Persondatapolitik for Vestjysk
Intern politik vedrørende behandling af personoplysninger
| Version | Dato | Ændret af | Godkendt af |
| 1.1 | 16-06-21 | PersondataSupport ApS | HJL UNR ADA |
Indhold
Persondatapolitik for Vestjysk 3
3.1 Sikring af lovlig grundlag/hjemmel 5
3.2 Sikring af formål og at data er relevante 5
3.3 Sikring af oplysningspligt – internt 5
3.4 Sikring af oplysningspligt – ekstern 6
3.5 Sikring af retten til indsigt 7
3.6 Sikring af retten til berigtigelse 8
3.8 Sikring af den registreredes ret til sletning 9
3.9 Sikring af retten til begrænset behandling 9
3.10 Sikring af retten til dataportabilitet 10
3.11 Sikring af retten til indsigelse 10
3.12.1 Databehandleraftaler, når vi er dataansvarlige 10
3.12.2 Databehandleraftaler, når vi er databehandler 11
3.13 Sikring af dokumentation 11
3.17 Print og dokumenter med personoplysninger 12
3.18 Sikring af medarbejder awareness 13
3.19 Notifikation ved brud på datasikkerheden 13
3.20 Privacy by Design og Privacy by Default 13
Persondatapolitik for Vestjysk
Dette dokument har to formål:
- At tjene som et praktisk instrument i virksomhedens arbejde med beskyttelsen af persondata
- Som skriftlig dokumentation af vores indsats for at overholde Databeskyttelsesforordningen.
Vestjysk Persondatapolitik er udformet i sammenhæng med virksomhedens overordnede strategi, værdier og visioner og er på den måde en integreret del af, hvordan virksomheden arbejder. Politikken er godkendt af ledelsen, og de er gjort bekendt med deres ansvar i forhold til persondata. Hvis der opstår mistanke om, at persondata ikke håndteres korrekt, skal man straks kontakte øverste ledelse.
Persondatapolitikken bliver gennemgået og opdateret løbende; minimum en gang om året.
Definitioner
Vestjysk behandler persondata i forbindelse med køb, salg, samarbejde og HR-funktioner. Nedenfor vil kernebegreber fra lovgivningen blive defineret for at lette forståelsen af persondatapolitikken.
| Databeskyttelsesforordningen | Den lovgivning, som pr. 25. maj 2018 regulerer behandlingen af persondata (træder sammen med Databeskyttelsesloven i stedet for Persondataloven). |
| Personoplysninger | Enhver oplysning om en identificeret eller identificerbar fysisk person, fx navn, adresse, telefonnummer, billede, nummerplade, cpr-nummer eller lignende. Oplysninger om enkeltmandsfirmaer er derfor også personoplysninger. |
| Følsomme personoplysninger | Oplysninger om: Race og etnisk oprindelse, politisk overbevisning, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data med henblik på entydig identifikation, helbredsoplysninger og seksuelle forhold eller seksuel orientering. |
| Fortrolige oplysninger | Oplysninger som virksomheden og samfundet betragter som værende fortrolige oplysninger, f.eks. CPR-nummer, oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold, oplysninger om interne familieforhold, herunder oplysninger om for eksempel selvmordsforsøg og ulykkestilfælde. |
| Registrerede | Alle personer, hvis oplysninger er registreret hos os, fx kunder, medarbejdere og leverandører. |
| Behandling af data | Alt hvad virksomheden gør med data; inklusive opbevaring og sletning. |
| Dataansvarlig | Den der beslutter formål, omfang og metoder til behandling af persondata. |
| Databehandler | Den der behandler data på vegne af den dataansvarlige, fx et firma som håndterer løn eller en cloudtjeneste. |
Organisering og ansvar
Denne Persondatapolitik gælder for alle afdelinger, men det kan være nødvendigt at indføre specifikke instrukser i enkelte afdelinger. I så fald skal disse instrukser være i overensstemmelse med persondatapolitikken, have en klar ansvarsfordeling og en fast plan for opdatering.
Ansvaret for medarbejdernes overholdelse af denne Persondatapolitik hviler hos ledelsen. Hvis der opstår episoder, som viser, at der f.eks. har været uoverensstemmelse med Persondatapolitikken, er det afdelingslederens opgave at afhjælpe problemet.
