IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af et system, hvor der behandles personoplysninger, skal der oprettes en intern anmeldelse i Anmeldelsesportalen på datatilsynets hjemmeside. I den interne anmeldelse skal feltet: Revisorerklæring/Tilsyn udfyldes med følgende valgmuligheder: Revisorerklæring Når Horsens Kommune som dataansvarlig overlader behandling af personoplysninger til en leverandør, skal leverandøren levere en årlig revisorerklæring, hvis det fremgår af en kontrakt/aftale. Leverandøren kan også have valgt selv at levere en revisorerklæring, selvom dette ikke fremgår af kontrakten. Revisorerklæringen skal registreres i SBSYS på de enkelte databehandleraftalesager/systemejersag. Systemejeren skal foretage opfølgning på den modtagne revisorerklæring, når den modtages hvert år. Herunder skal det vurderes, om der er punkter, der kræver yderligere tilsyn og/eller tilsynsbesøg hos leverandøren. Tilsyn Når Horsens Kommune som dataansvarlig overlader behandling af personoplysninger til en leverandør, og det ikke fremgår af en kontrakt/aftale om, at der skal leveres en årlig revisorerklæring, skal systemejeren selv foretage tilsyn hos leverandøren. Tilsynet skal foretages ved brug af Databehandler Tilsynsskema. Skemaet kan sendes til leverandøren sammen med den tilhørende tro- og love-erklæring. Resultatet, altså leverandørens tilbagesvar, skal registreres i på de enkelte databehandleraftalesager/systemejersager. Herunder skal det vurderes, om der er punkter, der kræver yderligere tilsyn og/eller tilsynsbesøg hos leverandøren. Ingen revisorerklæring/tilsyn Hvis det ikke drejer sig om IT-drift, er der ikke krav om levering af revisorerklæring og/eller tilsyn. 1
Databehandler Tilsynsskema Anvendelsesvejledning Når Horsens Kommune som dataansvarlig overlader behandling af personoplysninger til en leverandør, skal kommunen føre tilsyn med at datasikkerheden, og de anvendte sikkerhedsforanstaltningerne lever op til de lovmæssige krav. Leverandøren skal dokumentere, at denne overholder persondatalovgivningen, herunder sikkerhedsbekendtgørelsen, i forbindelse med Leverandørens varetagelse af opgaver for Horsens Kommune. Leverandøren skal derfor udfylde vedlagte tilsynsskema en gang årligt og indsende det til xx senest den x/x. Tilsynsskemaet dækker perioden fra 1. januar 31. december, dog først fra kontraktstart i det første år af kontraktens løbetid. Såfremt Leverandøren anvender underleverandører, som behandler og/eller har adgang til personoplysninger, skal underleverandørerne ligeledes udfylde et tilsynsskema I tilsynsskemaet skal hvert punkt besvares med en afkrydsning i venstre kolonne. Et mangel på afkrydsning betragtes som et nej til det pågældende spørgsmål. I dette tilfælde skal der fremgå en beskrivelse af årsagen under punktet i skemaet. Er der afdækket risici og/eller svagheder hos Leverandøren, herunder i relation til overholdelse af persondatalovgivningen, driftsmiljøet og/eller sikkerhedsprocedurer, skal disse detaljeret fremgå af skemaet. 2
A. Behandlingssikkerhed A1 Retningslinjer for sikkerhedsorganisation er udarbejdet. A1 - IT-risikovurdering - der foreligger en ledelsesgodkendt it-risikovurdering. A1 - IT-sikkerhedspolitik - der foreligger en ledelsesgodkendt it-sikkerhedspolitik. A1 - Kommunikeret retningslinjer - der foreligger skriftlige retningslinjer for håndtering af personoplysninger som er kommunikeret til alle relevante medarbejdere. A2 Data behandles efter kontrakt/tilladelse fra dataansvarlig. A2 - Tilladelse fra dataansvarlig - der foreligger kontrakt/tilladelse fra dataansvarlig om behandling af data. A2 - Håndtering af data - der er udarbejdet forskrifter for håndtering af data. A2 - Kryptering af data - der er udarbejdet forskrifter for kryptering af personoplysninger. A2 - Sletning af data - der er skriftlige retningslinjer for sletning af data. A2 - Hjemmearbejdspladser - er hjemmearbejdspladser etableret efter Datatilsynets regler. A3 Data videregives ikke fra systemet uden særskilt tilladelse fra den dataansvarlige. A3 - Outsourcet drift - der foreligger underdatabehandleraftaler med leverandører. A3 - Eksterne leverandører - eksterne leverandører, underleverandører og serviceleverandører er bekendt med sikkerhedskravene i aftalen med den dataansvarlige samt at der foreligger en underdatabehandleraftale. 3
