Sikkerhed

Informationssikkerhed og GDPR

Informationssikkerhed og GDPR er en grundlæggende præmis for KOMBITs forvaltning af it-systemer på vegne af kommunerne.

Sikkerhed

På denne side finder du forskellig information vedrørende KOMBITs arbejde med informations- og cybersikkerhed

Oftest stillede spørgsmål og svar

 

For hver af KOMBITs løsninger har den enkelte kommune indgået en hovedaftale, en såkaldt tilslutningsaftale. Til hver tilslutningsaftale knytter der sig en databehandleraftale med KOMBIT. Det er disse dokumenter, der udgør kontraktgrundlaget mellem den enkelte kommune og KOMBIT. 

For mere information om de generelle vilkår for samarbejde mellem KOMBIT og kommunerne.

Hvilke personoplysninger der behandles, og hvilke behandlingsaktiviteter der udføres, fremgår af instruksen vedrørende behandling af personoplysninger i databehandleraftalens bilag C for den enkelte løsning.

Leverandørkæden, som viser personoplysningernes ”rejse” fra kommune til systemleverandør og evt. til underleverandører, fremgår af bilag b i databehandleraftale for den enkelte løsning.

KOMBIT behandler personoplysninger efter instruks i databehandleraftalen mellem KOMBIT og den enkelte kommuner. Heraf fremgår, at der ikke må overføres personoplysninger til usikre tredjelande. KOMBIT har fulgt op på dette krav ved at føre tilsyn med leverandørernes underdatabehandleraftaler og dermed sikret, at kommunernes instruks til KOMBIT er videreført i hele databehandlerkæden.

For problematikken vedr. Aula henviser vi til svaret under spørgsmålet ”Hvad er udfordringen i Aula?”

Har KOMBIT udarbejdet Transfer Impact Assesments (TIA) for KOMBITs løsninger?
Nej. KOMBIT har ikke tilladelse til at overføre personoplysninger til usikre tredjelande jf. instruksen i databehandleraftalerne med kommunerne, hvorfor udarbejdelse af en TIA ikke er aktuel.

Udfordringen i Aula vedr. instruksen om behandlingen af personoplysninger i databehandleraftalen er først og fremmest en juridisk problemstilling. Der sker således ikke overførsel af data til usikre tredjelande.

I instruksen for Aula er der taget forbehold for, at Amazon Web Service - AWS - må behandle oplysninger uden for de valgte lokationer, hvis de er forpligtet via lov eller modtager en bindende anmodning fra en statslig myndighed.                                                              

Datatilsynet har beskrevet her og efterfølgende i et møde med KOMBIT, at myndighedsudøvelse (artikel 6. stk. 1 litra e) ikke udgør et lovligt hjemmelsgrundlag for denne behandlingsaktivitet, da instruksen er for bred. Med denne instruks er behandlingen ikke afgrænset til EU-lov eller myndigheder i medlemslandene og instruksen giver derfor leverandøren lov til at imødekomme en lov eller myndighedsanmodning fra usikre tredjelande.

På vegne af alle 98 kommuner indgår KOMBIT i dialog og samarbejde med systemleverandøren med henblik på at få ændret instruksen i underdatabehandleraftalen med AWS. Dette arbejde er i proces, og der bliver løbende sendt status herpå via Aulas nyhedsbreve, som man kan abonnere på her.

Ja. KOMBIT indhenter årligt revisionserklæringer udført af uafhængige tredjeparter for alle vores idriftsatte løsninger.

For nærmere information om hvilke revisionserklæringer, der er udsendt til kommunerne for de enkelte løsninger kan du læse mere længere nede på denne side.

Nyt tilsynskoncept

For leverandørtilsynet 2022 vil der blive indhentet systemspecifikke ISAE3000-revisionserklæringer. Udover at være systemspecifikke vil disse erklæringer indeholde ekstra kontroller som sikring for, at der er udført kontrolhandlinger jf. kravene i databehandleraftalerne.