Databehandler
Vi er databehandler for de personoplysninger, som vores dataansvarlige kunder overlader til os til behandling på deres vegne. Der skal etableres en databehandleraftale med den dataansvarlige, før behandlingen kan påbegyndes.
Som databehandler har vi en række forpligtelser overfor vores kunder:
- Vi må alene behandle de overladte personoplysninger efter instruksen indeholdt i databehandleraftalen.
- Vi skal føre en fortegnelse over behandlingen af personoplysninger.
- Vi skal følge sikkerhedsinstrukserne i databehandleraftalen og videreføre disse til vores underleverandører. Hvis der er forskel på sikkerhedskravene i vores databehandleraftaler med vores kunde og underleverandør, tager vi udgangspunkt i den aftale, der indeholder de strammeste krav til sikkerhed, så vi er sikre på at alle aftaler, på trods af varierende udformning, bliver overholdt.
- Vi skal på opfordring fra kunden hjælpe med at opfylde kundens forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra registrerede om indsigt i egne oplysninger, udlevering af den registreredes oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af den registreredes oplysninger, underretning af den registrerede ved sikkerhedsbrud samt bistå kunden i forbindelse med dennes forpligtelser efter Databeskyttelsesforordningens artikel 32-36.
- Vi skal levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger, således at vores behandling af kundens personoplysninger opfylder kravene i Databeskyttelsesforordningen samt sikrer beskyttelse af den registreredes rettigheder, jf. Informationssikkerhedspolitikken.
- Vi skal kunne oplyse, hvor kundens personoplysninger opbevares og ajourføre oplysningerne over for kunden ved enhver ændring.
Retningslinjer
Det følgende er de konkrete regler og retningslinjer, som Vestjysk skal følge i forbindelse med behandling af persondata. Instruksen er baseret på Databeskyttelsesforordningens og Databeskyttelseslovens krav og vil sammen med Informationssikkerhedspolitikken og den udarbejdede dokumentation sikre virksomhedens efterlevelse af forordningen.
Hvert element i politikken er delt op i:
- Formål (hvorfor gør vi det)
- Procedure (hvordan gør vi det)
- Kontrol (har vi nu også gjort det)
3.1 Sikring af lovlig grundlag/hjemmel
Formål: Sikre at der er et lovligt grundlag for at behandle data.
Procedure: Før en databehandling påbegyndes, skal der ske afklaring af den lovlige hjemmel. Som hovedregel vil virksomheden i forbindelse med data ang. kunder og leverandører anvendes hjemlen ”Opfyldelse af kontrakt”. Ved data ang. medarbejdere anvendes hjemlerne ”Samtykke”, ”Interesseafvejning” eller ”Retlig forpligtelse”. Opstår der tvivl om den lovlige hjemmel, henvender man sig til ledelsen. Hvis et lovlig grundlag ikke kan identificeres, igangsættes behandlingen ikke.
Det lovlige grundlag for behandlingen dokumenteres sammen med den pågældende proces i fortegnelsen over arbejdsprocesser i virksomhedens GDPR-portal.
Underskrevne/accepterede samtykkeerklæringer opbevares hos Løn bogholderi.
For de arbejdsprocesser hvor vi er databehandler, er det lovlige grundlag for disse arbejdsprocesser baseret på databehandleraftalen, der er indgået med den dataansvarlige.
Kontrol: Alle arbejdsprocesser gennemgås årligt, hvor den lovlige hjemmel revurderes.
3.2 Sikring af formål og at data er relevante
Formål: Kun at indsamle oplysninger baseret på et klart defineret formål, og at de ikke omfatter mere end hvad der kræves til opfyldelse af formålet med behandlingen.
Procedure: For hver arbejdsproces bliver det klart defineret, hvilke personoplysninger der er relevante for formålet. Det sikres, at der ikke indsamles flere oplysninger end nødvendigt for at understøtte dette formål. Formålet med behandlingen af personoplysninger, samt hvilke typer personoplysninger der behandles for hver arbejdsproces, er defineret og beskrevet i fortegnelsen for arbejdsprocesserne i virksomhedens GDPR-portal.
