Klik her for at se Datatilsynets inspektionsskema
Side 1 af 28 Datatilsynets inspektionsrapport Version 1.0 af Datatilsynets inspektionsskema i SurveyXact Dette skema anvendes på Datatilsynets inspektioner hos myndigheder. Tilsynet udfylder skemaet med de oplysninger, som myndigheden giver under inspektionen. Myndigheden får snarest efter inspektionen rapporten forelagt til godkendelse. Inspektion afholdt hos: Inspektionen blev gennemført på følgende dato: Fra myndigheden deltog: Fra Datatilsynet deltog: ** Inspektionen var målrettet følgende emner: Myndighedens brug af billeder på hjemmesiden Behandling af personoplysninger i forbindelse med personaleadministration Behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed Tv-overvågning Myndighedens brug af Facebook, Skype, o.l. https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 2 af 28 Overførsel af oplysninger til tredjelande Oplysningspligten Indsigtsretten Retten til sletning eller berigtigelse Iagttagelse af krav om datasikkerhed, herunder krav i sikkerhedsbekendtgørelsen Håndtering af sikkerhedsbrud Datasikkerhed i borgerservice Efterlevelse af anmeldelsespligten Besigtigelse Andet Inspektionen omfattede følgende emner vedrørende datasikkerhed: Uddybende sikkerhedsregler Myndighedens eget tilsyn med behandlingerne hos myndigheden Instruktion af medarbejdere Hjemmearbejdspladser og "bring your own devise" Destruktion af datamedier Autorisation og adgangskontrol Transmission af personoplysninger via internettet Instruktion, aftaler og kontrol ved brug af eksterne databehandlere Halvårlig kontrol af autorisationer Registrering af og kontrol med afviste adgangsforsøg Logning Beskyttelse mod hackerangreb ISO27001 Andet ** Datatilsynet orienterede om Overordnet om tilsynets inspektionsindsats i medfør af persondataloven At inspektionens formål er at kontrollere overholdelsen af persondataloven hos myndigheden, men at der også er mulighed for dialog At denne inspektion er målrettet specifikke emner At der ikke er tale om en altomfattende gennemgang af myndighedens databehandlinger At tilsynets kompetenceområde er persondataloven, og at inspektionen derfor ikke omfatter overholdelsen af anden lovgivning, som myndighederne skal leve op til At tilsynet vil fremsende udkast til rapport til godkendelse snarest efter inspektionen Andet https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 3 af 28 Generel beskrivelse af myndigheden Myndigheds kategori Kommune Kommunal institution Region Sygehus Anden regional institition Departement Styrelse Anden statslig institution Andet Hvor mange medarbejdere har myndigheden (som behandler personoplysninger) Under 25 Mellem 25 og 50 Mellem 50 og 100 Mellem 100 og 200 Mellem 200 og 500 Mellem 500 og 1000 Mellem 1000 og 2000 Over 2000 ** Myndighedens brug af billeder på hjemmesiden Portrætbilleder Portrætbilleder Situationsbilleder Situationsbilleder Video med af personale af borgere med personale med borgere personale Video med borgere Hvilke typer af billeder findes der på myndighedens hjemmeside? I hvilke tilfælde er der indhentet samtykke til offentliggørelsen? I hvilke tilfælde har der være indsigelser mod offentliggjorte billeder? Hvordan sikrer myndigheden sig, at persondatalovens krav om samtykke til offentliggørelse af billeder af personalet og portrætbilleder af borgere opfyldes? https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 4 af 28 Datatilsynet orienterede om persondatalovens krav ved offentliggørelse af billeder Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger Behandling af personoplysninger i forbindelse med personaleadministration Myndigheden har digitale personalesager Myndigheden har manuelle personalesager Myndigheden foretager - eller forebeholder sig at foretage - kontrol af medarbejderes brug af internet mv. Myndigheden har en whisteblowerordning Andet Hvilke it-systemer anvendes i forbindelse med personaleadministration? Myndighedens generelle ESDH-system Almindelige kontorprogrammer (Word, Excel ol) Særlig