Databeskyttelsespolitik
Giftrix – Huuray A/S
1.Indledning
1.1. Denne databeskyttelsespolitik er den overordnede politik for datasikkerhed og -beskyttelse for Huuray A/S (i det følgende benævnt “os”, “vi” eller “vores”).
2. Formål
2.1. Formålet med databeskyttelsespolitikken er at understøtte de 10 datasikkerhedsstandarder, den generelle databeskyttelsesforordning (2016), databeskyttelsesloven (2018), den almindelige lovbestemte tavshedspligt og al anden relevant national lovgivning. Vi anerkender databeskyttelse som en grundlæggende rettighed og tilslutter os principperne om databeskyttelse gennem design og som standard.
2.2. Denne politik dækker
2.2.1. Vores databeskyttelsesprincipper og forpligtelse til at overholde almindelig lov og lovgivning.
2.2.2. Procedurer for databeskyttelse gennem design og som standard.
3. Omfang
3.1. Denne politik omfatter alle data, som vi behandler enten i papirform eller digitalt, herunder særlige kategorier af data.
3.2. Denne politik gælder for alle medarbejdere, herunder midlertidigt ansatte og entreprenører.
4. Principper
4.1. Vi vil være åbne og gennemsigtige over for brugerne af vores tjenester.
4.2. Vi vil etablere og vedligeholde politikker for at sikre overholdelse af Data Protection Act 2018, Human Rights Act 1998, common law-pligten til fortrolighed, General Data Protection Regulation og al anden relevant lovgivning.
4.3. Vi vil etablere og vedligeholde politikker for kontrolleret og passende deling af oplysninger om servicebrugere og personale med andre agenturer under hensyntagen til al relevant lovgivning og borgernes samtykke.
4.4. Hvor der kræves samtykke til behandling af personoplysninger, vil vi sikre, at informeret og udtrykkeligt samtykke indhentes og dokumenteres i et klart, tilgængeligt sprog og i et passende format. Personen kan til enhver tid trække sit samtykke tilbage gennem processer, der er blevet forklaret for dem, og som er beskrevet i vores Record Keeping Policy: Procedurer for tilbagetrækning af samtykke. Vi sikrer, at det er lige så let at trække sit samtykke tilbage som at give det.
4.5. Vi vil foretage / bestille sletning efter behov af årlige revisioner af vores overholdelse af lovkrav.
4.6. Vi anerkender vores ansvar for at sikre, at personlige data skal være:
4.6.1. Behandles lovligt, retfærdigt og på en gennemsigtig måde;
4.6.2. Indsamles til specifikke, eksplicitte og legitime formål og ikke viderebehandles på en måde, der er uforenelig med disse formål;
4.6.3. Tilstrækkelig, relevant og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (“dataminimering”);
4.6.4. Nøjagtige og opdaterede;
4.6.5. Opbevares i en form, der ikke tillader identifikation af registrerede i længere tid, end det er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles (“opbevaringsbegrænsning”);
4.6.6. Behandles på en måde, der sikrer passende sikkerhed for personoplysningerne.
4.7. Vi opretholder de persondatarettigheder, der er beskrevet i GDPR;
4.7.1. Retten til at blive informeret;
4.7.2. Retten til adgang;
4.7.3. Retten til berigtigelse;
4.7.4. Retten til sletning;
4.7.5. Retten til at begrænse behandlingen;
4.7.6. Retten til dataportabilitet;
4.7.7. Retten til at gøre indsigelse;
4.7.8. Rettigheder i forhold til automatiseret beslutningstagning og profilering.
4.8. På grund af vores størrelse har vi besluttet, at vi ikke er forpligtet til at have en databeskyttelsesrådgiver (DPO), da vi ikke behandler særlige kategorier af data i stor skala. Ikke desto mindre har vi udnævnt en medarbejder til at være vores Data Security and Protection Lead for at sikre, at hver enkelt persons datarettigheder respekteres, og at der er de højeste niveauer af datasikkerhed og -beskyttelse i vores organisation. Data Security and Protection Lead vil rapportere til det højeste ledelsesniveau i organisationen. Vi vil støtte Data Security and Protection Lead med de nødvendige ressourcer til at udføre deres opgaver og sikre, at de kan vedligeholde deres ekspertise.
