For hver af KOMBITs løsninger har den enkelte kommune indgået en hovedaftale, en såkaldt tilslutningsaftale. Til hver tilslutningsaftale knytter der sig en databehandleraftale med KOMBIT. Det er disse dokumenter, der udgør kontraktgrundlaget mellem den enkelte kommune og KOMBIT.
For mere information om de generelle vilkår for samarbejde mellem KOMBIT og kommunerne: Tryk her
Hvilke personoplysninger der behandles, og hvilke behandlingsaktiviteter der udføres, fremgår af instruksen vedrørende behandling af personoplysninger i databehandleraftalens bilag C for den enkelte løsning.
Leverandørkæden, som viser personoplysningernes ”rejse” fra kommune til systemleverandør og evt. til underleverandører, fremgår af bilag b i databehandleraftale for den enkelte løsning.
KOMBIT behandler personoplysninger efter instruks i databehandleraftalen mellem KOMBIT og den enkelte kommuner. Heraf fremgår, at der ikke må overføres personoplysninger til usikre tredjelande. KOMBIT har fulgt op på dette krav ved at føre tilsyn med leverandørernes underdatabehandleraftaler og dermed sikret, at kommunernes instruks til KOMBIT er videreført i hele databehandlerkæden.
For problematikken vedr. Aula henviser vi til svaret under spørgsmålet ”Hvad er udfordringen i Aula?”
Har KOMBIT udarbejdet Transfer Impact Assesments (TIA) for KOMBITs løsninger?
Nej. KOMBIT har ikke tilladelse til at overføre personoplysninger til usikre tredjelande jf. instruksen i databehandleraftalerne med kommunerne, hvorfor udarbejdelse af en TIA ikke er aktuel.
Udfordringen i Aula vedr. instruksen om behandlingen af personoplysninger i databehandleraftalen er først og fremmest en juridisk problemstilling. Der sker således ikke overførsel af data til usikre tredjelande.
I instruksen for Aula er der taget forbehold for, at Amazon Web Service - AWS - må behandle oplysninger uden for de valgte lokationer, hvis de er forpligtet via lov eller modtager en bindende anmodning fra en statslig myndighed.
Datatilsynet har beskrevet her og efterfølgende i et møde med KOMBIT, at myndighedsudøvelse (artikel 6. stk. 1 litra e) ikke udgør et lovligt hjemmelsgrundlag for denne behandlingsaktivitet, da instruksen er for bred. Med denne instruks er behandlingen ikke afgrænset til EU-lov eller myndigheder i medlemslandene og instruksen giver derfor leverandøren lov til at imødekomme en lov eller myndighedsanmodning fra usikre tredjelande.
På vegne af alle 98 kommuner indgår KOMBIT i dialog og samarbejde med systemleverandøren med henblik på at få ændret instruksen i underdatabehandleraftalen med AWS. Dette arbejde er i proces, og der bliver løbende sendt status herpå via Aulas nyhedsbreve, som man kan abonnere på her.
Ja. KOMBIT indhenter årligt revisionserklæringer udført af uafhængige tredjeparter for alle vores idriftsatte løsninger.
For nærmere information om hvilke revisionserklæringer, der er udsendt til kommunerne for de enkelte løsninger henviser vi til dette link: https://kombit.dk/revisionserklaeringer
Nyt tilsynskoncept
For leverandørtilsynet 2022 vil der blive indhentet systemspecifikke ISAE3000-revisionserklæringer. Udover at være systemspecifikke vil disse erklæringer indeholde ekstra kontroller som sikring for, at der er udført kontrolhandlinger jf. kravene i databehandleraftalerne.
I 2023 vil der ske en opgradering af dokumentationen for GDPR-compliance i de kommunevendte it-løsninger, som KOMBIT forvalter. Denne dokumentation kan – hvis kommunerne ønsker det – indgå i kommunernes eget arbejde med at sikre efterlevelse af GDPR i deres anvendelse af it-løsningerne. Som noget nyt vil KOMBIT i Q3 stille dokumentationen til rådighed for kommunerne. Denne compliancepakke omfatter for hver it-løsning:
- Bidrag til konsekvensanalyse
Overordnet beskrivelse af persondatabehandlingen i selve it-løsningen, som kan indgå i den endelige konsekvensanalyse, kommunerne skal udarbejde efter GDPR. - Fortegnelse over behandlingsaktiviteter
Beskrivelse af personoplysninger og deres behandling i it-løsningen. - Principper for behandling af personoplysninger
En gennemgang og vurdering af efterlevelsen af principperne for databeskyttelse i it-løsningen. - De registreredes rettigheder
Indeholder en gennemgang og vurdering af om it-løsningen understøtter de registreredes rettigheder. - Risikovurdering for de registrerede
En vurdering af behandlingssikkerheden og dermed af risiciene for de registrerede i it-løsningen. Risikovurderingen lægger sig tæt op af trusselsscenarier fra den nye ISO27002-standard.
KOMBIT har en databehandleraftale med en dataansvarlig kommune for hver af de forvaltede it-løsninger, som kommunen er tilsluttet. Kontrollen af, om kravene i den enkelte databehandleraftale pr. it-løsning er opfyldt, sker ved følgende revisionserklæringer, som KOMBIT indhenter:
- En systemspecifik ISAE3000-revisionserklæring med særskilte GDPR-kontroller for it-leverandøren (underdatabehandleren), som angår selve it-systemet i sin helhed.
- En generel ISAE3000-revisionserklæring for KOMBIT (databehandler), som angår KOMBITs adgang til de forvaltede løsninger, herunder de enkelte it-systemer