it-løsning. Beskriv Andet Hvor ligger oplysninger, der behandles i forbindelse med personaleadministration? Myndigheden hoster selv de anvendte løsninger Der benyttes ekstern(e) databehandler(e). Beskriv: Andet Har myndigheden anmeldt sine behandlinger af personoplysninger i forbindelse med personaleadministration til Datatilsynet? Myndigheden har en generel anmeldelse af personaleadministration Myndigheden har anmeldt kontrol af medarbejdernes brug af internet mv. Myndigheden har ingen anmeldelser vedr. personaleadministration fordi Myndigheden vil få anmeldelserne til Datatilsynet på plads snarest og og senest den Andet https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 5 af 28 Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger ** Behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed Der sker behandling personoplysninger udelukkende i statistisk eller videnskabeligt øjemed Der sker IKKE behandling af personoplysninger udelukkende i statistisk eller videnskabeligt øjemed Andet Det aftaltes Datatilsynet bemærkede Har myndigheden en oversigt over projekter/behandlinger af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed? Ja Nej Andet Det aftaltes Datatilsynet bemærkede Hvor/hvordan lagres personoplysninger, der udelukkede anvendes i videnskabeligt eller statistisk øjemed? Hvor mange har adgang til personoplysninger, der udelukkende behandles i videnskabeligt eller statistisk øjemed? https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 6 af 28 Hvem har adgang til personoplysninger, der udelukkende behandles i videnskabeligt eller statistisk øjemed, og hvad er deres saglige formål med adgangen til oplysningerne? I hvilket omfang er adgangen til de fulde personoplysninger indskrænket ved brug af pseudonymisering, erstatning af identifikationsoplysninger med løbenumre eller lignende? Beskæftiger de personer, der har adgang til personoplysningerne, sig også med almindelig administrativ sagsbehandling, og hvordan sikres det i givet fald, at oplysningerne ikke anvendes administrativt? Føres der kontrol med, at personoplysninger, der behandles udelukkende i videnskabeligt eller statistisk øjemed, ikke efterfølgende bliver brugt i sagsbehandlingen? Beskriv i givet fald hvordan: ** Sker der videregivelse af personoplysninger, der behandles udelukkende i statistisk eller videnskabeligt øjemed, herunder i en form, hvor identifikationsoplysningerne er erstattet med løbenummer, kode eller lignende? https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 7 af 28 Hvilke oplysninger videregives? Hvem videregives oplysningerne til (modtagerkategorier)? Til hvilke formål behandles oplysningerne hos disse modtagere? Hvordan sikres det, at kun nødvendige oplysninger videregives? I hvilke tilfælde afslås anmodninger om at få videregivet oplysninger? Foreligger der tilladelse fra Datatilsynet efter persondatalovens § 10, stk. 3, til videregivelse af oplysninger, der behandles udelukkende i videnskabeligt eller statistisk øjemed hos afgiver? Hvis nej: Hvorfor ikke? https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 8 af 28 Hvordan/i hvilken form overføres oplysninger til modtagere (f.eks. overførsel via internettet, USB nøgler eller andet)? ** Datatilsynet orienterede om reglerne om behandling af personoplysninger udelukkende i statistisk eller videnskabeligt øjemed Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger Hvor foretager myndigheden tv-overvågning? Ekspeditionslokaler Ventesale Biblioteker/kulturhuse mv. Institutioner indendørs Institutioner udendørs Indgange og facader Tv-overvågning af ikke frit tilgængelige steder – kontorer, baglokaler mv. Offentlig gade, vej, plads eller lignende område, som benyttes til almindelig færdsel Andre områder - uddyb: Det aftaltes Datatilsynet bemærkede Formålet med myndighedens tv-overvågning I hvilket tidsrum sker der tv-overvågning? https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 9 af 28 Der foretages tv-overvågning døgnet rundt på følgende steder: Der foretages tv-overvågning i et begrænset tidsrum på disse steder: Beskriv i hvilket tidsrum tv-overvågningen foregår Andet Det aftaltes Datatilsynet bemærkede Hvilke områder, som benyttes til almindelig færdsel, overvåges? Et område, som ligger i nær tilknytning til et område, der overvåges af en boligorganisation mv. – efter drøftelse med politidirektøren. Overvågning af en kostbar skulptur Andre områder som ovennævnte, der benyttes til almindelig færdsel. Beskriv: Det blev oplyst, at ingen områder, som benyttes til almindelig færdsel, overvåges Andet Det aftaltes Datatilsynet bemærkede Er der etableret begrænsninger i tv-overvågningens omfang? Der er taget skridt til at undgå, at tv-overvågningen er rettet mod private hjem eller områder i nær tilknytning hertil. Beskriv: Der er IKKE taget skridt til at undgå, at tv-overvågningen er rettet mod private hjem eller områder i nær tilknytning hertil, fordi Der er foretaget begrænsning af tv-overvågningen ved hjælp af privacy zoner. Beskriv: Der er IKKE foretaget begrænsning af tv-overvågningen ved hjælp af privacy zoner, fordi Tv-overvågningen er fokuseret i forhold til formålet med overvågningen. Beskriv: Tv-overvågningen er IKKE fokuseret i forhold til formålet med overvågningen, fordi Andet Det aftaltes Datatilsynet bemærkede Hvordan er der adgang til billeder/optagelser fra tv-overvågningen? Anvendelse og videregivelse af optagelser fra tv-overvågning I hvilke situationer anvendes billeder/optagelser fra tv-overvågningen? https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 10 af 28 Hvor ofte anvendes billeder/optagelser fra tv-overvågningen af myndigheden (omtrentligt antal tilfælde årligt)? I hvilke situationer videregives billeder/optagelser fra tv-overvågningen? Hvor ofte videregives billeder/optagelser fra tv-overvågningen til politiet (omtrentligt antal tilfælde årligt)? Andet Det aftaltes Datatilsynet bemærkede Sletning af optagelser fra tv-overvågning Optagelserne gemmes max 30 dage Andet Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger ** Skiltning om tv-overvågning Der er foretaget skiltning på offentlig gade, vej, plads eller lignende område, som benyttes til almindelig færdsel Der er foretaget skiltning på arbejdspladser Der er foretaget skiltning på (andre) områder, hvortil der er almindelig adgang Der er ikke foretaget skiltning på alle områder, der tv-overvåges, fordi Andet Det aftaltes Datatilsynet bemærkede Indholdet af skiltene om tv-overvågning Piktogram om tv-overvågning Den dataansvarliges myndigheds identitet (navnlig ved overvågning i det offentlige rum) Kontaktoplysninger på den dataansvarlige myndighed Andet Det aftaltes Datatilsynet bemærkede https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 11 af 28 Information om tv-overvågningen til medarbejdere mv. Der er givet information til forældre og børn ved overvågning af skoler eller institutioner i åbningstiden. Beskriv hvordan: Der er givet information til medarbejdere. Beskriv hvordan (skrftligt eller mundligt osv.): Der er givet information til eksterne leverandører (f.eks. rengøringsfolk). Beskriv: Der er givet information til andre, der fast færdes på de overvågede områder. Beskriv: Andet Det aftaltes Datatilsynet bemærkede Indholdet af informationen til medarbejdere og brugere mv. Den dataansvarliges identitet Formålet med tv-overvågningen Hvor der overvåges I hvilke tidsrum der overvåges Retten til indsigt At oplysningerne kan blive videregivet til politiet Hvor længe optagelserne opbevares Andet Det aftaltes Datatilsynet bemærkede Indsigt i optagelser fra tv-overvågningen Myndigheden har modtaget anmodninger om indsigt i billeder eller optagelser fra tv-overvågning Myndigheden har IKKE modtaget anmodninger om indsigt i billeder eller optagelser fra tv-overvågning Myndigheden foretager/vil foretage sløring af andre personer på billederne i forbindelse med indsigt i tv-overvågning Myndigheden har en skriftlig procedure til brug for håndtering af indsigtsanmodninger Andet Det aftaltes Datatilsynet bemærkede Beskriv sikkerheden omkring tv-overvågningen og optagelserne Myndigheden har fastsat retningslinjer for beskyttelse af personoplysninger i forbindelse med tv-overvågning. Dato for sidste revision: Myndigheden har IKKE fastsat retningslinjer for beskyttelse af personoplysninger i forbindelse med tv-overvågning, fordi: Oplysninger kan ses lokalt på udstyret. Beskriv sikkerheden: Der sker transmission af billeder/optagelser via et net. Beskriv: https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 12 af 28 Optagelser udtages på bærbare medier, når de skal anvendes. Beskriv: Andet Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger ** Myndighedens brug af Facebook, Skype ol. Myndigheden har en Facebook-side. Beskriv: Myndigheden benytter Skype. Beskriv: Andet Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger Overførsel af oplysninger til tredjelande Der forekommer overførsel af personoplysninger til lande uden for EU (tredjelande). Beskriv: Der sker overførsel, som er nødvendig eller følger af lov eller bestemmelser fastsat i henhold til lov for at beskytte en vigtig samfundsmæssig interesse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares. Der sker overførsel baseret på udtrykkeligt samtykke dertil fra den person, oplysningerne vedrører Der sker overførsel til en databehandler, som er tilmeldt Safe Habor-ordningen Der sker overførsel til en databehandler, hvor der er indgået aftale svarende til Kommissionens standardkontakter uden ændringer Andet Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 13 af 28 ** Oplysningspligten. Beskriv, hvordan myndigheden sikrer sig, at medarbejderne er bekendt med og iagttager oplysningspligten: Følgende spørgsmål angående oplysningspligten blev drøftet Bliver nye medarbejdere orienteret om/oplært i opfyldelse af oplysningspligten? Findes der interne vejledninger/retningslinjer vedrørende oplysningspligten? Bliver der ført ”kontrol” med, at oplysningspligten bliver overholdt? Benyttes der en standardtekst ved skriftlig orientering? Har medarbejderne mulighed for at kontakte nogen internt ved tvivl om, hvorvidt en situation er omfattet af oplysningspligten? Sker orienteringen i almindelighed inden for 10 dage som beskrevet i rettighedsvejledningen? Andet Det aftaltes Datatilsynet bemærkede Datatilsynet orienterede om, at det ved kontrol af borgere og ansatte er god databehandlingsskik at give forudgående information. Datatilsynet henledte opmærksomheden på rettighedsvejledningen. www.datatilsynet.dk -> Lovgivning Yderligere bemærkninger ** Indsigtsretten. Beskriv, hvordan myndigheden sikrer sig, at medarbejderne er bekendt med retten til indsigt og håndterer anmodninger om indsigt korrekt: https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 14 af 28 Følgende spørgsmål angående indsigtsretten blev drøftet Hvor ofte modtager myndigheden anmodninger om indsigt? Informerer myndigheden borgerne om adgangen til indsigt? Har myndigheden interne retningslinjer for håndtering af indsigtsbegæringer? Andet Det aftaltes Datatilsynet bemærkede Datatilsynet henledte opmærksomheden på rettighedsvejledningen. www.datatilsynet.dk -> Lovgivning Yderligere bemærkninger ** Retten til sletning eller berigtigelse. Beskriv, hvordan myndigheden sikrer sig, at medarbejderne er bekendt med retten til sletning eller berigtigelse og håndterer anmodninger herom korrekt: Følgende spørgsmål angående retten til sletning eller berigtigelse blev drøftet Hvor ofte modtager myndigheden anmodninger om sletning eller berigtigelse? Informerer myndigheden borgerne om adgangen til sletning eller berigtigelse? Har myndigheden interne retningslinjer for håndtering af anmodninger om sletning eller berigtigelse? Andet Det aftaltes Datatilsynet bemærkede https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 15 af 28 Datatilsynet udleverede tilsynets pjece ”Kend din ret – når du mener, der er forkerte oplysninger i myndigheders sager” Datatilsynet anbefalede myndigheden at orientere borgere om pjecen, bl.a. når myndigheden modtager anmodninger om sletning eller berigtigelse af urigtige oplysninger. Datatilsynet henledte opmærksomheden på rettighedsvejledningen. www.datatilsynet.dk -> Lovgivning Yderligere bemærkninger ** Uddybende sikkerhedsregler Myndighedens sikkerhedsregler var senest ajourført inden for det sidste år, nemlig den Myndighedens sikkerhedsregler var IKKE ajourført inden for det sidste år, fordi Myndigheden havde ingen uddybende sikkerhedsregler, fordi Det aftaltes Andet Datatilsynet bemærkede Yderligere bemærkninger Myndighedens eget tilsyn med behandlingerne hos myndigheden Der er fastsat retningslinjer for myndighedens eget tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. Angiv dato for seneste ajourføring Der er IKKE fastsat retningslinjer for myndighedens eget tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden, fordi Det aftaltes Andet Datatilsynet bemærkede Yderligere bemærkninger https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 16 af 28 ** Instruktion af medarbejdere. Beskriv, hvordan myndigheden instruerer medarbejderne om håndtering af personoplysninger: Følgende emner vedrørende instruktion blev drøftet: Instruktion i reglerne for, hvad der må registreres, videregives og på anden vis behandles Instruktion i brug af e-mail, sikker mail og digital post Instruktion til medarbejdere, der offentliggør dokumenter mv. på internettet Instruktion om søgning i it-systemer og orientering om logningen i den forbindelse Andet Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger ** Hjemmearbejdspladser og anden brug af it-udstyr med personoplysninger uden for myndighedens lokaliteter Der findes egentlige hjemmearbejdspladser. Beskriv: Der findes mulighed for at udlåne it-udstyr til hjemmearbejde og arbejde på tjenesterejser. Beskriv: Der er regler for, hvilke USB nøgler ol. der må bruges til personoplysninger Stiller myndigheden krav om, at alle datamedier med personoplysninger skal være krypterede? Stiller myndigheden datamedier med kryptering til rådighed? Andet https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 17 af 28 Det aftaltes Datatilsynet bemærkede I hvilket omfang arbejder myndighedens medarbejdere med personoplysninger på egne pc'er og lign. Hvis medarbejdere arbejder med personoplysninger på egne pc'er og lignende, beskriv da, hvilke aftaler der er truffet til sikring af, at personoplysninger er beskyttet lige så godt, som når behandlingen sker på myndighedens udstyr, og hvilke sikkerhedsforanstaltninger myndigheden har implementeret Yderligere bemærkninger ** Destruktion af datamedier Har myndigheden fastsat retningslinjer for destruktion af detamedier? Har medarbejdere, der destruerer it-udstyr og datamedier, modtaget instruktion om korrekt håndtering af personoplysninger i den forbindelse? Anvender myndigheden ekstern databehandler til destruktion, og hvilke sikkerhedskrav har myndigheden da stillet? Andet Det aftaltes Datatilsynet bemærkede Beskriv myndighedens procedurer for destruktion af følgende typer af datamedier: Harddiske fra pc'er https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 18 af 28 Harddiske fra multifunktionsmaskiner USB nøgler Andet Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger ** Autorisation og adgangskontrol Myndigheden har procedurer for tildeling af autorisation (nye brugere, flytning, fratrædelse). Beskriv: Benytter medarbejderne fælles login, og i givet fald til hvilke systemer/oplysninger? I hvilke tilfælde anvendes adgangskontrol med brugernavn og password? Beskriv: Har myndigheden retningslinjer for valg og behandling af password? Beskriv: Har myndigheden retningslinjer for udskiftning af password? Beskriv: Anvendes løsninger med flere faktorer til login? Beskriv: Anvendes medarbejdersignatur (NemID)? Beskriv: Er medarbejderne tildelt rettigheder til kun de oplysninger i systemet, som vedrører de opgaver, vedkommende beskæftiger sig med, og ikke andet? Hvordan sikrer myndigheden, at autoriserede personer kun har adgang til de oplysninger, der er nødvendige, og ikke andet? Andet