For hver af KOMBITs løsninger har den enkelte kommune indgået en hovedaftale, en såkaldt tilslutningsaftale. Til hver tilslutningsaftale knytter der sig en databehandleraftale med KOMBIT. Det er disse dokumenter, der udgør kontraktgrundlaget mellem den enkelte kommune og KOMBIT.
For mere information om de generelle vilkår for samarbejde mellem KOMBIT og kommunerne: Tryk her
Hvilke personoplysninger der behandles, og hvilke behandlingsaktiviteter der udføres, fremgår af instruksen vedrørende behandling af personoplysninger i databehandleraftalens bilag C for den enkelte løsning.
Leverandørkæden, som viser personoplysningernes ”rejse” fra kommune til systemleverandør og evt. til underleverandører, fremgår af bilag b i databehandleraftale for den enkelte løsning.
For alle løsninger er det klare udgangspunkt, at der ikke må ske overførsel til usikre tredjelande.
Udfordringen i Aula vedr. instruksen om behandlingen af personoplysninger i databehandleraftalen er først og fremmest en juridisk problemstilling. Der sker således ikke overførsel af data til usikre tredjelande.
I instruksen for Aula er der taget forbehold for, at Amazon Web Service - AWS - må behandle oplysninger uden for de valgte lokationer, hvis de er forpligtet via lov eller modtager en bindende anmodning fra en statslig myndighed.
Datatilsynet har beskrevet her og efterfølgende i et møde med KOMBIT, at myndighedsudøvelse (artikel 6. stk. 1 litra e) ikke udgør et lovligt hjemmelsgrundlag for denne behandlingsaktivitet, da instruksen er for bred. Med denne instruks er behandlingen ikke afgrænset til EU-lov eller myndigheder i medlemslandene og instruksen giver derfor leverandøren lov til at imødekomme en lov eller myndighedsanmodning fra usikre tredjelande.
På vegne af alle 98 kommuner indgår KOMBIT i dialog og samarbejde med systemleverandøren med henblik på at få ændret instruksen i underdatabehandleraftalen med AWS. Dette arbejde er i proces, og der bliver løbende sendt status herpå via Aulas nyhedsbreve, som man kan abonnere på her.
Ja. KOMBIT indhenter årligt revisionserklæringer udført af uafhængige tredjeparter for alle vores idriftsatte løsninger.
For nærmere information om hvilke revisionserklæringer, der er udsendt til kommunerne for de enkelte løsninger henviser vi til dette link: https://kombit.dk/revisionserklaeringer
Nyt tilsynskoncept
For leverandørtilsynet 2022 vil der blive indhentet systemspecifikke ISAE3000-revisionserklæringer. Udover at være systemspecifikke vil disse erklæringer indeholde ekstra kontroller som sikring for, at der er udført kontrolhandlinger jf. kravene i databehandleraftalerne.
I 2023 vil KOMBIT samle den dokumentation, vi har og kan skaffe fra vores leverandører og udleverer denne i én samlet leverance pr. it-løsning. Leverancen udgør KOMBITs bidrag til kommunernes risikovurdering og konsekvensanalyse (DPIA).
I Q1 2023 vil du kunne finde en tidsplan for forventet udsendelse af leverancerne på KOMBITs hjemmeside.
Om Informationssikkerhed og GDPR i KOMBIT