For arbejdsprocesser, hvor vi er databehandlere, er formålet med disse arbejdsprocesser defineret i den aftale, der er indgået med den dataansvarlige.
Kontrol: Alle arbejdsprocesser gennemgås årligt, hvor kategorierne af de indsamlede oplysninger sammenholdes med formålet med henblik på at sikre, at oplysningerne stadig er nødvendige for formålet.
3.3 Sikring af oplysningspligt – internt
Formål: Sikre gennemsigtigheden af virksomhedens behandling af personoplysninger samt de registreredes (medarbejdernes) viden om deres rettigheder.
Procedure: Ved ansættelsen bliver medarbejderne via dokumentet ’oplysning og samtykke – medarbejder’ på en letforståelig måde informeret om:
- Hvem der er dataansvarlig og dennes kontaktoplysninger, samt kontaktoplysninger på en eventuel Data Protection Officer (DPO).
- Formålet med behandling af data.
- Hjemmel for behandling, samt legitime interesser som forfølges af virksomheden.
- Eventuelle andre modtagere af data, herunder overførsel til tredjelande.
- Opbevaringsperiode for data.
- Den registreredes (medarbejderens) rettigheder i forhold til data (indsigt, berigtigelse, sletning, begrænset behandling og dataportabilitet).
- Retten til at tilbagekalde et eventuelt afgivet samtykke.
- Retten til at klage til Datatilsynet.
- At de har pligt til at afgive oplysninger, og konsekvenser ved ikke at gøre det.
- Hvor oplysningerne er indhentet, hvis dette ikke er direkte fra den registrerede (medarbejderen) selv.
- Omfanget af automatiske afgørelser, herunder profilering og logikken bag.
Hvis virksomheden senere ønsker at behandle oplysninger til et andet formål end oplyst til den registrerede (medarbejderen), bliver den registrerede oplyst om dette før den nye behandling igangsættes.
Kontrol: Hver årligt sendes en mail til den ansvarlige med henblik på at sikre, at alle medarbejdere har læst og underskrevet dokumentet ”Oplysning og samtykke medarbejdere”.
3.4 Sikring af oplysningspligt – ekstern
Formål: Sikre gennemsigtigheden af virksomhedens behandling af personoplysninger samt de registreredes viden om deres rettigheder.
Procedure: Ved indhentning af personoplysninger ved registrerede eksternt for virksomheden, sikres det gennem virksomhedens privatlivspolitik, at den registrerede på en letforståelig måde informeres om:
- Hvem der er dataansvarlig og dennes kontaktoplysninger, samt kontaktoplysninger på en eventuel Data Protection Officer (DPO).
- Formålet med behandling af data.
- Hjemmel for behandling, samt legitime interesser som forfølges af virksomheden.
- Eventuelle andre modtagere af data, herunder overførsel til tredjelande.
- Opbevaringsperiode for data.
- Den registreredes rettigheder i forhold til data (indsigt, berigtigelse, sletning, begrænset behandling og dataportabilitet).
- Retten til at tilbagekalde et eventuelt afgivet samtykke.
- Retten til at klage til Datatilsynet.
- Hvor oplysningerne er indhentet, hvis dette ikke er direkte fra den registrerede selv.
- Omfanget af automatiske afgørelser, herunder profilering og logikken bag.
Hvis virksomheden senere ønsker at behandle oplysninger til et andet formål end oplyst til den registrerede, bliver den registrerede oplyst om dette før den nye behandling igangsættes.
Kontrol: Hvert kvartal sendes en mail til alle medarbejdere med henblik på at sikre, at de alle har link til privatlivspolitikken i deres signatur og at linket stadig er til den gældende privatlivspolitik.
3.5 Sikring af retten til indsigt
Formål: Sikre at den registrerede kan få indsigt i de oplysninger, som behandles om dem.
Procedure: Ved henvendelse skal den registrerede, uden unødigt ophold og på en let forståelig måde, have indsigt i de oplysninger, som er registreret om den pågældende, herunder:
- Formålet med behandling af data.
- Hvilke kategorier af oplysninger som behandles.
- Eventuelle andre modtagere af data, herunder overførsel til tredjelande.
