Vejledning til de dataansvarlige til brug for de komplementerende kontroller under gældende ISAE3000 erklæring.
Punkt A.3 om underretning til dataansvarlig
Svar: Såfremt Garuda modtager en instruks fra en dataansvarlig, som Garuda mener er i strid med Databeskyttelsesforordningen eller andre databeskyttelsesbestemmelser, vil Garuda omgående give den dataansvarlige besked herom. I perioden for ISAE 3000 erklæringen, har Garuda dog ikke modtaget nogle instrukser fra dataansvarlige, som ifølge Garuda har været i strid med Databeskyttelsesforordningen eller andre databeskyttelsesbestemmelser.
Punkt B.9 om logning
Svar: Garuda har etableret logning for aktiviteter der udføres af systemadministratorer og andre med særlige rettigheder. Garuda udfører ad hoc kontroller på logs i overensstemmelse med etableret årshjul på aktiviteterne udført af systemadministratorer og andre med særlige rettigheder.
Punkt C.3 og C.4 om nye ansættelser
Svar: Når Garuda får nye ansættelser, følges en meget specifik log for aktiviteter der skal udføres ved tildeling af adgange, underskrift af fortrolighedsaftale, tildeling af elektronisk udstyr mv, ligesom nye ansatte også bliver oplært i GDPR og compliancearbejdet i Garuda. I perioden for ISAE 3000 erklæringen, har Garuda dog ikke haft nogle nye ansættelser. Derfor er der altså heller blevet udført nogle af disse aktiviteter i erklæringsperioden.
Punkt F.3 om underretning af dataansvarlige ved udskiftning af underdatabehandler
Svar: Garuda har en klar procedure for at underrette dataansvarlige rettidigt, såfremt Garuda udskifter en eksisterende underdatabehandler, eller hvis der blot introduceres en ny underdatabehandler. I perioden for ISAE 3000 erklæringen, har der dog ikke været nogen udskiftning i Garudas underdatabehandlere, hvorfor Garuda altså heller ikke har haft noget at underrette til de dataansvarlige.
G.2 og G.3 om tredjelandsoverførelser
Svar: Garuda overfører kun personoplysninger til tredjelande hvis Garuda har fået en klar instruks herom fra den dataansvarlige. Såfremt Garuda har fået en sådan instruks, sørger Garuda altid for at have et vurderet og dokumenteret gyldigt overførelsesgrundlag hertil. Garuda overfører på intet tidspunkt af egen drift personoplysninger til tredjelande, ligesom Garuda heller ikke har modtaget nogen instruks fra dataansvarlige om overførsel af personoplysninger til tredjelande i perioden for ISAE 3000 erklæringen.
I.3 og I.4 om brud på persondatasikkerheden
Svar: Garuda har etableret omfattende kontroller og procedurer for håndtering af brud på persondatasikkerheden. Dette omfatter også procedurer for underretning af dataansvarlige og bistand til den dataansvarlige, hvis et brud på persondatasikkerheden skulle ske. I perioden for ISAE 3000 erklæringen, har der ikke været nogle brud på persondatasikkerheden af nogen art, hvorfor der heller ikke været nogen underretning eller bistand til dataansvarlige herom.