4.9. Vi gennemgår vores politik for datasikkerhed og -beskyttelse en gang om året.
5. Databeskyttelse gennem design og som standard
5.1. Vi skal implementere passende organisatoriske og tekniske foranstaltninger for at opretholde de principper, der er skitseret ovenfor. Vi vil integrere de nødvendige sikkerhedsforanstaltninger i enhver databehandling for at opfylde lovmæssige krav og for at beskytte den enkeltes datarettigheder. Denne implementering vil overveje arten, omfanget, formålet og konteksten af enhver behandling og risiciene for enkeltpersoners rettigheder og friheder forårsaget af behandlingen.
5.2. Vi skal opretholde principperne om databeskyttelse gennem design og som standard fra begyndelsen af enhver databehandling og under planlægningen og implementeringen af enhver ny dataproces.
5.3. Alle nye systemer, der bruges til databehandling, vil have databeskyttelse indbygget fra begyndelsen af systemændringen.
5.4. Al eksisterende databehandling er blevet registreret i vores fortegnelse over behandlingsaktiviteter. Hver proces er blevet risikovurderet og gennemgås årligt.
5.5. Vi sikrer, at persondata som standard kun behandles, når det er nødvendigt til specifikke formål, og at enkeltpersoner derfor er beskyttet mod privatlivsrisici.
5.6. I al behandling af personoplysninger bruger vi den mindste mængde identificerbare data, der er nødvendig for at fuldføre det arbejde, de er nødvendige for, og vi opbevarer kun oplysningerne, så længe det er nødvendigt for behandlingsformålene eller ethvert andet lovkrav om at opbevare dem.
6. Ansvarsområder
6.1. Vores udpegede Data Security and Protection Lead er Ronnie Gasseholm (CTO). Lederens vigtigste ansvarsområder er:
6.1.1. At sikre, at enkeltpersoners rettigheder med hensyn til deres personlige data opretholdes i alle tilfælde, og at dataindsamling, deling og opbevaring er i overensstemmelse med de udstedte retningslinjer.
6.1.2. At definere vores databeskyttelsespolitik og -procedurer og alle relaterede politikker, procedurer og processer og at sikre, at der er tilstrækkelige ressourcer til at understøtte de politiske krav.
6.1.3. At gennemgå datasikkerheds- og databeskyttelsespolitikken årligt og at opretholde overensstemmelse med gældende lovgivning.
6.1.4. Overvåge informationshåndteringen for at sikre overholdelse af lovgivningen, retningslinjerne og organisationens procedurer og samarbejde med den øverste ledelse.
7. Godkendelse
7.1. Denne politik er godkendt af undertegnede og vil blive gennemgået mindst en gang om året.
Rune Eirby Poulsen, adm. direktør – Huuray A/S
København
Godkendelsesdat: 6 juni 2022
Gennemgangsdato: 5 janu 2023
Politik for håndtering og overførsel af data
Indhold
- Indledning
- Definition af personlige, følsomme og fortrolige oplysninger
- Omfang
- Sikker opbevaring af personlige og følsomme oplysninger
- At tage information med ud af kontoret
- Deling af information – beslutningen om at gøre dette
- Deling af information elektronisk – hvordan kan jeg gøre det sikkert?
- Brug af e-mails til at dele data
- Brug af andre metoder til at overføre data
- Kontrol af information, før den sendes
- Portabilitet af data
- Brud på datasikkerheden
- Styring af data
- Indledning
1.1 Huuray indsamler og bruger en bred vifte af personlige og følsomme oplysninger for at udføre sine funktioner og levere tjenester. Alle, der arbejder for eller repræsenterer Huuray, skal beskytte de personlige og følsomme data, som de bruger, og være opmærksomme på deres forpligtelser. Hvis vi ikke passer tilstrækkeligt på de data, vi håndterer, og de mistes, stjæles, videregives upassende eller på anden måde misbruges, kan det have en alvorlig indvirkning på virksomheden.
