Skip to content

Databeskyttelsespolitik

Overordnet organisering af personoplysninger

Semai råder over personlige oplysninger, som sikkert opbevares på ekstern server/fjernskrivebord, som er leveret af NCT. Semai anvender også et journalsystem, men dette kan ligeledes kun tilgås via NCTs server.

Semai ønsker endvidere via denne opbygning, at vi så vidt muligt organiserer opbevaringen af personoplysninger i dette centrale system, så personoplysninger ikke findes fordelt på flere systemer. Oplysninger i manuel form sikres bag kodelås på direktionsgangen, hvor kun ledelse og bogholder har adgang.

Formål

Databeskyttelsespolitikken beskriver det ledelsesgodkendte niveau for sikkerheden i Semai, og den indeholder de overordnede sikkerhedsmålsætninger. Den danner grundlag for udformning af Semais datasikkerhedsprocedure med de underliggende retningslinjer og forretningsgange.

De retningslinjer, der udformes for at understøtte databeskyttelsespolitikkens hovedmålsætninger, skal sikre, at alle medarbejdere arbejder med og forholder sig til sikkerhed i behandlingen af personoplysninger i det daglige arbejde.

Databeskyttelsespolitikken er især formuleret med henblik på beskyttelse af personoplysninger, men den finder tilsvarende anvendelse på økonomiske og anden data.

Semai har det høje sikkerhedsniveau, som er et krav for at kunne overholde lov- og myndighedskrav, men også som et kvalitetselement for at kunne tilbyde en sikker service for elever, borger, medarbejdere, kommuner og andre samarbejdspartnere. Datasikkerhed er derfor en vigtigt hjørnesten, og den er en naturlig del af Semai automatiske og manuelle databehandling af oplysninger, herunder især personoplysninger.

Omfang

Databeskyttelsespolitikken er gældende for alle medarbejdere i Semai. Alle leverandører og samarbejdspartnere, som har fysisk eller logisk adgang til Semai systemer, data og oplysninger skal gøres bekendt med politikken og følge den.

Databeskyttelsespolitikken dækker alle tekniske og administrative forhold, der har direkte eller indirekte indflydelse på drift og brug af Semai databehandlingssystemer samt manuelle arkiver og registre.

Hovedmålsætninger og sikkerhedsniveau

Semai har følgende sikkerhedsmålsætning:

”Semai har et sikkerhedsniveau, der gælder for alle ansatte, leverandører og samarbejdspartnere ved behandling af personoplysninger og andre data ved hel eller delvis anvendelse af automatisk databehandling, samt for behandling af manuelle dokumenter.”

Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlingskarakter, omfang, sammenhæng og formål samt risiko gennemfører Semai passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

Et passende og tilstrækkeligt databeskyttelsesniveau medfører at Databeskyttelsesforordningen artikel 32 opnås igennem tekniske og organisatoriske foranstaltninger, der sikrer:

  • vedvarende fortrolighed, integritet, tilgængelighed og robusthed af Semai behandlingssystemer og behandlingstjenester i forhold til den risikovurdering, der er gennemført for de enkelte systemer og data
  • anvendelse af pseudonymisering og kryptering, hvor det er relevant, herunder ved dataudveksling med databehandlere, eksterne parter og offentlige myndigheder
  • evnen til rettidigt at genoprette tilgængelighed af og adgangen til data i tilfælde af en fysisk eller teknisk hændelse
  • beskyttelse af Semai it-aktiver, oplysninger og data i Semais varetægt.

Et tilstrækkelige sikkerhedsniveau fastholdes ved:

  • at der vedvarende forefindes retningslinjer og forretningsgange, som sikrer, at datasikkerheden er en integreret del af Semais drift og daglige arbejde.

Målet er at sikre en kontinuerlig forbedringsproces, der løbende vedligeholder og optimerer databeskyttelsespolitikken, retningslinjer og forretningsgange. Dette kan forbindes i vores datasikkerhedshåndbog.

