Version 2019.1.0
Generel betragtning
ESCRM er et system som er tiltænkt primært at indeholde virksomhedsdata. Der er personoplysninger i form af navn, titel, telefon og email adresser. For iværksættere der ikke har oprettet et CVR-nummer kan desuden være registreret adresse og i nødvendigt omfang CPR-nummer.
CPR-nummeret benyttes hvor der er krav om entydig identifikation i forbindelse med udførelse af en offentlig myndighedsopgave. Omfanget er beskrevet herunder og viser at det sker i meget ringe omfang.
Evalueringer af Iværksættere i Væksthusene i perioden 2014-2018, de seneste fem fulde år. CPR-numre for iværksættere evalueret inden perioden vil være ryddet, medmindre de er evalueret igen efter 1. januar 2014
År | Antal cpr |
2014 | 41 |
2015 | 21 |
2016 | 15 |
2017 | 5 |
2018 | 7 |
I alt | 89 |
Det er de data vi i udgangspunktet har registreret. Der kan være organisationer som lokalt benytter CPR-nummeret ud over ovenstående.
Frekvens
Nedenfor er beskrevet de procedurer vi gennemgår og med hvilken frekvens. Denne liste er en liste over de procedurer vi foretager nu, og der vil komme flere til. Der arbejdes løbende på at forbedre og automatisere procedurerne.
Frekvensen er angivet som daglig, halvårlig eller årlig
Det gælder for procedure markeret som dagligt at disse gennemgås på hverdage. Det gælder at vi i ferieperioder tilstræber at disse gennemgås tre gange om ugen, men der kan være kortere perioder hvor det ikke lader sig gøre. Det kan være i sommerferien, ved sammenfald af ferieuger og i juleferien.
Vi mener i lyset af de data vi har i systemet, er rimeligt.
Dagligt
Login rapport
Vi modtager dagligt en mail der viser:
- Top-3 mislykkedes loginforsøg på bruger
- Top-3 mislykkedes loginforsøg på ip-adresse
- Login via API fordelt på bruger
- Samt liste over forkerte brugernavne brugt til loginforsøg
Ud fra disse data kan vi se om der har været forsøg på at bryde en kode via brute force (hvor man sætter en computer til at forsøge sig frem)
GDPR-oprydning
Vi modtager dagligt en oversigt over data som er slettet eller anonymiseret.
Rapporten indeholder antal for
- Nedlagte brugere hvor password og Exchange info er slettet
- CPR-numre som er ryddet
- fordi der ikke er evalueret efter en given dato
- fordi Iværksætteren har etableret CVR nummer, derfor er CPR ikke længere nødvendig
- Fysisk sletning af
- Virksomhedsnoter som har været slettemarkeret 30 dage
- Kontaktpersonsnoter som har været slettemarkeret 30 dage
- Filer som har været slettemarkeret 30 dage
Oppetid
Vi modtager hvert 10. minut en melding fra underleverandøren om systemet kan tilgås. Denne kontrol foretages via et overvågningsværktøj som forsøger at tilgå ESCRM platformen via en ping kommando.
Denne melding kan være Ok eller Ikke ok. Hvis vi konstaterer at der er flere på hinanden følgende røde markeringer, så kontakter vi leverandøren for at få rettet op på det.
Backup
Vi modtager to gange i timen en melding om status på backupfil, på ekstern lokation. Meldingen er Ok hvis backupfilen har en minimumsstørrelse og filen eksisterer på fysisk adskilt lokation (fra driftsmiljøet).
Der er typisk 3 fejlmeldinger lige efter midnat mens backuppen foretages og filen kopieres, efter klokken 04.00 bør backup være ok.
Er backup ikke ok om morgenen hvor det kontrolleres, meldes fejlen til underleverandøren
SANDBOX obfucation
Data i testmiljøet, sandkassen forvanskes dagligt og vi modtager mail om denne obfuskering/forvanskning af data i testmiljø er afviklet.
Forvanskningen består i at erstatte CPR numre, hvor vi via en algoritme generere falske CPR-numre. Denne algoritme sikre at samme kontaktperson får det samme falske CPR-nummer, man kan derfor lave test baseret på testdata. Fornavne og efternavne forvanskes også via algoritme
Certifikat
Dagligt kontrolleres status på det certifikat der benyttes til HTTPS kryptering.
Halvårlig
Oprydning i kundedata
Indenfor den første uge i et nyt halvår (januar og juli) rydder vi op i de data vi har liggende i vores Office 365 miljø.
Data er f.eks. udtræk eller filer vi modtager i forbindelse med instruks om at udføre en opgave. F.eks. lave import af data for en enhed eller lave en rapport over bestemt data.
Vi gemmer disse data i en mappe år-halvår (f.eks. 2018-01) i denne oprettes mappe pr. sag og/eller enhed som arbejdes på.
Når vi rydder op, opretter vi en oprydningsrapport i ESCRM (projektnote) heri angives hvornår oprydning fandt sted, hvem der foretog den og hvilke mapper blev slettet.
Nedlukning af opsagte enheder
Når vi går ind i et nyt halvår, sikre vi at alle enheder som er opsagt deres licens er lukket korrekt.
Det omfatter at markere enheden lukket og lukke alle brugeradgange
Tjek GDPR data på blog
Halvårligt kontrollere vi om følgende oplysninger på bloggen fortsat er tilgængelige og at de er korrekte. Det er links der henvises til fra ”Aftale om fælles dataansvar og databehandleraftale” for ESCRM
- DPM orienteringsark
- Admin orienteringsark
- Datafortegnelse
- Opdateret liste over aktuelle enheder
Der gemmes en rapport (projektnote) med hvem der har tjekket, status på tjek og kommentar for hvert punkt.