1.2 Der er mange lejligheder, hvor overførsel af data er påkrævet mellem afdelinger, tredjepartstjenesteudbydere, offentlige organer og kommercielle organisationer for at udføre forretningsfunktioner. Det er vigtigt, at enhver overførsel sker på en måde, der er passende for den type data, der overføres.
1.3 Denne politik er designet til at sikre, at personlige, følsomme og fortrolige oplysninger håndteres sikkert, og specifikt deres opbevaring og overførsel, ved at fastsætte klare standarder for praksis for at opretholde god sikkerhed og sikre, at Huuray overholder sine juridiske forpligtelser.
2. Definition af personlige, følsomme og fortrolige oplysninger
Personlige data Data, der vedrører et levende individ, som kan identificeres ud fra oplysningerne, direkte eller indirekte. Dette omfatter, men er ikke begrænset til
- Navne, adresser og fødselsdatoer
- Referencenumre som f.eks. medarbejder- og socialsikringsnumre
- Personlige økonomiske oplysninger som f.eks. bankoplysninger
- Beskrivende eller biografiske oplysninger om en person
- Fotografier eller andre billeder
Personfølsomme data Særlige kategorier af personlige oplysninger, som vi skal være særligt forsigtige med at håndtere, såsom - Racemæssig eller etnisk oprindelse
- Politiske holdninger
- Religiøs eller filosofisk overbevisning
- Medlemskab af fagforening
- Genetiske og biometriske data
- Fysisk og psykisk helbred
- Seksualitet og seksuelt liv
- Kriminelle domme og lovovertrædelser
Forretningsfølsomme data Oplysninger, der ikke bør videregives af politiske eller økonomiske årsager, f.eks. oplysninger om kontraktudbud.
Fortrolige data Andre oplysninger, der potentielt kan misbruges, f.eks. officielle blanketter eller hovedpapir.
3 Anvendelsesområde
3.1 Denne politik gælder for alle, der håndterer eller overfører Huuray-oplysninger, herunder
- Medarbejdere
- Entreprenører
- Agenturets personale
- Leverandører
- Huurays agenter og partnere
3.2 Alle personlige, følsomme og fortrolige oplysninger som defineret i afsnit 2 er dækket af politikken.
4 Sikker opbevaring af personlige og andre følsomme oplysninger
4.1 Det er imod Huurays politik at indsamle og opbevare personlige og følsomme data ved brug af mobile enheder, flytbare medier eller apps, der ikke er en del af virksomheden.
4.2 Papiroptegnelser, mobile enheder og flytbare medier, der indeholder personlige og følsomme oplysninger, skal opbevares sikkert i kontorlokaler. Dette indebærer at opbevare dem i aflåste skabe, når de ikke er i brug, og sikre, at nøgler ikke er tilgængelige for uautoriserede personer.
4.3 Opbevaring af personlige og følsomme data i papirjournaler skal minimeres, hvor det er muligt.
4.4 Pen-drev og bærbare harddiske kan kun bruges under ekstraordinære omstændigheder og kun ved hjælp af enheder leveret af Huuray’s IT-afdeling.
4.5 Personlige og andre følsomme data må ikke efterlades uden opsyn, hvor nogen kan få adgang til dem, såsom på skriveborde, vindueskarme, korridorer, printere og fotokopieringsmaskiner.
4.6 Personlige og andre følsomme oplysninger må ikke downloades eller overføres til arbejdet på en enhed, der ikke er udstedt af virksomheden, f.eks. din egen hjemmecomputer eller mobiltelefon.
4.7 Alt IT-udstyr, der bruges til at behandle personlige eller følsomme oplysninger, skal være beskyttet med adgangskode eller PIN-kode og må aldrig efterlades synligt på en skærm, når udstyret er uden opsyn.
4.8 Personlige og andre følsomme data må aldrig uploades/opbevares i en cloud-lagerfacilitet (tredjeparts internetside), der ikke leveres af Huuray, medmindre vi har en datadelingsaftale med tredjeparten, og overførslen af data er blevet godkendt af den relevante Information Asset Owner/Assistant Director (DPO). Rådgivning fra IT om potentielle sikkerhedsrisici skal søges og rapporteres til DPO før godkendelse.
