Oftest stillede spørgsmål og svar

Her finder du svar på oftest stillede spørgsmål om databeskyttelse og informationssikkerhed i KOMBITs løsninger.
Hvad er aftalegrundlaget mellem kommunerne og KOMBIT?

For hver af KOMBITs løsninger har den enkelte kommune indgået en hovedaftale, en såkaldt tilslutningsaftale. Til hver tilslutningsaftale knytter der sig en databehandleraftale med KOMBIT. Det er disse dokumenter, der udgør kontraktgrundlaget mellem den enkelte kommune og KOMBIT. 

For mere information om de generelle vilkår for samarbejde mellem KOMBIT og kommunerne: Tryk her

Hvor kan jeg få viden om personoplysninger og behandlingsaktiviteter i en KOMBIT- løsning?

Hvilke personoplysninger der behandles, og hvilke behandlingsaktiviteter der udføres, fremgår af instruksen vedrørende behandling af personoplysninger i databehandleraftalens bilag C for den enkelte løsning.

Hvor kan jeg få viden om leverandørkæden i KOMBITs løsninger?

Leverandørkæden, som viser personoplysningernes ”rejse” fra kommune til systemleverandør og evt. til underleverandører, fremgår af bilag b i databehandleraftale for den enkelte løsning.

Hvad er der aftalt om tredjelandsoverførsel mellem KOMBIT og kommunerne?

For alle løsninger er det klare udgangspunkt, at der ikke må ske overførsel til usikre tredjelande.

Hvad er udfordringen i Aula?

Udfordringen i Aula vedr. instruksen om behandlingen af personoplysninger i databehandleraftalen er først og fremmest en juridisk problemstilling. Der sker således ikke overførsel af data til usikre tredjelande.

I instruksen for Aula er der taget forbehold for, at Amazon Web Service - AWS - må behandle oplysninger uden for de valgte lokationer, hvis de er forpligtet via lov eller modtager en bindende anmodning fra en statslig myndighed.                                                              

Datatilsynet har beskrevet her og efterfølgende i et møde med KOMBIT, at myndighedsudøvelse (artikel 6. stk. 1 litra e) ikke udgør et lovligt hjemmelsgrundlag for denne behandlingsaktivitet, da instruksen er for bred. Med denne instruks er behandlingen ikke afgrænset til EU-lov eller myndigheder i medlemslandene og instruksen giver derfor leverandøren lov til at imødekomme en lov eller myndighedsanmodning fra usikre tredjelande.

På vegne af alle 98 kommuner indgår KOMBIT i dialog og samarbejde med systemleverandøren med henblik på at få ændret instruksen i underdatabehandleraftalen med AWS. Dette arbejde er i proces, og der bliver løbende sendt status herpå via Aulas nyhedsbreve, som man kan abonnere på her.

Udfører KOMBIT leverandørtilsyn?

Ja. KOMBIT indhenter årligt revisionserklæringer udført af uafhængige tredjeparter for alle vores idriftsatte løsninger.

For nærmere information om hvilke revisionserklæringer, der er udsendt til kommunerne for de enkelte løsninger henviser vi til dette link: https://kombit.dk/revisionserklaeringer

Nyt tilsynskoncept

For leverandørtilsynet 2022 vil der blive indhentet systemspecifikke ISAE3000-revisionserklæringer. Udover at være systemspecifikke vil disse erklæringer indeholde ekstra kontroller som sikring for, at der er udført kontrolhandlinger jf. kravene i databehandleraftalerne.

Hvilket bidrag til arbejdet med GDPR kan jeg få fra KOMBIT?

I 2023 vil KOMBIT samle den dokumentation, vi har og kan skaffe fra vores leverandører og udleverer denne i én samlet leverance pr. it-løsning. Leverancen udgør KOMBITs bidrag til kommunernes risikovurdering og konsekvensanalyse (DPIA).                       

I Q1 2023 vil du kunne finde en tidsplan for forventet udsendelse af leverancerne på KOMBITs hjemmeside.  

 

Kontakt

Informationssikkerhedschef
2131 4422