Kontrol med databehandlere og tilsynsrapporter

Kontrol med databehandlere og tilsynsrapporter
Gymnasiefællesskabet har som led i, at det er lovpligtigt for den dataansvarlige at føre kontrol med alle sine databehandlere udarbejdet et oversigtsark, Oversigt Kontrol med databehandler, der viser både databehandlere, der anvendes skolerne, og som der skal være indgået en databehandleraftale med samt Gymnasiefællesskabets egne databehandlere. Oversigtsarket indeholder en plan, der bl.a. viser, hvor tit og hvornår der bør føres tilsyn med den enkelte databehandler. Det er GF’s arbejdsopgave at føre tilsyn med alle de databehandlere, som vi håndterer databehandleraftaler for på vegne af skolerne. Det burde reelt ikke være nødvendigt at have kriterier for at udvælge, hvilke databehandlere der skal føres tilsyn med hvert år. Men af ressourcemæssige hensyn er det nødvendigt at prioritere og indføre kriterier for, hvilke databehandlere der skal føres kontrol med årligt, og hvilke der kontrolleres med lidt længere intervaller.

Kriterier til brug for udvælgelse af leverandør til årlig kontrol:

Der føres årlig kontrol med leverandører af de administrative IT-systemer, som leverer kritiske systemer som fx Docunote, GYMbetaling/HRdatabasen, Lectio, Whistleblower Software
Der føres årlig kontrol med skolernes databehandlere, der behandler følsomme eller fortrolige personoplysninger
Der føres årlig slette-kontrol med skolernes (ca. 40) databehandlere, der anvender UNI-login for at kunne tilgå deres ydelser, så vi sørger for, at de løbende får dataminimeret, herunder slettet forældede data.

OBS! Kontrol af sletning af forældede personoplysninger indgår som en fast del af alle kontroller, så alm. kontrol og slette-kontrollen kan med fordel koordineres, hvor det er relevant.
Derudover udvælges løbende 3-5 undervisningsværktøjer og 3-5 såkaldt andre databehandlere til kontrol.
I forbindelse med kontrollen:

indhentes databehandlerens informationssikkerhedserklæringer af typen ISAE 3402, ISAE 3000, ISO 2700X eller en revisorpåtegnet ledelseserklæring, og hvis databehandleren ikke kan præstere en af de nævnte erklæring tilsendes pågældende GFs kontrolspørgsmål
erklæringen/kontrolspørgsmål gennemgås og sammenlignes med leverandørens databehandleraftale
det kontrolleres specifikt, om databehandleren sletter forældede personoplysninger
der gås i dialog med databehandleren, hvis noget giver anledning til bekymring
hvis en kontrol afslører risici, der før var ukendte for os, skal risikovurderingen ændres, herunder skal faktaark og Masterark ajourføres og diverse oversigter opdateres, jf. nedenfor ”Når en kontrol er afsluttet”
der udarbejdes tilsynsrapport for de administrative IT-systemer, som leverer kritiske systemer som fx Docunote, GYMbetaling/HRdatabasen, Lectio, Whistleblower Software samt de udvalgte undervisningsværktøjer/andre databehandlere.

Relevante databehandler-kontrol-skabeloner, som GFs GDPR-team tager afsæt i
Oversigt Kontrol med databehandler
Procesbeskrivelse for kontrol med databehandler
GFs Kontrolspørgsmål til databehandlere
Skabelon - Databehandler tilsynsrapport
Kontrol med sletning af persondata og anmodning om erklæring

Når der føres kontrol med en databehandler, resulterer det i, at der bliver udarbejdet en tilsynsrapport, som beskriver udkommet af kontrolindsatsen.
Herunder ses tilsynsrapporter udarbejdet i 2023:
Tilsynsrapport – STIL Netprøver, Ordblindetest, Optagelse.dk, Testafvikler
Tilsynsrapport – STIL Uni-login
Tilsynsrapport - Silkeborg Data
Tilsynsrapport - Heimdal Security
Tilsynsrapport - Global Connect
Tilsynsrapport - Gateway API
Tilsynsrapport - Whistleblower Software ApS
Tilsynsrapport - DBC
Tilsynsrapport - Go Forlag
Tilsynsrapport - Gyldendal Uddannelse
Tilsynsrapport – Minlæring (August & Hemmingsen)
Tilsynsrapport – SLS/HR-Løn, LDV/Navision Stat/ Indfak, Campus/E-rekruttering inkl. ledelseserklæring 2022
Tilsynsrapport – Gymnasiefællesskabet
Tilsynsrapport - Macom Lectio
Tilsynsrapport - Databehandler WizKids (AppWriter)
Tilsynsrapport - Databehandler WizKids (EduLife)

Herunder ses tilsynsrapporter udarbejdet i 2022:
Tilsynsrapport - DBVision
Tilsynsrapport - IntraNote
Tilsynsrapport - Whistleblower Software
Tilsynsrapport - Macom Lectio
Tilsynsrapport - SD Løn

Herunder ses tilsynsrapporter udarbejdet i 2021:
Tilsynsrapport - Databehandler - August & Hemmingsen ApS (MinLaering)
Tilsynsrapport - Databehandler - WizKids A/S (AppWriter)
Tilsynsrapport - Databehandler - Vitec MV
Procesbeskrivelse for kontrol med databehandler
Kontrolspørgsmål til databehandlere

Gymnasiefællesskabet

EU e-privatlivs directiv