  • at det igennem kontrakt- og leverandørstyring sikres, at brugen af eksterne leverandører, konsulenter og samarbejdspartnere lever op til den gældende databeskyttelseslovgivning og Semai databeskyttelsesniveau.
  • at der i forbindelse med indførelse af nye IT-systemer gennemføres:
    • passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige behandles
    • en evt. analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, hvis det skønnes nødvendigt (Konsekvensanalyse)
    • Semai følger op på datasikkerheden igennem løbende vedligeholdelse og optimering af databeskyttelsespolitikken og de dertilhørende retningslinjer og forretningsgange.

Organisation og ansvar

Sikkerhedsmålsætning:
“Alle medarbejdere har ansvar for datasikkerheden. De er bekendte med Semais databeskyttelsespolitik og efterlever retningslinjer og forretningsgange, der er beskrevet i datasikkerhedshåndbogen.”

Planlægning, implementering og kontrol af datasikkerheden er defineret af Semai ledelse, der også̊ er ansvarlig for implementering og vedligeholdelse af databeskyttelsessikkerhedssystemet og er ansvarlig for opfølgning på sikkerhedshændelser.

Semai ledelse fastsætter i en datasikkerhedshåndbogen, hvem der har ansvaret for hver af institutionens automatiske og manuelle databehandlingssystemer, styring af systemadgang og netværksadgang, tildeling af rettigheder, indgåelse af IT-kontrakter og andre kontrakter, indkøb af hardware og installation af software, behandling af henvendelser fra de registrerede, opsamling og styring af anmeldelse af brud på persondatasikkerheden til Datatilsynet og de registrerede, der er berørt af bruddet.

Databeskyttelsespolitikken revurderes og godkendes løbende, eller i forbindelse med eventuelle situationer, der nødvendiggør det.

Ledere og medarbejdere er ansvarlige for at efterleve retningslinjer og procedurer for datasikkerhed i det daglige arbejde. Medarbejdere der konstaterer eller oplever brud på datasikkerheden skal anmelde det hurtigst muligt til den dataansvarlige.

Den nødvendige viden og kompetence om datasikkerhed kommunikeres til alle medarbejdere, og der bliver løbende arbejdet med holdninger og viden omkring datasikkerhed.

Ledelsen er ansvarlig for, at databeskyttelsespolitikken overholdes.

Datasikkerhedshåndbogen

Databeskyttelsespolitikken uddybes af ledelsen i Datahåndbogen. Tilsammen og kogt ned udgør politikken, retningslinjer, beredskabspolitik og forretningsgange organisationens datasikkerhedsprocedure, der inddeles i følgende hovedområder:

·         Organisering og ansvar
·         Retningslinjer for sikkerhed, der især berører medarbejderne
·         Instruktion og undervisning om databehandlingssikkerhed
·         Retningslinjer for adgangsstyring
·         Brugeroprettelse og nedlæggelse
·         Regler for login og password
·         Medarbejdernes brug af password
·         Anvendelse af mails og opbevaring af mails i mailboks
·         Regler for anvendelse af Semais mobile udstyr
·         Oplysninger og programmer
·         Beskyttelse af udstyr mod bortkomst og tyveri
·         Anvendelse af private PCér, datamedier og telefoner til behandling af personoplysninger
·         Regler for anvendelse af internettet og netværkstjenester
·         Generelle sikkerhedsbestemmelser
·         Beskyttelse af udstyr
·         Logning og overvågning
·         Backup
·         Retningslinjer for netværkssikkerhed
·         Beskyttelse mod skadevoldende programmer og kode
·         Retningslinjer for styring af sikkerhedshændelser
·         Retningslinjer for styring af leverandører og databehandlere
·         Databehandleraftaler
·         Leverandørens/databehandlerens sikkerhedsniveau, håndtering af sikkerhed og kontrol med leverandøren
·         Principper, regler og forretningsgange for behandling af persondata
·         Principper for behandling af personoplysninger
·         Anvendelse af samtykke som grundlag for behandling af personoplysninger
·         Procedurer for udøvelse af den registreredes rettigheder, der sikrer
·         Fortegnelser udarbejdet over behandlingsaktiviteter med personoplysninger, der beskriver
Principper og forretningsgange for behandling af personoplysninger

