Tjekliste til ansøgningen

En ansøgning skal indeholde redegørelser, der dokumenterer, at de formelle krav til indsamlingssystemer i forordning 211/2011 samt gennemførselsforordning 1179/2011 er overholdt. Dokumentationen kan indsendes på dansk eller engelsk og skal beskrive det færdige system.

Tjekliste

Denne tjekliste beskriver i punktform den dokumentation, der som minimum skal indsendes sammen med ansøgningen, før den kan behandles. Digitaliseringsstyrelsen forbeholder sig ret til at indhente yderligere dokumentation:

  1. Kontaktoplysninger på borgerkomitéen, som står bag forslaget til borgerinitiativ.
  2. Kontaktoplysninger på person(er), som kan kontaktes i forbindelse med den tekniske og sikkerhedsmæssige evaluering af systemet og ved ønske om on-site inspektion af systemet.
  3. Bekræftelse på, at oplysningerne i systemet lagres i Danmark (og kun Danmark).
  4. Kopi af anmeldelse af behandlingen af personoplysninger indsendt til Datatilsynet.
  5. Den præcise titel og URL for initiativet på Kommissionens hjemmeside.
  6. En underskrevet erklæring fra initiativtagerne på, at de vurderer kravene til systemet i forordning 211/2011 samt gennemførselsforordning 1179/2011 som værende opfyldt.
  7. Aftale med evt. driftsleverandør inkl. SLA, sikkerhedskrav og indgået databehandleraftale.
  8. En beskrivelse af systemet, der som minimum indeholder:
    • Beskrivelse af driftsmiljø inkl. servere, netværk og infrastruktur
    • Beskrivelse af driftscenter
    • Tegninger og beskrivelser som dokumenterer netværksopbygning (logisk og fysisk)
    • Den anvendte software inkl. applikationsserver, databaseserver mv.
    • Beskrivelser af administrative processer relevant for sikkerheden af systemet. 
  9. Dokumentation for, at løsningen opfylder kravene for ISO/IEC27001-standarden, herunder (se forordning 1179/2011 for detaljer):
    • En detaljeret og fyldestgørende risikovurdering af løsningen, som vedrører systemets anvendelsesområde, aktivitetsmæssige konsekvenser i tilfælde af forskellige informationssikringssvigt, informationssystemets risici og sårbarheder. Risikoanalysedokumentet skal angive modforanstaltninger over for sådanne risici og forholdsregler, der vil blive truffet, hvis der opstår risici, og som endelig opstiller en prioriteret liste over forbedringer.

Hvis man bruger Kommissionens standardsoftware, kan dokumentationen af softwaredelen med fordel fokusere på de evt. ændringer, som anmelderen selv har foretaget med tilhørende overvejelser af de sikkerhedsmæssige implikationer af disse ændringer. Derudover skal dokumentationen naturligvis beskrive ikke-softwarerelaterede områder, herunder hvordan krav til hardware, hostingmiljø, forretningsprocesser og personale håndteres.