- Opbevaringsperiode for data.
- Den registreredes rettigheder i forhold til data (indsigt, berigtigelse, sletning, begrænset behandling og dataportabilitet).
- Retten til at klage til datatilsynet.
- Hvor oplysningerne er indhentet, hvis dette ikke er direkte fra den registrerede selv.
- Omfanget af automatiske afgørelser, herunder profilering og logikken bag.
En medarbejder, der modtager en indsigtsanmodning skal hurtigt muligt kontakte ledelsen eller virksomhedens GDPR-ansvarlige.
Det sikres, at den der meddeles oplysninger til, er rette person. Der må kun udleveres oplysninger, når vedkommende har legitimeret sig, eller når der på anden måde er skabt sikkerhed for, at den der fremsætter en indsigtsbegæring, er identisk med den person som oplysningerne vedrører eller er i besiddelse af en fuldmagt fra denne.
Telefoniske henvendelser
Ved telefoniske henvendelser skal det sikres, at der kun gives oplysninger til rette person. Det kan f.eks. være nødvendigt at stille kontrolspørgsmål for at identificere personen eller foretage en kontrolopringning til et telefonnummer for at sikre, at det er den rette person, som anmoder om oplysningerne. Hvis medarbejderen ikke kan få den nødvendige sikkerhed, må oplysningerne i stedet sendes pr. post eller e-mail til den adresse, der er registeret på vedkommende.
Henvendelser via brev og e-mail
Hvis navn og adresse i brevet/e-mailen er identisk med de oplysninger, som i forvejen fremgår af systemet, kan oplysningerne normalt sendes til den registrerede på den registrerede post- eller e-mailadresse. Er dette ikke tilfældet, bør forholdet undersøges nærmere.
Indsigt for børn under 18 år
Forældremyndighedens indehaver kan begære indsigt på barnets vegne. Barnet kan også selv få indsigt.
Indsigt på andres vegne (fuldmagt)
Den registrerede kan give en anden fuldmagt til at få indsigt i egne oplysninger. Fuldmagten kan være specifik eller generel. Er der tale om en advokat, er det normalt ikke nødvendigt at efterspørge en fuldmagt.
Hvis der opstår tvivl om, hvorvidt fuldmagten er tilstrækkelig, skal HR-ansvarlige involveres.
Kontrol: Henvendelser vedrørende indsigt bliver gennemgået i et interval af 30 dage for at sikre, at alle henvendelser er blevet imødekommet uden unødigt ophold.
3.6 Sikring af retten til berigtigelse
Formål: Sikre at de registrerede kan få berigtiget deres oplysninger.
Procedure: Ved henvendelse fra den registrerede skal virksomheden berigtige/rette eventuelle forkerte eller vildledende oplysninger om den pågældende.
En medarbejder, der modtager besked om at der behandles forkerte oplysninger, henvender sig til HR-ansvarlige som sørger for at korrigere oplysningerne. Den registreredes identitet bliver sikret før oplysninger rettes, jf. afsnit 3.5.
Kontrol: Henvendelser vedrørende berigtigelse bliver gennemgået i et interval af 30 dage, hvor det kontrolleres at oplysninger er blevet rettet i systemet.
3.7 Slettepligt
Formål: Sikre at oplysninger bliver slettet, når de ikke længere er nødvendige for formålet med behandlingen.
Procedure: I ”Fortegnelsen over arbejdsprocesser” er der taget stilling til opbevaringsperioder for hver arbejdsproces.
Personoplysninger opbevares centralt på dertil indrettede drev og systemer for at mindske spredning af personoplysninger i organisationen og effektivisere sletteprocessen. Hvis medarbejderne har behov for midlertidigt at have personoplysninger liggende lokalt på deres maskiner eller skriveborde, skal disse fjernes så snart arbejdet er udført.
Det skal hvert år i forbindelse med aflæggelse af årsregnskab sikres, at gemte dokumenter er maks. 5 år gamle. Ældre dokumenter destrueres.
Det sikres, at oplysninger også slettes hos eventuelle databehandlere.
Oplysninger slettes løbende:
Medarbejdere sletter løbende e-mails indeholdende personoplysninger, når disse er arkiveret andre steder eller ikke længere er nødvendige for formålet med behandlingen.