- At tage information med ud af kontoret
5.1 Personlige eller andre følsomme oplysninger må ikke tages ud af kontoret, medmindre det er absolut nødvendigt at gøre det med henblik på at udføre dine Huuray-pligter og kun med tilladelse fra den relevante DPO.
5.2 Når papirarkiver og Huuray-godkendte mobile enheder eller flytbare medier, der indeholder personlige eller andre følsomme oplysninger, tages ud af kontoret, skal de opbevares sikkert, transporteres sikkert og aldrig efterlades uden opsyn, hvor de kan tilgås af uautoriserede personer, såsom i køretøjer eller i områder, der er tilgængelige for offentligheden.
5.3 Papirjournaler, der indeholder personlige eller følsomme oplysninger, må kun tages med hjem med tilladelse fra den relevante DPO. Papirjournaler, der indeholder personlige eller andre fortrolige data, skal opbevares sikkert og adskilt fra værdifulde genstande som f.eks. bærbare computere. Det skal registreres, hvilke oplysninger der tages med ud af huset, hvornår de tages med, af hvem og hvornår de returneres.
5.4 Papirjournaler må ikke opbevares i hjemmet længere end nødvendigt og skal returneres til kontoret ved førstkommende lejlighed.
5.5 Hvis du har brug for at tage data med dig på en godkendt Huuray-mobilenhed eller et flytbart medie, skal du ikke uploade mere data end nødvendigt, kun opbevare det så længe som nødvendigt og slette dataene fra enheden med det samme, når adgang ikke længere er påkrævet.
5.6 Familiemedlemmer eller andre uautoriserede personer må ikke have adgang til personlige oplysninger, i noget format, som tages med hjem.
- Deling af information – Beslutningen om at gøre dette
6.1 Personlige, følsomme og andre fortrolige data bør ikke deles, medmindre:
- Du har passende dokumenterede protokoller for informationsdeling (aftale om informationsdeling/behandling) på plads med det agentur eller den person, hvor information deles regelmæssigt med dem.
- Ejeren af informationsaktiverne har godkendt datadelingen.
- Privatlivserklæringen for dit serviceområde dækker datadeling/behandling
- Du har sikret dig, at dataene kun udleveres på need-to-know-basis.
- Du har ret til at dele oplysningerne, de tilhører ikke en anden organisation/tredjepart, og du deler kun de data, der er nødvendige, og ikke mere.
6.2 Før du sender oplysninger til nogen, er det vigtigt, at du sikrer dig, at dette er passende og autoriseret. Uanset om rekvirenten er intern eller ekstern, må du ikke antage, at nogen har ret til oplysningerne, bare fordi de har fortalt dig, at de har brug for dem.
6.3 Kontrollér, at du ikke giver flere oplysninger, end der er brug for til det angivne formål. Send ikke et helt dokument eller regneark, fordi det er lettere, når der kun er brug for et afsnit eller bestemte kolonner.
6.4 Personoplysninger må ikke udleveres til nogen ekstern organisation, hvis anonymiserede eller statistiske oplysninger kan bruges som alternativ.
6.5 Brug af persondata til træningsformål bør altid anonymiseres, medmindre du har tilladelse fra den registrerede.
6.6 Til systemtest bør du kun bruge personoplysninger, hvis det er nødvendigt at gøre det, og der er tilstrækkelige sikkerhedsforanstaltninger på plads, og ingen test bør udføres på live-databaser, der har adgang til live-personfølsomme data.
- Deling af oplysninger elektronisk – hvordan kan jeg gøre det sikkert?
7.1 Der findes en række løsninger til sikker deling af personlige og følsomme data, som giver forskellige fordele. Disse metoder omfatter:
- Sikker e-mail – Egress eller Trusted Organizations
- Filkrypteringssoftware (7zip med 256bt-kryptering) ESET
- Virksomhedens Pendrive
7.2 Hvordan man deler data sikkert ved hjælp af disse forskellige metoder, er forklaret i dette dokument. Før du beslutter dig for en bestemt dataoverførselsmetode (eller kombination af metoder), skal du først overveje;
- Hvor dataene skal overføres til – internt eller eksternt
- Skal dataene krypteres i hvile eller kun i transit?
