Kontrol med databehandlere og tilsynsrapporter
Det er lovpligtigt for dataansvarlige at føre kontrol med alle sine databehandlere.
GF fører kontrol med alle de databehandlere, som vi risikovurderer og håndterer databehandleraftaler for på vegne af skolerne. Da der benyttes mange databehandlere, er det af ressourcemæssige hensyn nødvendigt at prioritere og indføre kriterier for med hvilket interval, der føres kontrol med de forskellige databehandlere.
Kriterierne for udvælgelse af leverandør til årlig kontrol
- Der føres årlig kontrol med leverandører af de administrative IT-systemer, som leverer kritiske systemer, herunder DocuNote, Gymbetaling og HR-Databasen, Lectio, Whistleblower Software
- Der føres årlig kontrol med skolernes databehandlere, der behandler følsomme eller fortrolige personoplysninger
- Der føres årlig kontrol med sletning af forældede personoplysninger i Unilogin for skolernes (ca. 40) databehandlere, der anvender Unilogin, mhp. overholdelse af princippet om dataminimering
Bemærk at kontrol af sletning af forældede personoplysninger indgår som en fast del af alle kontroller, så almindelig kontrol og slette-kontrol kan med fordel koordineres.
Derudover udvælges løbende 3-5 undervisningsværktøjer og 3-5 såkaldt andre databehandlere, fx leverandører af tidsregistreringssystem, parkeringssystem o.l., til kontrol.
Procesbeskrivelse for kontrol med databehandlere
I forbindelse med kontrollen:
- indhentes databehandlerens informationssikkerhedserklæringer af typen ISAE 3402, ISAE 3000, ISO 27001 eller en revisorpåtegnet ledelseserklæring, og hvis databehandleren ikke kan præstere en af de nævnte erklæringer, tilsendes pågældende GF´s kontrolspørgsmål
- erklæringen/kontrolspørgsmålene gennemgås og sammenlignes med leverandørens databehandleraftale
- det kontrolleres specifikt, om databehandleren sletter forældede personoplysninger
- der gås i dialog med databehandleren, hvis noget giver anledning til bekymring
- hvis en kontrol afslører hidtil ukendte risici eller ændringer, opdateres risikovurderingen, herunder ajourføres faktaark, Masterark og diverse oversigter
- der udarbejdes tilsynsrapporter for de ovennævnte kritiske systemer og systemer, som behandler fortrolige og/eller følsomme personoplysninger samt de udvalgte undervisningsværktøjer og andre databehandlere.
Relevante skabeloner
Oversigt Kontrol med databehandler indeholder en plan, der bl.a. viser, hvor ofte og hvornår der bør føres tilsyn med den enkelte databehandler.
GF´s Kontrolspørgsmål til databehandlere
Skabelon ̶ Databehandler tilsynsrapport
Herunder ses tilsynsrapporter udarbejdet i 2024:
Tilsynsrapport for Gymnasiefællesskabet
Administrative IT-Systemer
Statens Administrative systemer
Undervisningsværktøjer
Andre databehandlere
Herunder ses tilsynsrapporter udarbejdet i 2023:
Tilsynsrapport for Gymnasiefællesskabet
Administrative IT-Systemer
- Tilsynsrapport - IntraNote
- Tilsynsrapport - Opening (Gymnasiejob)
- Tilsynsrapport – Vipre (sikker mail og awareness træning
- Tilsynsrapport – DBVision (Gymbetaling, HR-Databasen)
- Tilsynsrapport - Gateway API
- Tilsynsrapport - Global Connect
- Tilsynsrapport - Heimdal Security
- Tilsynsrapport - Macom Lectio
- Tilsynsrapport - Silkeborg Data
- Tilsynsrapport - Whistleblower Software ApS (Opdateret november 2023)
Statens Administrative systemer
- Tilsynsrapport – CFU
- Tilsynsrapport – SLS/HR-Løn, LDV/Navision Stat/ Indfak, Campus/E-rekruttering inkl. ledelseserklæring 2022
- Tilsynsrapport – STIL Netprøver, Ordblindetest, Optagelse.dk, Testafvikler
- Tilsynsrapport – STIL Uni-login
Undervisningsværktøjer
- Tilsynsrapport - Go Forlag
- Tilsynsrapport - Gyldendal Uddannelse
- Tilsynsrapport - Meebook
- Tilsynsrapport – Minlæring (August & Hemmingsen)
- Tilsynsrapport - Vitec
- Tilsynsrapport - Databehandler WizKids (AppWriter)
- Tilsynsrapport - Databehandler WizKids (EduLife)
Andre databehandlere
Herunder ses tilsynsrapporter udarbejdet i 2022:
Tilsynsrapport - DBVision
Tilsynsrapport - IntraNote
Tilsynsrapport - Whistleblower Software
Tilsynsrapport - Macom Lectio
Tilsynsrapport - SD Løn
Herunder ses tilsynsrapporter udarbejdet i 2021:
Tilsynsrapport - Databehandler - August & Hemmingsen ApS (MinLaering)
Tilsynsrapport - Databehandler - WizKids A/S (AppWriter)