisation af brugere med hensyn til adgang til data som er omfattet af persondataloven. A6 - Brugeradministration Certifikater (fortrolig data) - der foreligger skriftlige retningslinjer som definerer ansvaret for certifikatoprettelse og -nedlæggelse og som angiver hvilke kriterier der oprettes, blokeres og nedlægges efter. Tildelte adgange er i overensstemmelse med arbejdsmæssigt betingede behov (Sikkerhedsbekendtgørelsen 12 og 16 autorisation og adgangskontrol). A7 - Krav om arbejdsbehov - der er kun tildelt dokumenterede adgange i overensstemmelse med arbejdsmæssigt behov. A7 - Krav om arbejdsbehov (admin) - der er udarbejdet særlige skriftlige retningslinjer for personer med administrative privilegier. A8 Tildelte brugeradgange revurderes halvårligt (Sikkerhedsbekendtgørelsen 17). A9 A10 A11 A8 - Revurdering af brugerrettigheder - der foretages periodisk revurdering af brugerrettigheder. Retningslinjer for sikkerhedskopiering er udarbejdet. A9 - Sikkerhedskopiering - der er udarbejdet skriftlige retningslinjer for sikkerhedskopiering. A9 - Sikkerhedskopiering opbevaring - det sikres, at der anvendes sikret opbevaring af backup for at sikre mod uautoriseret adgang. A9 - Sikkerhedskopiering Kryptering - det sikres, at der anvendes kryptering af backup indeholdende personoplysninger for at sikre mod uautoriseret adgang. Retningslinjer for behandling af uddatamateriale (print) er udarbejdet (Sikkerhedsbekendtgørelsen 13). A10 - Uddatamateriale (makulering bl.a.) - der er udarbejdet skriftlige retningslinjer der sikrer, at data ikke kompromitteres i fht. fortrolighed, herunder sikker bortskaffelse af print mv. Retningslinjer for bortskaffelse/reparation af it-udstyr med persondata er udarbejdet. A11 - Reparationer - der er udarbejdet skriftlige retningslinjer for sikker bortskaffelse af data og for reparation af udstyr indeholdende persondata. Side 3/5

A12 A13 A14 A15 Retningslinjer for sikring af eksterne kommunikationslinjer er udarbejdet. A12 - Kommunikationslinjer - der er udarbejdet skriftlige retningslinjer for eksterne kommunikationslinjer for at sikre personoplysninger. Alle de interne retningslinjer gennemgås årligt. A13 - Revurdering (forretningsgange mm.) - der er udarbejdet skriftlige retningslinjer og dokumentation for årlig gennemgang og ajourføring af forretningsgange, retningslinjer og beskrivelser. Medarbejdere instrueres om hvorledes behandling af data skal ske. A14 - Instruktion (behandling af data) - medarbejdere er instruerede om hvorledes behandling af data skal ske. Overdragelse af data til leverandører sker sikkert og ved skriftlig kontrakt. A15 - Overdragelse af data til leverandører sker sikkert og ved skriftlig kontrakt - Ved overdragelse er der udarbejdet kontrakt og truffet sikringsforanstaltninger. B. Den registreredes rettigheder B1 B2 B3 B4 B5 Den dataansvarlige har opfyldt sin oplysningspligt. B1 - Pligt til oplysning - den dataansvarlige har opfyldt sin oplysningspligt. Der er indført foranstaltninger til sikring af den registreredes indsigelsesret. B2 - Indsigelse (klage) - der er indført foranstaltninger til sikring af den registredes indsigelsesret. Der er indført foranstaltninger til sikring af den registreredes indsigtsret. B3 - Indsigt i egne data - der er indført foranstaltninger til sikring af den registreredes indsigtsret. Den registreredes ret til at kræve urigtige oplysninger rettet, slettet eller blokeret, sikres overholdt igennem retningslinjer eller lignende sikringsforanstaltninger. B4 - Rettelse i data - der forefindes skriftlige retningslinjer til sikring af den registreredes ret til at kræve urigtige oplysninger rettet, blokeret eller slettet. Der er indført foranstaltninger til sikring af den registreredes ret til at tilbagekalde samtykke. B5 Samtykke - der er indført foranstaltninger til sikring af den registreredes ret til at tilbagekalde samtykke. C. Anmeldelse C1 Anmeldelser til Datatilsynet foreligger, eller undtagelser fra anmeldelse er indhentet. C1 - Formel anmeldelse - der foreligger den nødvendige anmeldelse til Datatilsynet. Side 4/5

D. Krav til applikationen og det omkringliggende miljø D1 D2 D3 D4 D5 D6 Data er sikret igennem brug af firewall, der er konfigureret i overensstemmelse med den dataansvarliges sikkerhedspolitik (Sikkerhedsbekendtgørelsen 14). D1 - Firewall konfiguration - der anvendes firewall, til sikring af data, der er konfigureret i overensstemmelse med dataansvarliges sikkerhedspolitik. Der gøres brug af antivirussystemer, og der sker kontinuerligt sikkerhedsopdatering af huller i applikationer (Sikkerhedsbekendtgørelsen 14). D2 - Virus beskyttelse - der gøres brug af antivirussystemer som beskytter data og som opdateres med seneste definitioner. D2 - Sikkerhedsopgradering - der sker kontinuerligt sikkerhedsopdatering af applikationer mv med henblik på at imødegå sikkerhedshuller i applikationer mv. Fysisk sikring af platformene er etableret på betryggende vis. D3 - Fysisk sikring - der er etableret fysisk sikring af platforme på betryggende vis, herunder er der etableret sikring imod brand, vand og andre hændelser i form af eksempelvis nødstrøm, køling og brandslukning. Backup og sikkerhedskopiering gennemføres i overensstemmelse med kravene. D4 - Backup - der gennemføres backup og sikkerhedskopiering i overensstemmelse med kravene i sikkerhedsbekendtgørelsen. Logisk sikkerhed på platformen for applikationen er konfigureret korrekt og hensigtsmæssigt (Sikkerhedsbekendtgørelsen 14). D5 - Tekniske platforme - logisk sikkerhed på platformen for applikationen er konfigureret korrekt og hensigtsmæssigt i forhold til Sikkerhedsbekendtgørelsen. Mulighed for logning på applikationsniveau, så alle adgange og behandlinger på personoplysninger kan logges (Sikkerhedsbekendtgørelsen 18) D6 - Logning (applikation) - der er etableret den fornødne logning på applikationsniveau, så alle adgange til- og behandlinger af personoplysninger logges. Adgang til at rette/slette loggen er hensigtsmæssigt begrænset. Side 5/5

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback