Nu kan I læse DDB’s it-revisionserklæring

DDB har som databehandler for bibliotekerne fået udarbejdet en uafhængig it-revisionserklæring vedrørende overholdelse af databeskyttelsesforordningen (GDPR) og databeskyttelsesloven.

""

DDB skal én gang årligt indhente en it-revisionserklæring fra en uafhængig tredjepart vedrørende DDB’s og de anvendte underdatabehandleres behandling af personoplysninger. Erklæringen er udarbejdet af it-revisionsfirmaet REVI-IT.

Revisorerne konkluderer, at DDB lever op til de i it-revisionserklæringen anførte kriterier, og der er derfor ikke nogle alvorlige anmærkninger. DDB og de anvendte underdatabehandlere har af revisorerne modtaget forslag til forbedringer af procedurer mv., som vi nu er i gang med at implementere i vores processer.

Baggrund for it-revision

DDB skal en gang årligt indhente en it-revisionserklæring fra en uafhængig tredjepart vedrørende DDB’s og de anvendte underdatabehandleres overholdelse af de i databehandleraftalen anførte krav til behandling af de omfattede personoplysninger. Det fremgår af pkt.15.2 i de mellem DDB som databehandler og bibliotekskommunerne som dataansvarlige indgåede databehandleraftaler. DDB har derfor indhentet en ISAE 3000-it-revisionserklæring fra den certificerede it-revisionsvirksomhed REVI-IT.

Opfølgning på bemærkninger til DDB og DDB’s underdatabehandlere

Revisorerne konkluderer, at DDB lever op til de i erklæringen anførte kriterier, og der er således ingen alvorlige anmærkninger. Revisorerne har observeret enkelte, mindre afvigelser hos DDB’s underdatabehandlere, som vi nu vil følge op på. DDB og de anvendte underdatabehandlere har derudover af revisorerne modtaget forslag til forbedringer af procedurer mv., som vi nu er i gang med at implementere i vores processer.

Vi forventer, at opfølgning og implementeringen er gennemført inden næste års revision, som vi vil påbegynde i maj 2020. Der foretages også opfølgning på grundlag af revisionserklæringen i forhold til underdatabehandleren DBC A/S, selvom virksomheden ved årsskiftet i udgangspunktet ikke længere vil være underdatabehandler for DDB, idet bestillerfunktionen overgår til KOMBIT. Underdatabehandleren B14 forventes heller ikke længere at fungere som underdatabehandler for DDB ved årsskiftet.  

It-revisionserklæringen indeholder nedenstående bemærkninger, hvortil vi har givet kommentarer om opfølgning:

  • Bemærkning B.9: En underdatabehandler har ikke implementeret en logningsstrategi.
    Opfølgning: Underdatabehandleren vil foretage implementering af logningsstrategi, og DDB vil bede underdatabehandleren om at oplyse, hvornår dette forventes at være gennemført. Der er her tale om en underdatabehandler, som ikke forventes at være underdatabehandler for DDB i 2020.
  • Bemærkning B.12: To underdatabehandlere har ikke en formel ændringsprocedure for mindre udviklingsprojekter.
    Opfølgning: Der arbejdes på at få implementeret en ændringsprocedure for den ene af de to underdatabehandlere, som fortsat forventes at være underdatabehandler for DDB i 2020.
  • Bemærkning C.13: En underdatabehandler har ikke en procedure for screening af medarbejdere.
    Opfølgning: Denne underdatabehandler forventes ikke at være underdatabehandler for DDB i 2020. Vi foretager derfor ingen opfølgning.
  • Bemærkning J.1-J.2: DDB indhenter ikke samtykke på vegne af den dataansvarlige, da der benyttes anden hjemmel til databehandlingerne.
    Opfølgning: Ifølge pkt. 3.3 i de indgåede databehandleraftaler er behandlingshjemlen for de omfattede behandlinger af personoplysninger databeskyttelsesforordningens artikel 6, stk. 1, litra c (”retlig forpligtelse, som påhviler den dataansvarlige”) og/eller litra e (”udførelse af en opgave i samfundets interesse” eller ”offentlig myndighedsudøvelse”). Behandlingshjemlen for de omfattede behandlinger af personoplysninger er således ikke samtykke fra den registrerede. Vi foretager derfor ingen opfølgning.    

Redegørelse for DDB’s arbejde med GDPR

Vi arbejder p.t. på at offentliggøre en redegørelse for bibliotekernes behandling af personoplysninger med fokus på DDB’s arbejde med GDPR siden databeskyttelsesforordningen trådte i kraft. DDB har haft en dialog med Datatilsynet om nogle generelle problemstillinger på området, hvor der mangler afklaring af enkelte spørgsmål, som vi gerne vil have med i redegørelsen. Redegørelsen forventes at være klar i nærmeste fremtid.

ISAE 3000-ERKLÆRINGEN 

DDB har fundet, at en ISAE 3000-revisionserklæring er en passende type revisionserklæring. ISAE 3000-revisionserklæringen er afgivet af den certificerede IT-revisionsvirksomhed REVI IT A/S og omhandler DDB’s og de tilknyttede underdatabehandleres overholdelse af databeskyttelsesforordningen samt databeskyttelsesloven pr. 30. september 2019.  

ISAE 3000-erklæringen er udviklet af FSR – danske revisorer i tæt samarbejde med Datatilsynet, der er kommet med bemærkninger til erklæringens udformning og indhold. Erklæringen skal give den dataansvarlige sikkerhed for, at en databehandler, som behandler persondata for den dataansvarlige, har orden i procedurer og regler for beskyttelse af personoplysninger. Erklæringen bygger på Datatilsynets skabelon til databehandleraftaler.

Siden er sidst opdateret: 08.11.2019

Kontakt

Christian Søndergaard Christensen
Kontakt os via DDB’s fællespostkasse, ddb@slks.dk. Noter gerne navnet på kontaktpersonen i e-mailens emnefelt.
  • Et samarbejde mellem KL, Kulturministeriet og Slots- og Kulturstyrelsen
  • Danskernes Digitale Bibliotek
  • H.C. Andersens Boulevard 2
  • 1553 København V
  • Tlf: +45 33 95 42 00
  • Email: ddb@remove-this.slks.dk

Dialogboksen begynder her. Du kan lukke boksen ved at trykke Accepter cookies knappen eller Enter. Knappen er det sidste element i boksen.

Vi benytter cookies til at forbedre brugeroplevelsen.

”På hjemmesiden anvender vi cookies. Cookies er i mange tilfælde nødvendige for at få en hjemmeside til at fungere. Vi bruger cookies for at forbedre din oplevelse, samle statistik og huske dine indstillinger. Ved at klikke på "Accepter cookies" godkender du dette.
Du kan sige nej tak ved at klikke her.

Læs mere om Danskernes Digitale Biblioteks cookiepolitik

(dialogboks slutter)