KOMBIT forvalter en række af store og samfundskritiske it-løsninger for kommunerne. For at sikre robusthed såvel som beskyttelse af borgernes data i disse it-løsninger, arbejder vi vedvarende på at styrke informationssikkerheden, herunder persondatabeskyttelsen.
Kommunerne er dataansvarlige efter databeskyttelsesforordningen (GDPR) for de it-løsninger, som KOMBIT forvalter. Derfor sikrer KOMBIT dokumentation for den kontinuerlige efterlevelse af GDPR-krav i selve it-løsningerne.
En compliancepakke med denne dokumentation gøres proaktivt tilgængelig for kommunerne på en sikret platform. Det omfatter - for hver it-løsning - en fortegnelse over behandling af personoplysninger, beskrivelse af implementeringen af de persondataretlige principper og sikring af de registreredes rettigheder, en risikovurdering baseret på ISO27001- og ISO27002-standarderne samt bidrag til konsekvensanalyse.
I det daglige arbejder vi tæt sammen med leverandører af de kommunale it-løsninger om efterlevelsen af sikkerhedskrav. I tillæg indhentes årligt en systemspecifik ISAE3000-revisionserklæring for samtlige it-løsningerne og for KOMBIT selv. For de fire store udbetalingssystemer indhentes også en systemspecifik ISAE 3402-revisionserklæring.
Alle forhold hos it-leverandørerne, der giver anledning til en revisoranmærkning, følges systematisk, ligesom der ydes støtte til Det Fælleskommunale Databehandlersekretariats tilsyn med kommunale databehandleraftaler.
Vi har etableret et informationssikkerhedsteam, InfoSec, der internt og eksternt understøtter arbejdet med informationssikkerhed. KOMBIT yder også juridisk bistand i dialogen med de store internationale it-udbydere om håndtering af GDPR-relaterede problemstillinger angående tredjelandsoverførsler.