Medarbejderne makulerer løbende fysiske dokumenter med personoplysninger, når disse ikke længere er nødvendige for formålet med behandlingen.
De ansvarlige for systemer indeholdende personoplysninger sletter/anonymiserer løbende oplysninger, som ikke længere er nødvendige for formålet med behandlingen.
Før oplysninger slettes, sikres det at oplysningerne ikke er nødvendige at opbevare i henhold til andre lovgivninger, herunder bl.a. bogføringsloven.
Kontrol: Opbevaringsperioden i alle arbejdsprocesser revurderes årligt.
Procedure: Medarbejderoplysninger
Persondata på medarbejdere skal slettes når der ikke længere er et formål med opbevaring.
Kontrol: Det kontrolleres kvartalsvis at oplysninger som skulle slettes, ved medarbejderens fratrædelse også er slettet, og det sikres hvorvidt oplysninger der skal opbevares efter fratrædelsen grundet juridiske forpligtelser iht. kontrakt el. lovgivning er arkiveret/journaliseret korrekt.
Procedure: Kundeoplysninger
Kundeoplysninger skal slettes når de ikke længere har et formål med opbevaring.
Kontrol: Det kontrolleres og revurderes årligt om de pågældende kundeoplysninger skal slettes eller opbevares i længere tid.
Procedure: Samarbejdspartnere- og leverandøroplysninger
Oplysninger på leverandører og samarbejdspartnere skal slettes når de ikke længere har et formål med opbevaring.
Kontrol: Det kontrolleres og revurderes årligt om de pågældende leverandøroplysninger skal slettes eller opbevares i længere tid.
Procedure: Ansøgere
Ansøgning og CV skal slettes, når de ikke længere er relevante at gemme og senest 6 måneder efter modtagelse.
Hvis det vurderes at kandidaten kan bruges senere, indhentes samtykke fra kandidaten til yderligere opbevaring i max 6 måneder.
Kontrol: Gemte ansøgninger og CV’er bliver gennemgået i et interval af 30 dage. Hvis de 6 måneder nærmer sig udløb, vurderes det om ansøgning/CV skal slettes, eller om samtykke til yderligere opbevaring skal indhentes.
3.8 Sikring af den registreredes ret til sletning
Formål: Sikre den registreredes ret til sletning på den registreredes anmodning herom (”Retten til at blive glemt”)
Procedure: Retten til at blive glemt:
Når en registreret henvender sig med et ønske om at blive slettet skal dette oplyses til HR-ansvarlige, som foretager sletningen uden unødigt ophold, efter at have sikret sig at formålet med behandlingen af oplysningerne ikke længere er til stede.
Det skal hermed sikres, at den registrerede ikke har nogle udeståender med virksomheden, før sletningen foretages. Medarbejderne, som håndterer anmodningen om sletning, orienterer den pågældende registrerede om årsagen til, at anmodningen om sletning ikke kan imødekommes helt eller delvist, fx hvis det ikke er muligt at servicere kunden uden personoplysningerne. Den registrerede skal til enhver tid kunne få slettet oplysninger, som er indsamlet baseret på samtykke. Den registreredes identitet bliver sikret før oplysninger slettes, jf. afsnit 3.4.
Kontrol: Henvendelser, som resulterede i at den registreredes oplysninger blev slettet, bliver gennemgået i et interval af 30 dage for at kontrollere, at virksomheden har slettet alle oplysninger, og at det blev gjort indenfor rimelig tid.
3.9 Sikring af retten til begrænset behandling
Formål: Begrænse behandlingen af personoplysninger til kun opbevaring.
Procedure: Når en registreret henvender sig og kræver at behandlingen af vedkommendes oplysninger begrænses, skal HR-ansvarlige straks oplyses herom. Behandlingen af personoplysningerne begrænses til blot at opbevare oplysningerne indtil forholdet som er grundlag for den begrænsede behandling løses. Den registreredes identitet bliver sikret før behandlingen begrænses, jf. afsnit 3.4.