I 2023 vil der ske en opgradering af dokumentationen for GDPR-compliance i de kommunevendte it-løsninger, som KOMBIT forvalter. Denne dokumentation kan – hvis kommunerne ønsker det – indgå i kommunernes eget arbejde med at sikre efterlevelse af GDPR i deres anvendelse af it-løsningerne. Som noget nyt vil KOMBIT i Q3 stille dokumentationen til rådighed for kommunerne. Denne compliancepakke omfatter for hver it-løsning:

  • Bidrag til konsekvensanalyse
    Overordnet beskrivelse af persondatabehandlingen i selve it-løsningen, som kan indgå i den endelige konsekvensanalyse, kommunerne skal udarbejde efter GDPR.
  • Fortegnelse over behandlingsaktiviteter
    Beskrivelse af personoplysninger og deres behandling i it-løsningen.
  • Principper for behandling af personoplysninger
    En gennemgang og vurdering af efterlevelsen af principperne for databeskyttelse i it-løsningen.
  • De registreredes rettigheder
    Indeholder en gennemgang og vurdering af om it-løsningen understøtter de registreredes rettigheder.
  • Risikovurdering for de registrerede
    En vurdering af behandlingssikkerheden og dermed af risiciene for de registrerede i it-løsningen. Risikovurderingen lægger sig tæt op af trusselsscenarier fra den nye ISO27002-standard.

KOMBIT har en databehandleraftale med en dataansvarlig kommune for hver af de forvaltede it-løsninger, som kommunen er tilsluttet. Kontrollen af, om kravene i den enkelte databehandleraftale pr. it-løsning er opfyldt, sker ved følgende revisionserklæringer, som KOMBIT indhenter:

  • En systemspecifik ISAE3000-revisionserklæring med særskilte GDPR-kontroller for it-leverandøren (underdatabehandleren), som angår selve it-systemet i sin helhed.
  • En generel ISAE3000-revisionserklæring for KOMBIT (databehandler), som angår KOMBITs adgang til de forvaltede løsninger, herunder de enkelte it-systemer
Henriette Vignal-Schjøth
Informationssikkerhedschef

Informationssikkerhed i KOMBIT

KOMBITs strategi for informationssikkerheds sætter rammen for KOMBITs arbejde med kommunernes data og løsninger.

I KOMBIT er arbejdet med informationssikkerhed en grundlæggende præmis for KOMBITs ambition om at sikre en løbende optimering af løsningerne og sikkerhed i data. Denne præmis er altafgørende for, at borgere og virksomheder fortsat har tillid til kommunernes data og løsninger både i forhold til datasikkerhed og cybersikkerhed.

KOMBITs mission i forhold til arbejdet med informationssikkerhed er at etablere det solide grundlag for cyber- og datasikkerhed i forhold til den fortsatte understøttelse af den kommunale og øvrige offentlige digitaliseringsdagsorden. KOMBITs arbejde med informationssikkerhed medvirker til at fastholde en fortsat succes med digitalisering i kommunerne og det øvrige offentlige Danmark.

Politik for informationssikkerhed

ISO-standarderne om informationssikkerhed, cybersikkerhed og privatlivsbeskyttelse er toneangivende indenfor international best practice. Med det afsæt vil KOMBIT styrke sin metodiske tilgang til informationssikkerhedsarbejdet ud fra disse standarder, men også inddrage andre relevante rammeværk på en sammenhængende og praktisk operationel måde.

Derfor har vi udarbejdet en politik for informationssikkerhed, der sætter rammen for en passende, effektiv og ledelsesforankret styring af KOMBITs informationssikkerhed.

 

Informations-sikkerhedspolitik

Læs vores informationssikkerhedspolitik her

Ved spørgsmål bedes du rette henvendelse til informationssikkerhed@kombit.dk

Ann-Cathrine Thomassen
DPO
Sådan arbejder KOMBITs Data Protection Officer.

KOMBITs Data Protection Officer

KOMBITs Data Protection Officer (DPO) rådgiver KOMBIT om reglerne inden for databeskyttelse og fører tilsyn med overholdelsen heraf – både i KOMBITs projekter, specialer og interne enheder. DPO'en rådgiver om beskyttelse af personoplysninger samt om, hvordan compliance sikres fx i forbindelse med:

  • Gennemførsel af udbud og indkøb af it-systemer
  • Udarbejdelse af kravspecifikationer til leverandører
  • Udarbejdelse af KOMBITs datapolitikker
  • Iværksættelse af behandling af personoplysninger

DPO'en overvåger og følger ny lovgivning, nye vejledninger og ny praksis på databeskyttelsesområdet og indgår desuden i dialog med KL, kommunerne samt andre interessenter (offentligt og privat) indenfor it-sikkerhed og databeskyttelse. DPO'en er desuden repræsentant for KOMBIT i samarbejdet med Datatilsynet.

