Side 1 af 28
Datatilsynets inspektionsrapport
Version 1.0 af Datatilsynets inspektionsskema i SurveyXact
Dette skema anvendes på Datatilsynets inspektioner hos
myndigheder.
Tilsynet udfylder skemaet med de oplysninger, som myndigheden
giver under inspektionen.
Myndigheden får snarest efter inspektionen rapporten forelagt til
godkendelse.
Inspektion afholdt hos:
Inspektionen blev gennemført på følgende dato:
Fra myndigheden deltog:
Fra Datatilsynet deltog:
**
Inspektionen var målrettet følgende emner:
Myndighedens brug af billeder på hjemmesiden
Behandling af personoplysninger i forbindelse med personaleadministration
Behandling af personoplysninger udelukkende i videnskabeligt eller statistisk
øjemed
Tv-overvågning
Myndighedens brug af Facebook, Skype, o.l.
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 2 af 28
Overførsel af oplysninger til tredjelande
Oplysningspligten
Indsigtsretten
Retten til sletning eller berigtigelse
Iagttagelse af krav om datasikkerhed, herunder krav i
sikkerhedsbekendtgørelsen
Håndtering af sikkerhedsbrud
Datasikkerhed i borgerservice
Efterlevelse af anmeldelsespligten
Besigtigelse
Andet
Inspektionen omfattede følgende emner vedrørende datasikkerhed:
Uddybende sikkerhedsregler
Myndighedens eget tilsyn med behandlingerne hos myndigheden
Instruktion af medarbejdere
Hjemmearbejdspladser og "bring your own devise"
Destruktion af datamedier
Autorisation og adgangskontrol
Transmission af personoplysninger via internettet
Instruktion, aftaler og kontrol ved brug af eksterne databehandlere
Halvårlig kontrol af autorisationer
Registrering af og kontrol med afviste adgangsforsøg
Logning
Beskyttelse mod hackerangreb
ISO27001
Andet
**
Datatilsynet orienterede om
Overordnet om tilsynets inspektionsindsats i medfør af persondataloven
At inspektionens formål er at kontrollere overholdelsen af persondataloven hos
myndigheden, men at der også er mulighed for dialog
At denne inspektion er målrettet specifikke emner
At der ikke er tale om en altomfattende gennemgang af myndighedens
databehandlinger
At tilsynets kompetenceområde er persondataloven, og at inspektionen derfor
ikke omfatter overholdelsen af anden lovgivning, som myndighederne skal leve
op til
At tilsynet vil fremsende udkast til rapport til godkendelse snarest efter
inspektionen
Andet
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 3 af 28
Generel beskrivelse af myndigheden
Myndigheds kategori
Kommune
Kommunal institution
Region
Sygehus
Anden regional institition
Departement
Styrelse
Anden statslig institution
Andet
Hvor mange medarbejdere har myndigheden (som behandler
personoplysninger)
Under 25
Mellem 25 og 50
Mellem 50 og 100
Mellem 100 og 200
Mellem 200 og 500
Mellem 500 og 1000
Mellem 1000 og 2000
Over 2000
**
Myndighedens brug af billeder på hjemmesiden
Portrætbilleder Portrætbilleder Situationsbilleder Situationsbilleder Video med
af personale
af borgere
med personale
med borgere
personale
Video
med
borgere
Hvilke typer af
billeder findes der på
myndighedens
hjemmeside?
I hvilke tilfælde er der
indhentet samtykke til
offentliggørelsen?
I hvilke tilfælde har
der være indsigelser
mod offentliggjorte
billeder?
Hvordan sikrer myndigheden sig, at persondatalovens krav om
samtykke til offentliggørelse af billeder af personalet og
portrætbilleder af borgere opfyldes?
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 4 af 28
Datatilsynet orienterede om persondatalovens krav ved
offentliggørelse af billeder
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
Behandling af personoplysninger i forbindelse med
personaleadministration
Myndigheden har digitale personalesager
Myndigheden har manuelle personalesager
Myndigheden foretager - eller forebeholder sig at foretage - kontrol af
medarbejderes brug af internet mv.
Myndigheden har en whisteblowerordning
Andet
Hvilke it-systemer anvendes i forbindelse med
personaleadministration?
Myndighedens generelle ESDH-system
Almindelige kontorprogrammer (Word, Excel ol)
Særlig it-løsning. Beskriv
Andet
Hvor ligger oplysninger, der behandles i forbindelse med
personaleadministration?
Myndigheden hoster selv de anvendte løsninger
Der benyttes ekstern(e) databehandler(e). Beskriv:
Andet
Har myndigheden anmeldt sine behandlinger af personoplysninger i
forbindelse med personaleadministration til Datatilsynet?
Myndigheden har en generel anmeldelse af personaleadministration
Myndigheden har anmeldt kontrol af medarbejdernes brug af internet mv.
Myndigheden har ingen anmeldelser vedr. personaleadministration fordi
Myndigheden vil få anmeldelserne til Datatilsynet på plads snarest og og senest
den
Andet
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 5 af 28
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
**
Behandling af personoplysninger udelukkende i videnskabeligt eller
statistisk øjemed
Der sker behandling personoplysninger udelukkende i statistisk eller
videnskabeligt øjemed
Der sker IKKE behandling af personoplysninger udelukkende i statistisk eller
videnskabeligt øjemed
Andet
Det aftaltes
Datatilsynet bemærkede
Har myndigheden en oversigt over projekter/behandlinger af
personoplysninger udelukkende i videnskabeligt eller statistisk
øjemed?
Ja
Nej
Andet
Det aftaltes
Datatilsynet bemærkede
Hvor/hvordan lagres personoplysninger, der udelukkede anvendes i
videnskabeligt eller statistisk øjemed?
Hvor mange har adgang til personoplysninger, der udelukkende
behandles i videnskabeligt eller statistisk øjemed?
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 6 af 28
Hvem har adgang til personoplysninger, der udelukkende behandles
i videnskabeligt eller statistisk øjemed, og hvad er deres saglige
formål med adgangen til oplysningerne?
I hvilket omfang er adgangen til de fulde personoplysninger
indskrænket ved brug af pseudonymisering, erstatning af
identifikationsoplysninger med løbenumre eller lignende?
Beskæftiger de personer, der har adgang til personoplysningerne,
sig også med almindelig administrativ sagsbehandling, og hvordan
sikres det i givet fald, at oplysningerne ikke anvendes administrativt?
Føres der kontrol med, at personoplysninger, der behandles
udelukkende i videnskabeligt eller statistisk øjemed, ikke
efterfølgende bliver brugt i sagsbehandlingen? Beskriv i givet fald
hvordan:
**
Sker der videregivelse af personoplysninger, der behandles
udelukkende i statistisk eller videnskabeligt øjemed, herunder i en
form, hvor identifikationsoplysningerne er erstattet med
løbenummer, kode eller lignende?
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 7 af 28
Hvilke oplysninger videregives?
Hvem videregives oplysningerne til (modtagerkategorier)?
Til hvilke formål behandles oplysningerne hos disse modtagere?
Hvordan sikres det, at kun nødvendige oplysninger videregives?
I hvilke tilfælde afslås anmodninger om at få videregivet
oplysninger?
Foreligger der tilladelse fra Datatilsynet efter persondatalovens § 10,
stk. 3, til videregivelse af oplysninger, der behandles udelukkende i
videnskabeligt eller statistisk øjemed hos afgiver? Hvis nej: Hvorfor
ikke?
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 8 af 28
Hvordan/i hvilken form overføres oplysninger til modtagere (f.eks.
overførsel via internettet, USB nøgler eller andet)?
**
Datatilsynet orienterede om reglerne om behandling af
personoplysninger udelukkende i statistisk eller videnskabeligt
øjemed
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
Hvor foretager myndigheden tv-overvågning?
Ekspeditionslokaler
Ventesale
Biblioteker/kulturhuse mv.
Institutioner indendørs
Institutioner udendørs
Indgange og facader
Tv-overvågning af ikke frit tilgængelige steder – kontorer, baglokaler mv.
Offentlig gade, vej, plads eller lignende område, som benyttes til almindelig
færdsel
Andre områder - uddyb:
Det aftaltes
Datatilsynet bemærkede
Formålet med myndighedens tv-overvågning
I hvilket tidsrum sker der tv-overvågning?
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 9 af 28
Der foretages tv-overvågning døgnet rundt på følgende steder:
Der foretages tv-overvågning i et begrænset tidsrum på disse steder:
Beskriv i hvilket tidsrum tv-overvågningen foregår
Andet
Det aftaltes
Datatilsynet bemærkede
Hvilke områder, som benyttes til almindelig færdsel, overvåges?
Et område, som ligger i nær tilknytning til et område, der overvåges af en
boligorganisation mv. – efter drøftelse med politidirektøren.
Overvågning af en kostbar skulptur
Andre områder som ovennævnte, der benyttes til almindelig færdsel. Beskriv:
Det blev oplyst, at ingen områder, som benyttes til almindelig færdsel,
overvåges
Andet
Det aftaltes
Datatilsynet bemærkede
Er der etableret begrænsninger i tv-overvågningens omfang?
Der er taget skridt til at undgå, at tv-overvågningen er rettet mod private hjem
eller områder i nær tilknytning hertil. Beskriv:
Der er IKKE taget skridt til at undgå, at tv-overvågningen er rettet mod private
hjem eller områder i nær tilknytning hertil, fordi
Der er foretaget begrænsning af tv-overvågningen ved hjælp af privacy zoner.
Beskriv:
Der er IKKE foretaget begrænsning af tv-overvågningen ved hjælp af privacy
zoner, fordi
Tv-overvågningen er fokuseret i forhold til formålet med overvågningen.
Beskriv:
Tv-overvågningen er IKKE fokuseret i forhold til formålet med overvågningen,
fordi
Andet
Det aftaltes
Datatilsynet bemærkede
Hvordan er der adgang til billeder/optagelser fra tv-overvågningen?
Anvendelse og videregivelse af optagelser fra tv-overvågning
I hvilke situationer anvendes billeder/optagelser fra tv-overvågningen?
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 10 af 28
Hvor ofte anvendes billeder/optagelser fra tv-overvågningen af myndigheden
(omtrentligt antal tilfælde årligt)?
I hvilke situationer videregives billeder/optagelser fra tv-overvågningen?
Hvor ofte videregives billeder/optagelser fra tv-overvågningen til politiet
(omtrentligt antal tilfælde årligt)?
Andet
Det aftaltes
Datatilsynet bemærkede
Sletning af optagelser fra tv-overvågning
Optagelserne gemmes max 30 dage
Andet
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
**
Skiltning om tv-overvågning
Der er foretaget skiltning på offentlig gade, vej, plads eller lignende område,
som benyttes til almindelig færdsel
Der er foretaget skiltning på arbejdspladser
Der er foretaget skiltning på (andre) områder, hvortil der er almindelig adgang
Der er ikke foretaget skiltning på alle områder, der tv-overvåges, fordi
Andet
Det aftaltes
Datatilsynet bemærkede
Indholdet af skiltene om tv-overvågning
Piktogram om tv-overvågning
Den dataansvarliges myndigheds identitet (navnlig ved overvågning i det
offentlige rum)
Kontaktoplysninger på den dataansvarlige myndighed
Andet
Det aftaltes
Datatilsynet bemærkede
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 11 af 28
Information om tv-overvågningen til medarbejdere mv.
Der er givet information til forældre og børn ved overvågning af skoler eller
institutioner i åbningstiden. Beskriv hvordan:
Der er givet information til medarbejdere. Beskriv hvordan (skrftligt eller
mundligt osv.):
Der er givet information til eksterne leverandører (f.eks. rengøringsfolk).
Beskriv:
Der er givet information til andre, der fast færdes på de overvågede områder.
Beskriv:
Andet
Det aftaltes
Datatilsynet bemærkede
Indholdet af informationen til medarbejdere og brugere mv.
Den dataansvarliges identitet
Formålet med tv-overvågningen
Hvor der overvåges
I hvilke tidsrum der overvåges
Retten til indsigt
At oplysningerne kan blive videregivet til politiet
Hvor længe optagelserne opbevares
Andet
Det aftaltes
Datatilsynet bemærkede
Indsigt i optagelser fra tv-overvågningen
Myndigheden har modtaget anmodninger om indsigt i billeder eller optagelser
fra tv-overvågning
Myndigheden har IKKE modtaget anmodninger om indsigt i billeder eller
optagelser fra tv-overvågning
Myndigheden foretager/vil foretage sløring af andre personer på billederne i
forbindelse med indsigt i tv-overvågning
Myndigheden har en skriftlig procedure til brug for håndtering af
indsigtsanmodninger
Andet
Det aftaltes
Datatilsynet bemærkede
Beskriv sikkerheden omkring tv-overvågningen og optagelserne
Myndigheden har fastsat retningslinjer for beskyttelse af personoplysninger i
forbindelse med tv-overvågning. Dato for sidste revision:
Myndigheden har IKKE fastsat retningslinjer for beskyttelse af
personoplysninger i forbindelse med tv-overvågning, fordi:
Oplysninger kan ses lokalt på udstyret. Beskriv sikkerheden:
Der sker transmission af billeder/optagelser via et net. Beskriv:
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 12 af 28
Optagelser udtages på bærbare medier, når de skal anvendes. Beskriv:
Andet
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
**
Myndighedens brug af Facebook, Skype ol.
Myndigheden har en Facebook-side. Beskriv:
Myndigheden benytter Skype. Beskriv:
Andet
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
Overførsel af oplysninger til tredjelande
Der forekommer overførsel af personoplysninger til lande uden for EU
(tredjelande). Beskriv:
Der sker overførsel, som er nødvendig eller følger af lov eller bestemmelser
fastsat i henhold til lov for at beskytte en vigtig samfundsmæssig interesse eller
for, at et retskrav kan fastlægges, gøres gældende eller forsvares.
Der sker overførsel baseret på udtrykkeligt samtykke dertil fra den person,
oplysningerne vedrører
Der sker overførsel til en databehandler, som er tilmeldt Safe Habor-ordningen
Der sker overførsel til en databehandler, hvor der er indgået aftale svarende til
Kommissionens standardkontakter uden ændringer
Andet
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 13 af 28
**
Oplysningspligten. Beskriv, hvordan myndigheden sikrer sig, at
medarbejderne er bekendt med og iagttager oplysningspligten:
Følgende spørgsmål angående oplysningspligten blev drøftet
Bliver nye medarbejdere orienteret om/oplært i opfyldelse af oplysningspligten?
Findes der interne vejledninger/retningslinjer vedrørende oplysningspligten?
Bliver der ført ”kontrol” med, at oplysningspligten bliver overholdt?
Benyttes der en standardtekst ved skriftlig orientering?
Har medarbejderne mulighed for at kontakte nogen internt ved tvivl om,
hvorvidt en situation er omfattet af oplysningspligten?
Sker orienteringen i almindelighed inden for 10 dage som beskrevet i
rettighedsvejledningen?
Andet
Det aftaltes
Datatilsynet bemærkede
Datatilsynet orienterede om, at det ved kontrol af borgere og ansatte er god
databehandlingsskik at give forudgående information.
Datatilsynet henledte opmærksomheden på rettighedsvejledningen.
www.datatilsynet.dk -> Lovgivning
Yderligere bemærkninger
**
Indsigtsretten. Beskriv, hvordan myndigheden sikrer sig, at
medarbejderne er bekendt med retten til indsigt og håndterer
anmodninger om indsigt korrekt:
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 14 af 28
Følgende spørgsmål angående indsigtsretten blev drøftet
Hvor ofte modtager myndigheden anmodninger om indsigt?
Informerer myndigheden borgerne om adgangen til indsigt?
Har myndigheden interne retningslinjer for håndtering af indsigtsbegæringer?
Andet
Det aftaltes
Datatilsynet bemærkede
Datatilsynet henledte opmærksomheden på rettighedsvejledningen.
www.datatilsynet.dk -> Lovgivning
Yderligere bemærkninger
**
Retten til sletning eller berigtigelse. Beskriv, hvordan myndigheden
sikrer sig, at medarbejderne er bekendt med retten til sletning eller
berigtigelse og håndterer anmodninger herom korrekt:
Følgende spørgsmål angående retten til sletning eller berigtigelse
blev drøftet
Hvor ofte modtager myndigheden anmodninger om sletning eller berigtigelse?
Informerer myndigheden borgerne om adgangen til sletning eller berigtigelse?
Har myndigheden interne retningslinjer for håndtering af anmodninger om
sletning eller berigtigelse?
Andet
Det aftaltes
Datatilsynet bemærkede
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 15 af 28
Datatilsynet udleverede tilsynets pjece ”Kend din ret – når du mener, der er
forkerte oplysninger i myndigheders sager”
Datatilsynet anbefalede myndigheden at orientere borgere om pjecen, bl.a. når
myndigheden modtager anmodninger om sletning eller berigtigelse af urigtige
oplysninger.
Datatilsynet henledte opmærksomheden på rettighedsvejledningen.
www.datatilsynet.dk -> Lovgivning
Yderligere bemærkninger
**
Uddybende sikkerhedsregler
Myndighedens sikkerhedsregler var senest ajourført inden for det sidste år,
nemlig den
Myndighedens sikkerhedsregler var IKKE ajourført inden for det sidste år, fordi
Myndigheden havde ingen uddybende sikkerhedsregler, fordi
Det aftaltes
Andet
Datatilsynet bemærkede
Yderligere bemærkninger
Myndighedens eget tilsyn med behandlingerne hos myndigheden
Der er fastsat retningslinjer for myndighedens eget tilsyn med overholdelsen af
de sikkerhedsforanstaltninger, der er fastsat for myndigheden. Angiv dato for
seneste ajourføring
Der er IKKE fastsat retningslinjer for myndighedens eget tilsyn med
overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden,
fordi
Det aftaltes
Andet
Datatilsynet bemærkede
Yderligere bemærkninger
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 16 af 28
**
Instruktion af medarbejdere. Beskriv, hvordan myndigheden
instruerer medarbejderne om håndtering af personoplysninger:
Følgende emner vedrørende instruktion blev drøftet:
Instruktion i reglerne for, hvad der må registreres, videregives og på anden vis
behandles
Instruktion i brug af e-mail, sikker mail og digital post
Instruktion til medarbejdere, der offentliggør dokumenter mv. på internettet
Instruktion om søgning i it-systemer og orientering om logningen i den
forbindelse
Andet
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
**
Hjemmearbejdspladser og anden brug af it-udstyr med
personoplysninger uden for myndighedens lokaliteter
Der findes egentlige hjemmearbejdspladser. Beskriv:
Der findes mulighed for at udlåne it-udstyr til hjemmearbejde og arbejde på
tjenesterejser. Beskriv:
Der er regler for, hvilke USB nøgler ol. der må bruges til personoplysninger
Stiller myndigheden krav om, at alle datamedier med personoplysninger skal
være krypterede?
Stiller myndigheden datamedier med kryptering til rådighed?
Andet
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 17 af 28
Det aftaltes
Datatilsynet bemærkede
I hvilket omfang arbejder myndighedens medarbejdere med
personoplysninger på egne pc'er og lign.
Hvis medarbejdere arbejder med personoplysninger på egne pc'er
og lignende, beskriv da, hvilke aftaler der er truffet til sikring af, at
personoplysninger er beskyttet lige så godt, som når behandlingen
sker på myndighedens udstyr, og hvilke sikkerhedsforanstaltninger
myndigheden har implementeret
Yderligere bemærkninger
**
Destruktion af datamedier
Har myndigheden fastsat retningslinjer for destruktion af detamedier?
Har medarbejdere, der destruerer it-udstyr og datamedier, modtaget
instruktion om korrekt håndtering af personoplysninger i den forbindelse?
Anvender myndigheden ekstern databehandler til destruktion, og hvilke
sikkerhedskrav har myndigheden da stillet?
Andet
Det aftaltes
Datatilsynet bemærkede
Beskriv myndighedens procedurer for destruktion af følgende typer
af datamedier:
Harddiske fra pc'er
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 18 af 28
Harddiske fra multifunktionsmaskiner
USB nøgler
Andet
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
**
Autorisation og adgangskontrol
Myndigheden har procedurer for tildeling af autorisation (nye brugere, flytning,
fratrædelse). Beskriv:
Benytter medarbejderne fælles login, og i givet fald til hvilke
systemer/oplysninger?
I hvilke tilfælde anvendes adgangskontrol med brugernavn og password?
Beskriv:
Har myndigheden retningslinjer for valg og behandling af password? Beskriv:
Har myndigheden retningslinjer for udskiftning af password? Beskriv:
Anvendes løsninger med flere faktorer til login? Beskriv:
Anvendes medarbejdersignatur (NemID)? Beskriv:
Er medarbejderne tildelt rettigheder til kun de oplysninger i systemet, som
vedrører de opgaver, vedkommende beskæftiger sig med, og ikke andet?
Hvordan sikrer myndigheden, at autoriserede personer kun har adgang til de
oplysninger, der er nødvendige, og ikke andet?
Andet
Det aftaltes
Datatilsynet bemærkede
Skærmlås og automatisk log off
Anvendes der skærmlås og/eller automatisk log off på alle arbejdsstationer?
Hvor lang tid skal der gå uden aktivitet, førend skærmlås eller automatisk log
off aktiveres?
Kan medarbejderne ændre intervallet eller fravælge funktionerne?
Andet
Det aftaltes
Datatilsynet bemærkede
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 19 af 28
Yderligere bemærkninger
**
Transmission af personoplysninger via internettet. Følgende emner
blev drøftet:
E-mail
Sikker mail
Digital post
Selvbetjeningsløsninger på internettet
Ftp-overførsler
Andet
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
Hvordan sikrer myndigheden sig, inden indgåelse af aftale om brug
af en ekstern løsning, at sikkerheden i løsningen og hos den
anvendte databehandler er tilstrækkelig og lever op til
persondataloven og sikkerhedsbekendtgørelsen?
Hvilke databehandlere benytter myndigheden?
Har myndigheden skriftlige aftaler med alle databehandlere, der
behandler personoplysninger på myndighedens vegne?
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 20 af 28
Hvilken kontrol foretager myndigheden af sikkerheden hos de
anvendte databehandlere?
Datatilsynet orienterede om persondatalovens krav ved brug af
databehandlere
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
**
Hvornår er der sidst udført kontrol af autorisationer?
Sidste kontrol
Næstsidste kontrol
Hvilken procedure anvendes til halvårlig kontrol af autorisationer?
Datatilsynet orienterede om kravene i sikkerhedsbekendtgørelsens §
17
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 21 af 28
**
Hvordan foregår registrering af afviste adgangsforsøg og i hvilke
løsninger/systemer?
Datatilsynet orienterede om kravet i sikkerhedsbekendtgørelsens §
18
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
**
I hvilke systemer, som anvendes af myndigheden, sker der logning
(jf. sikkerhedsbekendtgørelsens § 19)?
Har myndigheden anvendt loggen?
Datatilsynet orienterede om kravene i sikkerhedsbekendtgørelsens §
19
Det aftaltes
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 22 af 28
Datatilsynet bemærkede
Yderligere bemærkninger
**
Beskyttelse mod hackerangreb
Teknisk begrænsning af download af programmer fra internettet
Begrænsning af brugen af lokaladministratorer
Systematisk sikkerhedsopdatering af programmer og systemsoftware (fx
Windows Operativsystem, Adobe Reader, Microsoft Office, Flash Player, Java,
diverse browsere, Adobe Standard, Silverlight, mv.)
Andet
Datatilsynet bemærkede, at Center for Cybersikkerhed sammen med
Digitaliseringsstyrelsen har udgivet publikationen "Cyberforsvar der virker",
hvori bl.a. en række relevante sikringstiltag er beskrevet
Yderligere bemærkninger
ISO27001
Myndigheden har implementeret ISO27001. Tidspunkt herfor:
Datatilsynet fik forevist myndighedens seneste ledelsespåtegnede
riskovurdering
Seneste ledelsespåtegnede risikovurdering er under et år gammel
Seneste ledelsespåtegnede risikovurdering er over et år gammel, nemlig fra
den:
Der forelå ikke en ledelsespåtegnet risikovurdering
Datatilsynet fik forevist den til risikovureringen knyttede handlingsplan for
udbedring eller håndtering af de identificerede svagheder
Der forelå ikke handlingsplan for udbedring eller håndtering af de identificerede
svagheder
Andet
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 23 af 28
**
Andet vedrørende datasikkerhed
Yderligere bemærkninger
Håndtering af sikkerhedsbrud
Har myndigheden haft sikkerhedsbrud?
Har myndigheden taget skridt til at afbøde konsekvenserne af sikkerhedsbrud?
Er der givet information til berørte personer? Beskriv:
Har myndigheden en politik eller retningslinjer for håndtering af
sikkerhedsbrud?
Datatilsynet fik forevist myndighedens politik for håndtering af sikkerhedsbrud
Har myndigheden procedurer for håndtering af informationssikkerhedsbrud
som led i implementering af ISO27001?
Datatilsynet fik forevist procedurer for håndtering af
informationssikkerhedsbrud, som myndigheden har fastlagt som led i
gennemførelsen af ISO27001
Andet
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
Datasikkerhed i borgerservice
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 24 af 28
Findes der et eller flere borgerservicecentre?
Hvor mange medarbejdere er ansat i borgerservice?
Hvilke it-systemer har medarbejdere i borgerservice adgang til?
Hvor har borgerne mulighed for at benytte kommunens computere til digital
selvbetjening?
Indeholder myndighedens uddybende sikkerhedsregler særlige bestemmelser
vedr. borgerservicecentre?
Andet
Det aftaltes
Datatilsynet bemærkede
Er medarbejderne i borgerservice blevet særligt instrueret i
følgende:
At undlade brug af systemerne til usaglige formål f.eks. private formål?
At undlade genbrug af oplysninger til uforenelige opgaver?
At logge af systemer, hvis de ikke skal anvendes i længere tid?
At skærme og papirer ikke må vende, så borgere kan se indholdet?
Elektronisk kommunikation herunder anvendelse af sikker post og Digital Post?
Hvordan og hvornår har kommunen givet særlig instruktion om ovenstående?
Andet
Det aftaltes
Datatilsynet bemærkede
Kontrol af loggen
Hvor ofte foretages der stikprøvekontrol af loggen?
Hvornår er der sidst foretaget stikprøvekontrol af loggen (de sidste to
stikprøver)?
I hvilke systemer har kommunen sidst foretaget tjek af loggen?
Hvor mange opslag kontrolleres hos hver medarbejder?
Bliver nye medarbejder orienteret om, at der sker stikprøvekontrol af loggen?
Andet
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 25 af 28
**
Efterlevelse af anmeldelsespligten
Angiv antal anmeldelser
Myndigheden mente, at der var foretaget fyldestgørende anmeldelser til
Datatilsynet.
Andet
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
**
Besigtigelse
Datatilsynet foretog en fysisk besigtigelse i forbindelse med inspektionen.
Følgende lokationer blev besigtiget
Eventuelle uregelmæssigheder observeret under besigtigelsen
Der var computerskærme eller andre skærme, der kunne læses af publikum.
Datatilsynet konstaterede følgende
Der var outputenheder (printere, kopimaskiner o.l.) placeret i områder med
publikumsadgang. Datatilsynet konstaterede følgende
Der kunne findes udskrifter eller andet indeholdende fortrolige eller følsomme
personoplysninger i papirkurve, printerrum eller lignende. Datatilsynet
konstaterede følgende
Der var manuelle registre uden forsvarlig opbevaring. Datatilsynet konstaterede
følgende
Serverrum var utilstrækkeligt sikret mod uvedkommendes adgang. Datatilsynet
konstaterede følgende
Der blev opbevaret uvedkommende brandbare genstande i serverrummet.
Datatilsynet konstaterede følgende
Der var øget risiko for vandskader som følge af rørføring, serverrummets
beliggenhed eller indretning. Datatilsynet konstaterede følgende
Andet
Det aftaltes
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 26 af 28
Datatilsynet bemærkede
Stikprøver i systemer i forbindelse med besigtigelsen
Der var medarbejdere, som havde mulighed for at slå op i sager, som den
pågældende medarbejder ikke burde kunne slå op i. Datatilsynet konstaterede
følgende
Der var medarbejdere, som i Outlook eller lignende lå inde med e-mails –
indeholdende fortrolige eller følsomme personoplysninger – der var mere end
30 dage gamle. Datatilsynet konstaterede følgende
Andet
Det aftaltes
Dalatilsynet bemærkede
Yderligere bemærkninger
**
Andet
Afrunding af besøget og information om sagens videre forløb
Datatilsynet fik udleveret udskrifter af de stikprøver, som var foretaget under
besigtigelsen
Myndigheden sender inden en uge svar på udestående spørgsmål vedrørende:
Datatilsynet vil fremsende udkastet til inspektionsrapport inden en uge
Afslutning på inspektionen vil ske ved afsluttende brev fra tilsynet
Andet
Det aftaltes
Datatilsynet bemærkede
Yderligere bemærkninger
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 27 af 28
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015
Side 28 af 28
https://www.survey-xact.dk/servlet/com.pls.morpheus.web.pages.CoreRespondentPri... 30-04-2015