Kontrol: Henvendelser, som resulterede i begrænset behandling, bliver gennemgået i et interval af 30 dage for at kontrollere, at virksomheden har begrænset behandlingen til blot opbevaring og at det blev gjort indenfor rimelig tid.
3.10 Sikring af retten til dataportabilitet
Formål: At personlysninger, som behandles automatisk, kan udleveres eller overføres i et struktureret, almindeligt anvendt og maskinlæsbart format.
Procedure: Når en registreret henvender sig med et ønske om at få udleveret eller overført personoplysninger, rettes der straks henvendelse HR-ansvarlige, som baseret på den registreredes ønske enten udleverer materialet i et struktureret, almindeligt anvendt, maskinlæsbart format eller, hvis teknisk muligt, overfører oplysningerne til en ny dataansvarlig, ønsket af den registrerede. Den registreredes identitet bliver sikret før oplysninger udleveres eller overføres, jf. afsnit 3.4.
Kontrol: Henvendelser om dataportabilitet bliver gennemgået i et interval af 30 dage for at kontrollere, at virksomheden eksporterer data korrekt og at det bliver gjort indenfor rimelig tid.
3.11 Sikring af retten til indsigelse
Formål: Imødekomme den registreredes ret til indsigelse.
Procedure: Når en registreret oplyser, at denne ikke ønsker, at vedkommendes oplysninger behandles, skal der straks rettes henvendelse til HR-ansvarlige, som derefter vurderer anmodningen og igangsætter relevante handlinger baseret på udfaldet af vurderingen. Den registreredes identitet bliver sikret før behandlingen eventuelt stoppes, jf. afsnit 3.4.
Kontrol: Henvendelser, som resultererede i indsigelse bliver gennemgået i et interval af 30 dage for at kontrollere, at virksomheden er ophørt med behandlingen, og at anmodningen om indsigelse blev behandlet indenfor 30 dage.
3.12.1 Databehandleraftaler, når vi er dataansvarlige
Formål: Sikring af, at der etableres databehandleraftaler med andre juridiske enheder, som behandler personoplysninger på vegne af os.
Procedure: Databehandleraftaler, når vi dataansvarlige
Der er indgået databehandleraftaler med alle relevante eksterne og interne parter.
Hver gang der indgås en ny aftale med en samarbejdspartner, vurderes det, om ydelsen involverer behandling af personoplysninger på vegne af os. Hvis dette er tilfældet, indgås der en databehandleraftale.
Der udføres løbende kontrol med databehandlerne ved at udøve revisionsbeføjelsen.
Hvis en medarbejder i det daglige bliver opmærksom på fejl eller mangler i en databehandlers håndtering af personoplysninger, skal medarbejderen gøre HR-ansvarlige opmærksom på problemet. HR-ansvarlige skal herefter undersøge problemet og eventuelt foretage den nødvendige opfølgning. Den øverste IT-ansvarlige i virksomheden inddrages i nødvendigt omfang, men orienteres som minimum.
Kontrol: Hvert år gennemgås listen over databehandlere og matches med den tilhørende databehandleraftale og det vurderes, om den gældende databehandleraftaler stadig er dækkende.
Hvert år udøves revisionspligten med databehandlerne vedrørende behandling af persondata, hvor eventuelle observationer gennemgås og vurderes.
3.12.2 Databehandleraftaler, når vi er databehandler
Databehandleraftaler, når vi er databehandler
Formål: Sikring af, at der etableres databehandleraftaler med dataansvarlige, som vi behandler data på vegne af.
Procedure: Der er indgået databehandleraftale med alle relevante eksterne og interne parter.
Såfremt der ønskes et skift af leverandør (underdatabehandler) for de behandlinger der involverer de dataansvarlige, skal skiftet godkendes i henhold til godkendelsesproceduren i databehandleraftalen.
Hvis en medarbejder bliver opmærksom på fejl eller mangler i den dataansvarliges håndtering af personoplysninger, skal medarbejderen ligeledes gøre den HR-ansvarlige opmærksom på problemet, således at problemet kan blive undersøgt og eventuelt foretage den nødvendige opfølgning.
Kontrol: Hvert år tjekkes det op på, om vi efterlever vores forpligtelser i databehandleraftalen.