- Dataenes følsomhed – er dataene meget følsomme (selv om det kun er 1 post)?
- Mængden af data – og er der mange optegnelser, der indeholder personlige data
- Størrelsen på den datafil, der overføres – en stor filstørrelse kan give problemer for både afsender og modtager.
7.3 Vigtigt – Du må kun sende oplysninger, der er nødvendige for det angivne formål, og du bør derfor sikre dig, at du fjerner eller redigerer alle unødvendige data inden overførslen.
7.4 Du kan kun bruge de virksomhedsgodkendte beskedtjenester til at kommunikere Huurays forretning, og ingen personlige data bør deles, når du gør det. Beskedtjenester er ikke en erstatning for e-mails og bør kun bruges til spørgsmål eller meddelelser, der skal kommunikeres med det samme.
7.5 Vigtigt – Hvis du ikke er i stand til at sende personlige eller andre følsomme oplysninger sikkert via en elektronisk overførselsmulighed, så se afsnit 9 for andre godkendte overførselsmetoder.
- Brug af e-mails til at dele data
Begræns, komprimér og beskyt de data, der skal leveres
8.1 Når man deler data via e-mail, er der vigtige skridt, man kan tage for at beskytte den enkeltes ret til privatliv. Det er god praksis at tænke over, hvordan man inkluderer så få personlige oplysninger som muligt i en e-mail, hvilket også bør omfatte oplysninger, der gives i brødteksten i en e-mail.
8.2 Hvor det er muligt, bør brugerne forsøge at bruge begrænsede data eller referencedata om personen/personerne, såsom ID-numre.
8.3 Du bør også overveje mængden af, dokumentstørrelsen og/eller følsomheden af de oplysninger, der sendes. Hvis oplysningerne er vedhæftet en e-mail, og du mener, at der er behov for yderligere sikkerhed, kan du også kryptere og passwordbeskytte den vedhæftede fil. Sørg for, at du ikke giver adgangskoden på samme måde, som du sender dokumentet.
8.4 Søg venligst råd hos IT-afdelingen, hvis du er i tvivl om 7zip-filkomprimering eller krypteringssoftware og adgang til dette.
Interne e-mails
8.5 E-mails til folk, der også bruger det samme Huuray-netværk som os, er sikre. Dataene forlader ikke vores netværk, som er beskyttet mod andre via firewalls og andre sikkerhedsforanstaltninger. Dette beskytter dog ikke data fra at blive sendt til en forkert modtager.
forkert modtager, så man skal være forsigtig, når man vælger eller indtaster en modtagers modtagerens e-mailadresse.
8.6 Distributionslister bør aldrig bruges til at kommunikere personlige og følsomme oplysninger, og sådanne oplysninger bør kun sendes til generiske eller team-e-mailkonti, hvis de er blevet godkendt af DPO til dette formål.
Eksterne e-mails
8.7 Du bør altid bruge e-mailkryptering på e-mails til eksterne adresser, når indholdet af din e-mail eller vedhæftede filer i den indeholder personoplysninger, fortrolige oplysninger eller forretningsfølsomt indhold. Når en e-mail forlader Huuray-netværkets beskyttelse på vej til en ekstern e-mail-adresse, rejser den over internettet, som er et usikkert netværk. Det betyder, at en person med viden og mulighed for at opsnappe din e-mail kan læse dens indhold.
8.8 Distributionslister bør aldrig bruges til at kommunikere personlige og følsomme data.
8.9 Når du sender e-mails til flere modtagere, skal du bruge BCC-feltet, så eventuelle personlige e-mailadresser ikke er synlige.
- Brug af andre metoder til at overføre data
9.1 Når en sikker elektronisk overførselsmetode ikke er tilgængelig, kan en af følgende metoder overvejes:
- Intern post
- Post
- Kurér
- Manuel levering/afhentning Intern post
9.2 Alle dokumenter eller bærbare medier som DVD’er, CD’er osv., der indeholder personlige eller andre følsomme data, som overføres ved hjælp af Huurays interne posttjeneste, skal altid sendes i en forseglet kuvert til en navngiven modtager. Hvis det anses for upassende for andre end modtageren at se personlige oplysninger i et dokument
personlige oplysninger i et dokument, skal kuverten være tydeligt mærket “Fortroligt – kun
kun adressat”.
9.3 Hvis det er nødvendigt at sende en stor mængde papirarbejde, f.eks. en eller flere filer, skal der bruges en robust, manipulationssikker kuvert.
9.4 Hvis oplysninger anses for at udgøre en rimelig høj risiko, hvis de går tabt eller bliver forlagt, skal de så vidt muligt afleveres personligt til modtagerafdelingen.
Post
9.5 Vi sender rutinemæssigt breve med personlige og følsomme oplysninger til vores kunder. Men selvom det er rutine, skal man stadig være omhyggelig med at sikre, at oplysningerne er korrekt adresseret til en navngiven modtager, og at oplysningerne ikke ved en fejl sendes til den forkerte modtager. Post, der går til den forkerte modtager, er en fare for den person, hvis oplysninger bliver sendt. Det sætter også Huuray i fare for at overtræde vores ansvar i henhold til DPA.
9.6 Når personlige eller følsomme data sendes med posten, skal du tydeligt markere kuverten med en returadresse i tilfælde af forkert levering.
9.7 Når de oplysninger, der skal sendes, er personoplysninger i en særlig kategori, skal følgende altid overvejes, når det besluttes, hvilket overførselsmiddel der er passende:
- Oplysningernes præcise karakter, deres følsomhed, fortrolighed eller værdi.
- Hvilken skade eller nød, der kan forårsages for enkeltpersoner, hvis oplysningerne går tabt eller tilgås af uautoriserede personer.
- Den effekt, et eventuelt tab ville have på Huuray
- Hvor meget det haster med at give oplysningerne under hensyntagen til effekten af ikke at sende dataene eller enhver forsinkelse i at sende dem.
9.8 Hvis det anses for hensigtsmæssigt at sende særlige kategori personlige oplysninger med standard posttjenester, skal følgende trin tages
- Kuverten, som oplysningerne skal sendes i, skal være tydeligt adresseret til en navngiven modtager.
- Adressen skal kontrolleres omhyggeligt, og hvor det er relevant, skal modtageren kontaktes direkte for at bekræfte, at adressen er korrekt og ajourført.
- Oplysningerne skal sendes via en sporbar metode, f.eks. anbefalet post, medmindre DPO’en har godkendt standardpost som passende.
- Det skal hurtigst muligt kontrolleres, at varen er leveret, og eventuelle problemer skal straks rapporteres til din nærmeste leder.
- Returnerede forsendelser må ikke sendes igen til den samme adresse uden yderligere kontrol for at bekræfte, at adressen er korrekt og aktuel.
Kurér
9.9 Når du bruger en kurer til at transportere personlige oplysninger, skal du sikre dig, at de er kendte og betroede til at operere inden for passende sikkerhedsstandarder. Før du udleverer dokumenter eller bærbare medier, skal du sikre dig, at de er dem, de udgiver sig for at være, og bede om en passende form for identifikation og en underskrift som kvittering for modtagelsen.
Manuel levering/afhentning
9.10 Når det ikke anses for hensigtsmæssigt at overføre personlige oplysninger via standardposttjenester eller kurer, skal oplysningerne leveres personligt til modtageren, eller der skal laves en aftale om, at dataene indsamles, og der skal føres et register, som omfatter:
- En kort beskrivelse af de leverede oplysninger
- Hvornår den blev givet
- Modtagerens navn og kontaktoplysninger, deres betegnelse, hvis relevant, og underskrift.
9.11 Som med kurerafhentninger bør du, før du afleverer dokumenter eller bærbare medier, sikre dig, at modtageren er den, han/hun udgiver sig for at være, og søge en passende form for identifikation.
