Kontrol med databehandlere og tilsynsrapporter
Det er lovpligtigt for dataansvarlige at føre kontrol med alle sine databehandlere.

GF fører kontrol med alle de databehandlere, som vi risikovurderer og håndterer databehandleraftaler for på vegne af skolerne. Da der benyttes mange databehandlere, er det af ressourcemæssige hensyn nødvendigt at prioritere og indføre kriterier for med hvilket interval, der føres kontrol med de forskellige databehandlere.

Kriterierne for udvælgelse af leverandør til årlig kontrol

  • Der føres årlig kontrol med leverandører af de administrative IT-systemer, som leverer kritiske systemer, herunder DocuNote, Gymbetaling og HR-Databasen, Lectio, Whistleblower Software
  • Der føres årlig kontrol med skolernes databehandlere, der behandler følsomme eller fortrolige personoplysninger
  • Der føres årlig kontrol med sletning af forældede personoplysninger i Unilogin for skolernes (ca. 40) databehandlere, der anvender Unilogin, mhp. overholdelse af princippet om dataminimering

Bemærk at kontrol af sletning af forældede personoplysninger indgår som en fast del af alle kontroller, så almindelig kontrol og slette-kontrol kan med fordel koordineres.

Derudover udvælges løbende 3-5 undervisningsværktøjer og 3-5 såkaldt andre databehandlere, fx leverandører af tidsregistreringssystem, parkeringssystem o.l., til kontrol.

Procesbeskrivelse for kontrol med databehandlere

I forbindelse med kontrollen:

  1. indhentes databehandlerens informationssikkerhedserklæringer af typen ISAE 3402, ISAE 3000, ISO 27001 eller en revisorpåtegnet ledelseserklæring, og hvis databehandleren ikke kan præstere en af de nævnte erklæringer, tilsendes pågældende GF´s kontrolspørgsmål
  2. erklæringen/kontrolspørgsmålene gennemgås og sammenlignes med leverandørens databehandleraftale
  3. det kontrolleres specifikt, om databehandleren sletter forældede personoplysninger
  4. der gås i dialog med databehandleren, hvis noget giver anledning til bekymring
  5. hvis en kontrol afslører hidtil ukendte risici eller ændringer, opdateres risikovurderingen, herunder ajourføres faktaark, Masterark og diverse oversigter
  6. der udarbejdes tilsynsrapporter for de ovennævnte kritiske systemer og systemer, som behandler fortrolige og/eller følsomme personoplysninger samt de udvalgte undervisningsværktøjer og andre databehandlere.

Relevante skabeloner 
Oversigt Kontrol med databehandler indeholder en plan, der bl.a. viser, hvor ofte og hvornår der bør føres tilsyn med den enkelte databehandler.
GF´s Kontrolspørgsmål til databehandlere
Skabelon  ̶  Databehandler tilsynsrapport
 
Herunder ses tilsynsrapporter udarbejdet i 2024:

Tilsynsrapport for Gymnasiefællesskabet

Administrative IT-Systemer

Statens Administrative systemer

Undervisningsværktøjer

Andre databehandlere

Herunder ses tilsynsrapporter udarbejdet i 2023:

Tilsynsrapport for Gymnasiefællesskabet

Administrative IT-Systemer

Statens Administrative systemer

Undervisningsværktøjer

Andre databehandlere

Herunder ses tilsynsrapporter udarbejdet i 2022:
Tilsynsrapport - DBVision
Tilsynsrapport - IntraNote
Tilsynsrapport - Whistleblower Software
Tilsynsrapport - Macom Lectio
Tilsynsrapport - SD Løn

Herunder ses tilsynsrapporter udarbejdet i 2021:
Tilsynsrapport - Databehandler - August & Hemmingsen ApS (MinLaering)
Tilsynsrapport - Databehandler - WizKids A/S (AppWriter)