3.13 Sikring af dokumentation
Formål: Imødekomme Databeskyttelsesforordningens krav om fortegnelse over arbejdsprocesser og konsekvensanalyse.
Procedure: Virksomheden har etableret en fortegnelse over arbejdsprocesser, som kan findes i GDPR portalen. Fortegnelsen opdateres løbende, når der sker ændringer i virksomhedens arbejdsprocesser.
For hver arbejdsproces er der foretaget en risikovurdering baseret på sandsynligheden for, at personoplysninger mister fortrolighed, integritet eller tilgængelighed, samt hvilken konsekvens det må have for den registrerede. Risikovurderingen revurderes 1 gang årligt og for højrisiko-områder udarbejdes der en handlingsplan for nedsættelse af risiko. Hvis risikoen ikke kan nedsættes, konsulteres Datatilsynet.
Kontrol: Arbejdsprocesserne og de dertilhørende risikovurderinger gennemgås årligt med henblik på at vurdere, om vurderingen er retvisende, og om der eventuelt skal etableres en konsekvensanalyse og handlingsplan for at nedsætte risikoen ved arbejdsprocesser af høj risiko. Hvis det ikke er muligt at nedsætte risikoen, skal Datatilsynet konsulteres før behandlingen igangsættes. Risikovurdering og konsekvensanalyse opdateres hver gang der er nye planlagte arbejdsprocesser eller ændringer i eksisterende arbejdsprocesser.
3.14 Datasikkerhed
Formål: Sikre de fornødne organisatoriske og tekniske foranstaltninger mod at personoplysninger kommer til uvedkommendes kendskab eller går tabt.
Procedure: Begrænsning af adgangen til elektronisk persondata
Alle systemer/drev der indeholder personoplysninger, er omfattet af begrænset adgang, så det kun er de medarbejdere, der har behov for adgangen til at udføre deres arbejde, der har adgang til systemer/drev med personoplysninger.
Mails med personoplysninger
Mails med personoplysninger er begrænset til et absolut minimum. Følsomme og fortrolige personoplysninger der systematisk sendes via mail, skal sendes krypteret.
Mobile enheder
Behandlingen af data på mobile enheder er begrænset til et absolut minimum. Der er vedtaget retningslinjer for brugen af mobile enheder, herunder at det udelukkende er tilladt at behandle data herpå i den udstrækning, det er nødvendigt for udførelsen af brugernes arbejde.
Kontrol: Hvert år gennemgår ledelsen / IT-ansvarlige listen over medarbejdere med adgang til systemer og mapper med personoplysninger med henblik på at verificere, at kun de nødvendige medarbejdere har adgang til systemer og mapper indeholdende personoplysninger.
Hvert år tjekkes der efterlevelsen af datasikkerhed i forbindelse med mobile enheder ved at foretage stikprøvekontrol af downloadede apps og synkronisering af mailboks.
3.15 Fysisk sikkerhed
Formål: Sikre forholdsregler imod uvedkommendes adgang til lokaler, hvor der foregår behandling af personoplysninger.
Procedure: Områder med adgang til personoplysninger sikres således, at uvedkommende ikke kan få adgang til disse. Dette sker ved at opbevare personoplysninger i aflåste skabe, når lokalet ikke er under opsyn. Løbende, afhængigt af mængden af bilag, kan personoplysninger fra aflåste skabe arkiveres i et aflåst arkiveringsrum.
Alle medarbejdere skal låse deres PC, når arbejdsstationen forlades, også kortvarigt.
Medarbejdere er underlagt en clean desk politik som indebærer, at medarbejderne skal fjerne alle dokumenter fra deres skrivebord, når de forlader arbejdspladsen.
Medarbejderne skal følge en face down politik som indebærer, at dokumenter med personoplysninger vendes med den blanke side op eller på anden måde afdækkes, når medarbejderen efterlader dokumenter på arbejdsstationen.
For yderligere oplysninger om fysisk sikkerhed henvises til virksomhedens informationssikkerhedspolitik.
Kontrol: Ledelsen skal årligt tjekke at skabene kan aflåses.
Ledelsen skal ved løbende stikprøver tjekke, om aflåste skabe med personoplysninger faktisk er aflåste, og at det kun er relevante medarbejdere som er i besiddelse af nøglen til skabene.