 

Kontakt din kommunes DPO, hvis...

Hvis du er bruger af – og dermed registreret i – en eller flere af de løsninger, hvor KOMBIT er databehandler eller behandler dine personoplysninger på vegne af en kommune eller anden offentlig myndighed, vil du i første omgang skulle rette henvendelse til databeskyttelsesrådgiveren i den kommune, du bor i. Du kan finde databeskyttelsesrådgiverens kontaktoplysninger på kommunens hjemmeside.

Databeskyttelsesrådgiveren i kommunen vil kunne hjælpe med svar på alle spørgsmål om behandling af dine oplysninger og om udøvelsen af dine rettigheder i henhold til lovgivningen. Databeskyttelsesrådgiveren er underlagt tavshedspligt og fortrolighed.

Kontakt KOMBITs DPO, hvis...

Hvis du i forbindelse med fx ansøgning eller rekrutteringsforløb har spørgsmål om KOMBITs behandling af dine personoplysninger og om dine rettigheder som registreret, kan du kontakte KOMBITs databeskyttelsesrådgiver. Det samme gælder, hvis du har spørgsmål til KOMBITs behandling af dine personoplysninger og dine rettigheder som registreret i forbindelse med tidligere eller eksisterende ansættelse i KOMBIT. KOMBITs DPO kan kontaktes på tlf. 3334 9458 og DPO-post@kombit.dk.

Hvis du derimod blot ønsker at gøre brug af dine rettigheder som registreret, kan du anmode herom via vores webformular, som du finder her.

Endvidere vil enhver kunne kontakte KOMBITs databeskyttelsesrådgiver med information, hvis der måtte være forhold, hvor der kan være en risiko for, at KOMBITs behandling af personoplysninger ikke overholder reglerne, og dette gælder både i de tilfælde, hvor KOMBIT er databehandler og de tilfælde, hvor KOMBIT er dataansvarlig.

KOMBITs databeskyttelsesrådgiver har tavshedspligt og underlagt regler om fortrolighed i udførelsen af sine opgaver.

Information om indhentning og udsendelse af revisionserklæringer for løsninger indkøbt af KOMBIT

Proces for revisionserklæringer

KOMBIT fremsender revisionserklæringer for it-løsningerne til kommunerne som støtte til kommunernes kontrol med sine databehandlere. Revisionserklæringer bliver sendt til den mailadresse, som en kommune har oplyst i KLIK, medmindre kommunen er tilknyttet Det fælleskommunale Databehandlersekretariatet (DBS).

Kommuner tilknyttet DBS

Hvis en kommune er tilmeldt DBS vil revisionserklæringer og andet revisionsmateriale for de it-løsninger, som forvaltes af KOMBIT, alene blive tilsendt til DBS med henblik på tilsyn. Spørgsmål om revisionen af de pågældende it-løsninger fra DBS’ medlemskommuner skal derfor rettes til DBS. En liste over medlemskommuner findes her.

 

Revisionserklæringer for 2022

KOMBIT har for 2022 bestilt en systemspecifik ISAE3000-revisionserklæring med ekstra GDPR-kontrolmål for alle de nedenfor nævnte it-løsninger. ISAE 3402 Type 2 revisionserklæringer indhentes fortsat, hvor dette er relevant. KOMBIT opdaterer løbende skemaet nedenfor ved modtagelse af revisionserklæringerne for 2022. 

Nedenstående oversigt opdateres løbende ved eventuelle ændringer og er senest opdateret 20-09-2023.

Revisionserklæringer - oversigt

Løsning/System Erklæringstyper, som udsendes Leveringsstatus til KOMBIT

Leveringsstatus til kommunerne

Aula

ISAE 3000 Type 2 (Specifik  erklæring)

Modtaget 08-06-2023 Leveret til kommunerne 21-06-2023

Støttesystemerne

ISAE 3000 Type 2 (Specifik erklæring) Leveret december 2023 Forventes leveret til kommunerne januar 2024
Byg og Miljø

ISAE 3000 Type 2 (Generel erklæring)

Modtaget Leveret til kommunerne 18-08-2023
DUBU

SAE 3000 Type 2 (Specifik  erklæring)

Modtaget 08-06-2023

Leveret til kommunerne 21-06-2023

EESSI/RINA

ISAE 3000 Type 2 (Specifik  erklæring)

Forventes leveret maj 2023 Leveret til kommunerne 30-06-2023

FBI (Fælles Biblioteksinfrastruktur)   

ISAE 3000 Type 2 (Specifik  erklæring) Forventes modtaget marts 2023  
FBS - Fælles Bibliotekssystem

ISAE 3000 Type 2 (Specifik  erklæring) 

Modtaget 30. januar 2023 Leveret til kommunerne 26-05-2023
FLIS

ISAE 3000 Type 2 (Specifik  erklæring) 

Modtaget 08-06-2023 Leveret til kommunerne 22-06-2023
KOMBIT

ISAE 3000 Type 2 (Generel erklæring) 

Forventes modtaget marts 2023 Leveret til kommunerne
KP – Kommunernes Pensionssystem

* ISAE 3000 Type 2 (Specifik erklæring)

 

* ISAE 3402 Type 2 (KP systemspecifikke applikationskontroller) 

Modtaget 08-06-2023

 

Behov under afdækning

Leveret til kommunerne 21-06-2023
KSD – Kommunernes Sygedagpenge-system

* ISAE 3000 Type 2 (Specifik erklæring)

 

* ISAE 3402 Type 2 (KSD specifikke applikationskontroller)
* ISAE 3402 Type 2 (KMD generelle it-kontroller)
* Handlingsplan for de generelle erklæringer

 

* Handlingsplan for systemspecifikke erklæringer

Modtaget

 

 

Modtaget

 

 

Modtaget 

 

 

Modtaget

 

 

Modtaget

Leveret til kommunerne og DFD 21-04-2023

Leveret til kommunerne 28-02-2023

Leveret til kommunerne 28-02-2023

Leveret til kommunerne 28-02-2023

Leveret til kommunerne og DFD 28-02-2023

KY – Kommunernes Ydelsessystem

* ISAE 3000 Type 2 (KY systemspecifik erklæring)
* ISAE 3402 Type 2 (KY specifikke applikationskontroller)
* ISAE 3402 Type 2 (Netcompany generelle it-kontroller)

Modtaget 08-06-2023

 

Modtaget

 

 

Modtaget

Leveret til kommunerne og DFD 16-06-2023

 

Leveret til kommunerne 28-02-2023

Leveret 28-02-2023

 

Køreprøvebookning ISAE 3000 Type 2 (Generel erklæring)

Modtaget

Leveret til kommunerne 18-08-2023 
NemRefusion / Mit sygefravær ISAE 3000 Type 2 (Specifik erklæring)

 

 
SAPA/Borgerblikket

ISAE 3000 Type 2 (Specifik  erklæring)

Q2/2023

Leveret til kommunerne 22-06-2023
Serviceplatformen ISAE 3000 Type 2 (Specifik erklæring)

Forventes modtaget april 2023

Leveret til kommunerne 08-06-2023
Socialt Frikort ISAE 3000 Type 2 (Specifik  erklæring)

Modtaget september 2023

Leveret til kommunerne 14-09-2023
Sygesikring - Ingen erklæring for 2022, da løsningen ikke har været i produktion i 2022 Ikke relevant
YR - Ydelsesrefusion

* ISAE 3000 Type 2  (Specifik  erklæring)

 

 

 

* ISAE 3402 Type 2 (Specifikke applikationskontroller)

Modtaget 01-03-2023

 

 

 

Modtaget 01-03-2023

Leveret til STAR 01-03-2023 og leveret til kommunerne 24-04-2023
Leveret til STAR 01-03-2023 og leveret til kommunerne 24-04-2023