Det aftaltes Datatilsynet bemærkede Skærmlås og automatisk log off Anvendes der skærmlås og/eller automatisk log off på alle arbejdsstationer? Hvor lang tid skal der gå uden aktivitet, førend skærmlås eller automatisk log off aktiveres? Kan medarbejderne ændre intervallet eller fravælge funktionerne? Andet Det aftaltes Datatilsynet bemærkede https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 19 af 28 Yderligere bemærkninger ** Transmission af personoplysninger via internettet. Følgende emner blev drøftet: E-mail Sikker mail Digital post Selvbetjeningsløsninger på internettet Ftp-overførsler Andet Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger Hvordan sikrer myndigheden sig, inden indgåelse af aftale om brug af en ekstern løsning, at sikkerheden i løsningen og hos den anvendte databehandler er tilstrækkelig og lever op til persondataloven og sikkerhedsbekendtgørelsen? Hvilke databehandlere benytter myndigheden? Har myndigheden skriftlige aftaler med alle databehandlere, der behandler personoplysninger på myndighedens vegne? https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 20 af 28 Hvilken kontrol foretager myndigheden af sikkerheden hos de anvendte databehandlere? Datatilsynet orienterede om persondatalovens krav ved brug af databehandlere Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger ** Hvornår er der sidst udført kontrol af autorisationer? Sidste kontrol Næstsidste kontrol Hvilken procedure anvendes til halvårlig kontrol af autorisationer? Datatilsynet orienterede om kravene i sikkerhedsbekendtgørelsens § 17 Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 21 af 28 ** Hvordan foregår registrering af afviste adgangsforsøg og i hvilke løsninger/systemer? Datatilsynet orienterede om kravet i sikkerhedsbekendtgørelsens § 18 Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger ** I hvilke systemer, som anvendes af myndigheden, sker der logning (jf. sikkerhedsbekendtgørelsens § 19)? Har myndigheden anvendt loggen? Datatilsynet orienterede om kravene i sikkerhedsbekendtgørelsens § 19 Det aftaltes https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 22 af 28 Datatilsynet bemærkede Yderligere bemærkninger ** Beskyttelse mod hackerangreb Teknisk begrænsning af download af programmer fra internettet Begrænsning af brugen af lokaladministratorer Systematisk sikkerhedsopdatering af programmer og systemsoftware (fx Windows Operativsystem, Adobe Reader, Microsoft Office, Flash Player, Java, diverse browsere, Adobe Standard, Silverlight, mv.) Andet Datatilsynet bemærkede, at Center for Cybersikkerhed sammen med Digitaliseringsstyrelsen har udgivet publikationen "Cyberforsvar der virker", hvori bl.a. en række relevante sikringstiltag er beskrevet Yderligere bemærkninger ISO27001 Myndigheden har implementeret ISO27001. Tidspunkt herfor: Datatilsynet fik forevist myndighedens seneste ledelsespåtegnede riskovurdering Seneste ledelsespåtegnede risikovurdering er under et år gammel Seneste ledelsespåtegnede risikovurdering er over et år gammel, nemlig fra den: Der forelå ikke en ledelsespåtegnet risikovurdering Datatilsynet fik forevist den til risikovureringen knyttede handlingsplan for udbedring eller håndtering af de identificerede svagheder Der forelå ikke handlingsplan for udbedring eller håndtering af de identificerede svagheder Andet Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 23 af 28 ** Andet vedrørende datasikkerhed Yderligere bemærkninger Håndtering af sikkerhedsbrud Har myndigheden haft sikkerhedsbrud? Har myndigheden taget skridt til at afbøde konsekvenserne af sikkerhedsbrud? Er der givet information til berørte personer? Beskriv: Har myndigheden en politik eller retningslinjer for håndtering af sikkerhedsbrud? Datatilsynet fik forevist myndighedens politik for håndtering af sikkerhedsbrud Har myndigheden procedurer for håndtering af informationssikkerhedsbrud som led i implementering af ISO27001? Datatilsynet fik forevist procedurer for håndtering af informationssikkerhedsbrud, som myndigheden