Ledelsen skal løbende være opmærksomme på, om medarbejderne husker at låse deres PC, når arbejdsstationen forlades, samt at de overholder clean desk og face down politikken.
3.16 Gæster
Formål: Gæster skal håndteres sikkert.
Procedure: Gæster må ikke færdes alene.
3.17 Print og dokumenter med personoplysninger
Formål: Personlige oplysninger må ikke ligge frit tilgængeligt i papirform.
Procedure: Print med personoplysninger må ikke efterlades i printerrummet, og skal hentes så snart de er printet.
Papirdokumenter, der indeholder personoplysninger, må i arbejdstiden ikke opbevares uden opsyn af en medarbejder.
Kontrol: Hvert år skal ledelsen foretage en stikprøve runde og tjekke om der ligger frit tilgængelige personoplysninger i papirform i virksomheden.
3.18 Sikring af medarbejder awareness
Formål: Sikre at medarbejdere er bekendt med reglerne for behandling af persondata.
Procedure: Samtlige medarbejdere i Vestjysk skal underskrive en tavshedserklæring ved deres ansættelse.
Alle nye medarbejdere skal i forbindelse med deres ansættelse gøres bekendt med regler for behandling af personoplysninger og IT-sikkerhed.
Kontrol: Hvert år skal samtlige medarbejdere deltage i og bestå en e-learning eller andre kurser vedrørende behandling af personoplysninger.
Hvert år skal samtlige medarbejdere genlæse Informationssikkerhedspolitikken og Persondatapolitikken.
3.19 Notifikation ved brud på datasikkerheden
Formål: Rettidig advisering af Datatilsynet, og under visse omstændigheder den registrerede, ved brud på datasikkerheden.
Procedure: Brud på datasikkerheden er defineret som en hændelse, der resulterer i, at der sandsynligvis er en risiko for, at personoplysninger er blevet udsat for uautoriseret adgang eller er gået tabt.
Hvis en medarbejder opdager brud på datasikkerheden, meddeles dette straks til HR-ansvarlige som indenfor 72 timer, om muligt, skal have overblik over bruddet. Dette overblik indebærer, at HR-ansvarlige i samarbejde med de eventuelt implicerede medarbejdere samler alle oplysninger omkring hændelsen, berørte datakategorier, antal lækkede data records, sandsynlige konsekvenser og hvilke tiltag, der er iværksat for at imødegå bruddet, som anmeldes til Datatilsynet indenfor de 72 timer via hjemmesiden.
Brud, der sandsynligvis medfører en risiko for, at personoplysninger er blevet udsat for uautoriseret adgang eller er gået tabt, anmeldes til Datatilsynet.
Alle brud på sikkerheden noteres i Databrudsloggen.
Hvis sikkerhedsbruddet er af sådan karakter, at det er nødvendigt at informere de registrerede, gøres dette via mail.
Hvis virksomheden ikke har kontaktoplysningerne på de registrerede, sker orienteringen offentligt via Datatilsynets hjemmeside.
Kontrol: Hvert halvår informeres medarbejderne om, hvad et databrud omfatter og håndtering heraf.
3.20 Privacy by Design og Privacy by Default
Formål: Imødekommelse af Databeskyttelsesforordningens krav om Privacy by Design and Default
Procedure: Ved udvikling eller anskaffelse af nye it-systemer er virksomheden opmærksom på, at systemerne er sikre og at de understøtter opdeling af adgangsrettigheder, således personoplysninger kan beskyttes mod uautoriseret adgang og tab.
Medarbejderne må ikke benytte tjenester til behandling af personoplysninger som HR-ansvarlige ikke har godkendt, herunder bl.a. private mail-applikationer, egen cloudløsning eller programmer, som downloades fra nettet.
3.21 DPO
Formål: Vurdering af, om det er et krav, at virksomheden har en DPO
Procedure: Det vurderes årligt, hvorvidt virksomheden har behov for en DPO, baseret på Databeskyttelsesforordningens kriterier for krav om DPO. Vurderingen heraf er dokumenteret i GDPR-portalen.
Kontrol: Det revurderes årligt om virksomhedens behov for en DPO har ændret sig.