Ledelsen fastsætter principper og forretningsgange for Semai behandling af personoplysninger, der sikrer overholdelse af Databeskyttelsesforordningen og Databeskyttelsesloven.

Forretningsgangene, der dokumenteres, omfatter:

  • Principper for behandling af personoplysninger
  • Anvendelse af samtykke som grundlag for behandling af personoplysninger
  • Procedurer for udøvelse af den registreredes rettigheder, herunder underretning ved registrering og udøvelse af retten til berigtigelse, sletning eller begrænsning af behandling og ret til dataportabillitet
  • Fortegnelser udarbejdet over behandlingsaktiviteter med personoplysninger

Risikovurdering og klassifikation af data

1.       Risikovurdering

Semai ønsker at være bevidst om enhver risiko, og ud fra en risikovurdering opnå et passende og tilstrækkeligt sikkerhedsniveau etableret både elektronisk og fysiskes. Ledelsen deltager aktivt i risikovurderingen og er ansvarlige for at vurdere trusler, konsekvenser og risici ved automatisk og manuel databehandling.

Det tages i ledelsen løbende op om risikovurderingen skal revurderes, samt ved eventuelle større ændringer i opgaver, leverandører, databehandlingssystemer.

2.      Klassifikation

For at sikre, at systemer og data har det rigtige sikkerhedsniveau, skal disse klassificeres. Data og systemer skal klassificeres efter både tilgængelighed, integritet (pålidelighed) og fortrolighed.

3.      Tilgængelighed

I tilgængelighedskriteriet ligger, at det skal være muligt at tilgå systemer og data for autoriserede personer, når dette er nødvendigt.

Det er for Semai især vigtigt med høj tilgængelighed til data og IT- systemer, der indeholder oplysninger, der anvendes i forbindelse med:

  • behandlingen af organisationens beboer og bruger
  • medicinadministration
  • personaleadministration, herunder lønudbetaling og indberetninger til myndigheder m.v.

Tilgængeligheden sikres først og fremmest igennem bestemmelser i de IT-kontrakter og/eller data- behandleraftaler, der indgås med leverandørerne.

4.      Integritet/Pålidelighed

I integritet/pålidelighed ligger, om data på systemerne er korrekte, pålidelige, nøjagtige, opdaterede og fuldstændige.

Det er for Semai især vigtigt med høj integritet/pålidelighed i data og IT-systemer, der indeholder oplysninger, der anvendes i forbindelse med:

  • beslutninger vedrørende beboer/brugernes behandling og udarbejdelse af handleplaner mv.
  • medicinadministration
  • personaleadministration m.v.

Integritet/pålidelighed sikres først og fremmest gennem den kvalitetskontrol, der finder sted under de fastlagte forretningsgange for behandling af sagerne.

5.      Fortrolighed

Med fortrolighed menes der, at kun autoriserede personer har ret til at tilgå oplysningerne, og oplysningerne skal kun være tilgængelige for autoriserede personer.
Personoplysninger behandles altid fortroligt og videregives eller offentliggøres kun med samtykke fra den registrerede, med mindre videregivelse har hjemmel i lovgivningen.

I Datasikkerhedshåndbogen angives hvem, der har adgang til henholdsvis beboernes/brugernes og medarbejdernes oplysninger.

Overtrædelse af databeskyttelsespolitikken

Alle medarbejdere i Semai er forpligtet til at efterleve den til enhver tid gældende datasikkerhedspolitik med tilhørende retningslinjer, forretningsgange og bilag.