har fastlagt som led i gennemførelsen af ISO27001 Andet Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger Datasikkerhed i borgerservice https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 24 af 28 Findes der et eller flere borgerservicecentre? Hvor mange medarbejdere er ansat i borgerservice? Hvilke it-systemer har medarbejdere i borgerservice adgang til? Hvor har borgerne mulighed for at benytte kommunens computere til digital selvbetjening? Indeholder myndighedens uddybende sikkerhedsregler særlige bestemmelser vedr. borgerservicecentre? Andet Det aftaltes Datatilsynet bemærkede Er medarbejderne i borgerservice blevet særligt instrueret i følgende: At undlade brug af systemerne til usaglige formål f.eks. private formål? At undlade genbrug af oplysninger til uforenelige opgaver? At logge af systemer, hvis de ikke skal anvendes i længere tid? At skærme og papirer ikke må vende, så borgere kan se indholdet? Elektronisk kommunikation herunder anvendelse af sikker post og Digital Post? Hvordan og hvornår har kommunen givet særlig instruktion om ovenstående? Andet Det aftaltes Datatilsynet bemærkede Kontrol af loggen Hvor ofte foretages der stikprøvekontrol af loggen? Hvornår er der sidst foretaget stikprøvekontrol af loggen (de sidste to stikprøver)? I hvilke systemer har kommunen sidst foretaget tjek af loggen? Hvor mange opslag kontrolleres hos hver medarbejder? Bliver nye medarbejder orienteret om, at der sker stikprøvekontrol af loggen? Andet Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 25 af 28 ** Efterlevelse af anmeldelsespligten Angiv antal anmeldelser Myndigheden mente, at der var foretaget fyldestgørende anmeldelser til Datatilsynet. Andet Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger ** Besigtigelse Datatilsynet foretog en fysisk besigtigelse i forbindelse med inspektionen. Følgende lokationer blev besigtiget Eventuelle uregelmæssigheder observeret under besigtigelsen Der var computerskærme eller andre skærme, der kunne læses af publikum. Datatilsynet konstaterede følgende Der var outputenheder (printere, kopimaskiner o.l.) placeret i områder med publikumsadgang. Datatilsynet konstaterede følgende Der kunne findes udskrifter eller andet indeholdende fortrolige eller følsomme personoplysninger i papirkurve, printerrum eller lignende. Datatilsynet konstaterede følgende Der var manuelle registre uden forsvarlig opbevaring. Datatilsynet konstaterede følgende Serverrum var utilstrækkeligt sikret mod uvedkommendes adgang. Datatilsynet konstaterede følgende Der blev opbevaret uvedkommende brandbare genstande i serverrummet. Datatilsynet konstaterede følgende Der var øget risiko for vandskader som følge af rørføring, serverrummets beliggenhed eller indretning. Datatilsynet konstaterede følgende Andet Det aftaltes https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 26 af 28 Datatilsynet bemærkede Stikprøver i systemer i forbindelse med besigtigelsen Der var medarbejdere, som havde mulighed for at slå op i sager, som den pågældende medarbejder ikke burde kunne slå op i. Datatilsynet konstaterede følgende Der var medarbejdere, som i Outlook eller lignende lå inde med e-mails – indeholdende fortrolige eller følsomme personoplysninger – der var mere end 30 dage gamle. Datatilsynet konstaterede følgende Andet Det aftaltes Dalatilsynet bemærkede Yderligere bemærkninger ** Andet Afrunding af besøget og information om sagens videre forløb Datatilsynet fik udleveret udskrifter af de stikprøver, som var foretaget under besigtigelsen Myndigheden sender inden en uge svar på udestående spørgsmål vedrørende: Datatilsynet vil fremsende udkastet til inspektionsrapport inden en uge Afslutning på inspektionen vil ske ved afsluttende brev fra tilsynet Andet Det aftaltes Datatilsynet bemærkede Yderligere bemærkninger https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 27 af 28 https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015 Side 28 af 28 https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
© Copyright 2024