A3 - Eksterne konsulenter - eksterne konsulenter og lignende er bekendt med sikkerhedskravene i aftalen med den dataansvarlige samt at der foreligger en underdatabehandleraftale. A4 Retningslinjer for fysisk sikring er udarbejdet, forstået, accepteret og efterlevet. A4 - Adgang til bygning - der foreligger skriftlige retningslinjer for fysisk sikring. A4 - Bygningsforhold - der er adskillelse imellem offentlige rum og interne kontorlokaler. A4 - Sikring af serverrum - der er sikring imod brand, vand og andre hændelser. A5 Retningslinjer for foranstaltninger for logisk sikkerhed, herunder logning, er udarbejdet, forstået, accepteret og efterlevet. A5 - Password - der er skriftlige retningslinjer for brug af passwords. A5 - Timeout/screensaver - der anvendes screensaver med lås eller anden timeoutfunktion for at minimere risiko for uautoriseret adgang. A5 - Logning - der er etableret skriftlige retningslinjer for logning på platforme således at der opnås sporbarhed. A5 - Åbne netværk - der er etableret skriftlige retningslinjer for brug af åbne netværk med henblik på at sikre personoplysninger. A6 Retningslinjer for administration af autorisationer er udarbejdet, forstået, accepteret og efterlevet. A6 Brugeradministration - der er skriftlige retningslinjer for autorisation af brugere med hensyn til adgang til data som er omfattet af persondataloven. 4
A6 - Brugeradministration Certifikater (fortrolig data) - der foreligger skriftlige retningslinjer som definerer ansvaret for certifikatoprettelse og -nedlæggelse og som angiver hvilke kriterier der oprettes, blokeres og nedlægges efter. A7 Tildelte adgange er i overensstemmelse med arbejdsmæssigt betingede behov (Sikkerhedsbekendtgørelsen 12 og 16 autorisation og adgangskontrol). A7 - Krav om arbejdsbehov - der er kun tildelt dokumenterede adgange i overensstemmelse med arbejdsmæssigt behov. A7 - Krav om arbejdsbehov (admin) - der er udarbejdet særlige skriftlige retningslinjer for personer med administrative privilegier. A8 Tildelte brugeradgange revurderes halvårligt (Sikkerhedsbekendtgørelsen 17). A8 - Revurdering af brugerrettigheder - der foretages periodisk revurdering af brugerrettigheder. A9 Retningslinjer for sikkerhedskopiering er udarbejdet. A9 - Sikkerhedskopiering - der er udarbejdet skriftlige retningslinjer for sikkerhedskopiering. A9 - Sikkerhedskopiering opbevaring - det sikres, at der anvendes sikret opbevaring af backup for at sikre mod uautoriseret adgang. A9 - Sikkerhedskopiering Kryptering - det sikres, at der anvendes kryptering af backup indeholdende personoplysninger for at sikre mod uautoriseret adgang. A10 Retningslinjer for behandling af uddatamateriale (print) er udarbejdet (Sikkerhedsbekendtgørelsen 13). A10 - Uddatamateriale (makulering bl.a.) - der er udarbejdet skriftlige retningslinjer der sikrer, at data ikke kompromitteres i fht. fortrolighed, herunder sikker bortskaffelse af print mv. 5
A11 Retningslinjer for bortskaffelse/reparation af it-udstyr med persondata er udarbejdet. A11 - Reparationer - der er udarbejdet skriftlige retningslinjer for sikker bortskaffelse af data og for reparation af udstyr indeholdende persondata. A12 Retningslinjer for sikring af eksterne kommunikationslinjer er udarbejdet. A12 - Kommunikationslinjer - der er udarbejdet skriftlige retningslinjer for eksterne kommunikationslinjer for at sikre personoplysninger. A13 Alle de interne retningslinjer gennemgås årligt. A13 - Revurdering (forretningsgange mm.) - der er udarbejdet skriftlige retningslinjer og dokumentation for årlig gennemgang og ajourføring af forretningsgange, retningslinjer og beskrivelser. A14 Medarbejdere instrueres om hvorledes behandling af data skal ske. A14 - Instruktion (behandling af data) - medarbejdere er instruerede om hvorledes behandling af data skal ske. A15 Overdragelse af data til leverandører sker sikkert og ved skriftlig kontrakt. A15 - Overdragelse af data til leverandører sker sikkert og ved skriftlig kontrakt - Ved overdragelse er der udarbejdet kontrakt og truffet sikringsforanstaltninger. B. Den registreredes rettigheder B1 Den dataansvarlige har opfyldt sin oplysningspligt. B1 - Pligt til oplysning - den dataansvarlige har opfyldt sin oplysningspligt. B2 Der er indført foranstaltninger til sikring af den registreredes indsigelsesret. 6
B2 - Indsigelse (klage) - der er indført foranstaltninger til sikring af den registredes indsigelsesret. B3 Der er indført foranstaltninger til sikring af den registreredes indsigtsret. B3 - Indsigt i egne data - der er indført foranstaltninger til sikring af den registreredes indsigtsret. B4 Den registreredes ret til at kræve urigtige oplysninger rettet, slettet eller blokeret, sikres overholdt igennem retningslinjer eller lignende sikringsforanstaltninger. B4 - Rettelse i data - der forefindes skriftlige retningslinjer til sikring af den registreredes ret til at kræve urigtige oplysninger rettet, blokeret eller slettet. B5 Der er indført foranstaltninger til sikring af den registreredes ret til at tilbagekalde samtykke. B5 Samtykke - der er indført foranstaltninger til sikring af den registreredes ret til at tilbagekalde samtykke. C. Anmeldelse C1 Anmeldelser til Datatilsynet foreligger, eller undtagelser fra anmeldelse er indhentet. C1 - Formel anmeldelse - der foreligger den nødvendige anmeldelse til Datatilsynet. D. Krav til applikationen og det omkringliggende miljø D1 Data er sikret igennem brug af firewall, der er konfigureret i overensstemmelse med den dataansvarliges sikkerhedspolitik (Sikkerhedsbekendtgørelsen 14). D1 - Firewall konfiguration - der anvendes firewall, til sikring af data, der er konfigureret i overensstemmelse med dataansvarliges sikkerhedspolitik. D2 Der gøres brug af antivirussystemer, og der sker kontinuerligt sikkerhedsopdatering af huller i applikationer (Sikkerhedsbekendtgørelsen 14). D2 - Virus beskyttelse - der gøres brug af antivirussystemer som beskytter data og som opdateres med seneste definitioner. 7
D2 - Sikkerhedsopgradering - der sker kontinuerligt sikkerhedsopdatering af applikationer mv med henblik på at imødegå sikkerhedshuller i applikationer mv. D3 Fysisk sikring af platformene er etableret på betryggende vis. D3 - Fysisk sikring - der er etableret fysisk sikring af platforme på betryggende vis, herunder er der etableret sikring imod brand, vand og andre hændelser i form af eksempelvis nødstrøm, køling og brandslukning. D4 Backup og sikkerhedskopiering gennemføres i overensstemmelse med kravene. D4 - Backup - der gennemføres backup og sikkerhedskopiering i overensstemmelse med kravene i sikkerhedsbekendtgørelsen. D5 Logisk sikkerhed på platformen for applikationen er konfigureret korrekt og hensigtsmæssigt (Sikkerhedsbekendtgørelsen 14). D5 - Tekniske platforme - logisk sikkerhed på platformen for applikationen er konfigureret korrekt og hensigtsmæssigt i forhold til Sikkerhedsbekendtgørelsen. D6 Mulighed for logning på applikationsniveau, så alle adgange og behandlinger på personoplysninger kan logges (Sikkerhedsbekendtgørelsen 18) D6 - Logning (applikation) - der er etableret den fornødne logning på applikationsniveau, så alle adgange til- og behandlinger af Med underskriften bekræftes på tro og love korrektheden af oplysningerne. Dato: Underskrift leverandør 8