Alle medarbejdere modtager ved deres tiltræden af stillingen en kopi af de vigtigste bestemmelser om data- og persondatasikkerhed rettet til medarbejderne og underskriver på, at de vil overholde Semai datasikkerhedspolitik.

En overtrædelse af datasikkerhedsbestemmelser eller regler for behandling af personoplysninger kan efter omstændighederne medføre ansættelsesretlige konsekvenser.

Afvigelser

Hvis der opstår situationer, hvor kravene i Databeskyttelsespolitikken ikke kan efterleves, skal det godkendes af ledelsen og dokumenteres, og der indføres alternative sikringsforanstaltninger.

Udarbejdelse og ikrafttrædelse

Ændringer i sikkerhedsdokumentationen forelægges og godkendes af ledelsen. Databeskyttelsespolitikken er godkendt den 25. maj 2018 og træder i kraft den 25. maj 2018

Bilag 1: Begreber og definitioner

Begreb Definition
Fortrolighed Kun autoriserede personer har ret til at behandle oplysningerne, der kun skal være tilgængelige for autoriserede personer.
Integritet Det er muligt at validere, om data på systemerne er korrekte, pålidelige, nøjagtige, opdaterede og fuldstændige. Herunder sikring af Backup.
Tilgængelighed Det skal være muligt at tilgå̊ systemer og data for autoriserede personer, når dette er nødvendigt.
Robusthed Behandlingssystemers- og tjenesters tekniske og organisatoriske modstandsdygtighed, der beskytter dem mod skadelige hændelser. Dette kan fx være sikring mod udfald ved dublering, køling, nødstrømsanlæg, brandslukning mv.
Pseudonymisering Behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registrerede uden brug af supplerende oplysninger, der opbevares separat og sikkert.
Kryptering En proces, der omdanner de oprindelige oplysninger til oplysninger, der er ulæselig for en tredjepart.
Vedvarende Evnen til at sikre fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og tjenester er en løbende teknisk og organisatorisk forpligtelse
Databeskyttelsespolitik Databeskyttelsespolitikken indgår i en dokumentstruktur, hvor politikken er det overordnede dokument, som besluttes af ledelsen, og som udstikker de overordnede krav og målsætninger, som opfyldes igennem specifikke retningslinjer, forretningsgange og procedure, der findes i den interne GDPR-mappe på fællesdrevet, med navnet Datahåndbogen.
Retningslinjer I retningslinjerne udfyldes de målsætninger, der er fastlagt i politikken i konkrete beskrivelser af, hvordan sikkerhedspolitikken implementeres. Retningslinjerne fungerer på et overordnet niveau og indeholder ikke tekniske og systemrelaterede beskrivelser.
Forretningsgange og procedure Forretningsgange og procedure udgør specifikke vejledninger til, hvordan retningslinjerne på detaljeret niveau overholdes og implementeres i den enkelte afdeling.
Sikkerhedsforhold Med sikkerhedsforhold menes alle de forhold, som kan påvirke oplysningers sikkerhed i forhold til fortrolighed, pålidelighed og tilgængelighed.
Dataportabillitet Dataportabilitet betyder, at personer fremover har ret til at kræve de persondata, som en virksomhed behandler, udleveret eller overført til en anden dataansvarlig
Systemejer For hvert IT-system er der en systemejer. En systemejer kan være en bruger eller leder i den afdeling systemet benyttes i. For systemer, der anvendes på tværs af afdelinger er systemejer ledelsen
Sikkerhedshændelser Begrebet forstås bredt som alle de hændelser, der påvirker databeskyttelsessikkerheden, herunder brud på sikkerheden

Kalumvej 58
9700 Brønderslev
Nordjylland

Tlf: 96678200
mail@semai.dk

CVR: 20059990

Vi er en del af Fonden Semai: