Oftest stillede spørgsmål og svar

Her finder du svar på oftest stillede spørgsmål om databeskyttelse og informationssikkerhed i KOMBITs løsninger.
Hvad er aftalegrundlaget mellem kommunerne og KOMBIT?

For hver af KOMBITs løsninger har den enkelte kommune indgået en hovedaftale, en såkaldt tilslutningsaftale. Til hver tilslutningsaftale knytter der sig en databehandleraftale med KOMBIT. Det er disse dokumenter, der udgør kontraktgrundlaget mellem den enkelte kommune og KOMBIT. 

For mere information om de generelle vilkår for samarbejde mellem KOMBIT og kommunerne: Tryk her

Hvor kan jeg få viden om personoplysninger og behandlingsaktiviteter i en KOMBIT- løsning?

Hvilke personoplysninger der behandles, og hvilke behandlingsaktiviteter der udføres, fremgår af instruksen vedrørende behandling af personoplysninger i databehandleraftalens bilag C for den enkelte løsning.

Hvor kan jeg få viden om leverandørkæden i KOMBITs løsninger?

Leverandørkæden, som viser personoplysningernes ”rejse” fra kommune til systemleverandør og evt. til underleverandører, fremgår af bilag b i databehandleraftale for den enkelte løsning.

Hvad gælder for overførelse af personoplysninger til usikre tredjelande?

KOMBIT behandler personoplysninger efter instruks i databehandleraftalen mellem KOMBIT og den enkelte kommuner. Heraf fremgår, at der ikke må overføres personoplysninger til usikre tredjelande. KOMBIT har fulgt op på dette krav ved at føre tilsyn med leverandørernes underdatabehandleraftaler og dermed sikret, at kommunernes instruks til KOMBIT er videreført i hele databehandlerkæden.

For problematikken vedr. Aula henviser vi til svaret under spørgsmålet ”Hvad er udfordringen i Aula?”

Har KOMBIT udarbejdet Transfer Impact Assesments (TIA) for KOMBITs løsninger?
Nej. KOMBIT har ikke tilladelse til at overføre personoplysninger til usikre tredjelande jf. instruksen i databehandleraftalerne med kommunerne, hvorfor udarbejdelse af en TIA ikke er aktuel.

Hvad er udfordringen i Aula?

Udfordringen i Aula vedr. instruksen om behandlingen af personoplysninger i databehandleraftalen er først og fremmest en juridisk problemstilling. Der sker således ikke overførsel af data til usikre tredjelande.

I instruksen for Aula er der taget forbehold for, at Amazon Web Service - AWS - må behandle oplysninger uden for de valgte lokationer, hvis de er forpligtet via lov eller modtager en bindende anmodning fra en statslig myndighed.                                                              

Datatilsynet har beskrevet her og efterfølgende i et møde med KOMBIT, at myndighedsudøvelse (artikel 6. stk. 1 litra e) ikke udgør et lovligt hjemmelsgrundlag for denne behandlingsaktivitet, da instruksen er for bred. Med denne instruks er behandlingen ikke afgrænset til EU-lov eller myndigheder i medlemslandene og instruksen giver derfor leverandøren lov til at imødekomme en lov eller myndighedsanmodning fra usikre tredjelande.

På vegne af alle 98 kommuner indgår KOMBIT i dialog og samarbejde med systemleverandøren med henblik på at få ændret instruksen i underdatabehandleraftalen med AWS. Dette arbejde er i proces, og der bliver løbende sendt status herpå via Aulas nyhedsbreve, som man kan abonnere på her.

Udfører KOMBIT leverandørtilsyn?

Ja. KOMBIT indhenter årligt revisionserklæringer udført af uafhængige tredjeparter for alle vores idriftsatte løsninger.

For nærmere information om hvilke revisionserklæringer, der er udsendt til kommunerne for de enkelte løsninger henviser vi til dette link: https://kombit.dk/revisionserklaeringer

Nyt tilsynskoncept

For leverandørtilsynet 2022 vil der blive indhentet systemspecifikke ISAE3000-revisionserklæringer. Udover at være systemspecifikke vil disse erklæringer indeholde ekstra kontroller som sikring for, at der er udført kontrolhandlinger jf. kravene i databehandleraftalerne.

Hvilket bidrag til arbejdet med GDPR kan kommunerne få fra KOMBIT?

I 2023 vil der ske en opgradering af dokumentationen for GDPR-compliance i de kommunevendte it-løsninger, som KOMBIT forvalter. Denne dokumentation kan – hvis kommunerne ønsker det – indgå i kommunernes eget arbejde med at sikre efterlevelse af GDPR i deres anvendelse af it-løsningerne. Som noget nyt vil KOMBIT i Q3 stille dokumentationen til rådighed for kommunerne. Denne compliancepakke omfatter for hver it-løsning:

  • Bidrag til konsekvensanalyse
    Overordnet beskrivelse af persondatabehandlingen i selve it-løsningen, som kan indgå i den endelige konsekvensanalyse, kommunerne skal udarbejde efter GDPR.
  • Fortegnelse over behandlingsaktiviteter
    Beskrivelse af personoplysninger og deres behandling i it-løsningen.
  • Principper for behandling af personoplysninger
    En gennemgang og vurdering af efterlevelsen af principperne for databeskyttelse i it-løsningen.
  • De registreredes rettigheder
    Indeholder en gennemgang og vurdering af om it-løsningen understøtter de registreredes rettigheder.
  • Risikovurdering for de registrerede
    En vurdering af behandlingssikkerheden og dermed af risiciene for de registrerede i it-løsningen. Risikovurderingen lægger sig tæt op af trusselsscenarier fra den nye ISO27002-standard.
Hvad er sammenhængen mellem databehandleraftaler og revisionserklæringer hos KOMBIT?

KOMBIT har en databehandleraftale med en dataansvarlig kommune for hver af de forvaltede it-løsninger, som kommunen er tilsluttet. Kontrollen af, om kravene i den enkelte databehandleraftale pr. it-løsning er opfyldt, sker ved følgende revisionserklæringer, som KOMBIT indhenter:

  • En systemspecifik ISAE3000-revisionserklæring med særskilte GDPR-kontroller for it-leverandøren (underdatabehandleren), som angår selve it-systemet i sin helhed.
  • En generel ISAE3000-revisionserklæring for KOMBIT (databehandler), som angår KOMBITs adgang til de forvaltede løsninger, herunder de enkelte it-systemer
 
Læs mere:
arrow   Om Informationssikkerhed og GDPR i KOMBIT
 

Downloads

 

Kontakt

Henriette Vignal-Schjøth
Informationssikkerhedschef
hvs@kombit.dk
2131 4422