- Kontrol af oplysninger, før de sendes
10.1 Når persondata i en særlig kategori eller persondata, der på anden måde kan forårsage skade eller lidelse, hvis de videregives til en tredjepart, sendes uden for Huuray i et hvilket som helst format, bør afsenderen overveje at få oplysningerne kontrolleret af en anden person, før de sendes. Bemærk venligst, at dette ikke overfører ansvaret for at sikre, at de korrekte oplysninger er indhentet i første omgang.
Den person, der sender oplysningerne, er ansvarlig for:
- Sikre, at den e-mail- eller postadresse, som oplysningerne sendes til, er korrekt og opdateret.
- Sørge for, at når oplysninger leveres i papirform, er en navngiven modtager af oplysningerne tydeligt angivet.
- Tydelig mærkning af kuverten/pakken med en returadresse i tilfælde af forkert levering.
- Sikre, at der ikke ved en fejl er medtaget oplysninger om tredjeparter, hverken i et brev/en e-mail eller et vedhæftet dokument (eller hvis et regneark har flere regneark).
Den person, der kontrollerer oplysningerne, er ansvarlig for:
- Kontrollere, at den e-mail- eller postadresse, oplysningerne sendes til, er korrekt ved at henvise til en passende kilde og sikre, at eventuelle uoverensstemmelser tages op med afsenderen.
- Når oplysningerne leveres i papirform, at kontrollere, at den korrekte navngivne modtager af oplysningerne er blevet angivet.
- Kontrollere, at der ikke ved en fejl er medtaget oplysninger om tredjeparter, hverken i et brev/en e-mail eller i vedhæftede dokumenter.
- At registrere, at de har kontrolleret e-mailen, brevet og/eller vedhæftede filer.
- Dataportabilitet
11.1 Hvor personoplysninger behandles på grundlag af samtykke og ved hjælp af automatiserede metoder, kan registrerede anmode om at få deres personoplysninger overført direkte fra en dataansvarlig til en anden, hvor dette er teknisk muligt.
11.2 Hvis du modtager en anmodning fra en registreret om at overføre deres personoplysninger i en bærbar form eller til en anden organisation, bedes du kontakte databeskyttelsesrådgiveren for at få råd om, hvordan du fortsætter.
- Brud på datasikkerheden
12.1 Brud på datasikkerheden omfatter både bekræftede og mistænkte hændelser.
12.2 En hændelse i forbindelse med denne politik er en begivenhed eller handling, der kan kompromittere fortroligheden, integriteten eller tilgængeligheden af systemer eller data, enten utilsigtet eller bevidst, og har forårsaget eller har potentiale til at forårsage skade på Huuray ‘informationsaktiver og / eller omdømme.
12.3 En hændelse inkluderer, men er ikke begrænset til, følgende:
- tab eller tyveri af fortrolige eller følsomme data eller udstyr, hvor sådanne data er gemt (f.eks. tab af bærbar computer, USB-stick, iPad / tablet-enhed eller papirrekord);
- tyveri af udstyr eller fejl;
- systemfejl;
- uautoriseret brug af, adgang til eller ændring af data eller informationssystemer;
- forsøg (mislykkede eller vellykkede) på at få uautoriseret adgang til information eller IT-system(er);
- uautoriseret videregivelse af følsomme/fortrolige data
- defacement af hjemmeside.
- hackerangreb.
- uforudsete omstændigheder som f.eks. brand eller oversvømmelse.
- menneskelige fejl.
- ‘blagging’-forbrydelser, hvor information er opnået ved at bedrage den organisation, der har den.
Rapportering af en hændelse
12.4 Enhver person, der har adgang til, bruger eller administrerer Huurays oplysninger, er ansvarlig for straks at rapportere databrud og informationssikkerhedshændelser til DPO (på rg@huuray.com) og vores IT-afdeling (på tech@huuray.com).
12.5 Hvis bruddet opstår eller opdages uden for normal arbejdstid, skal det rapporteres, så snart det er praktisk muligt.
12.6 Rapporten skal indeholde fuldstændige og nøjagtige oplysninger om hændelsen, hvornår bruddet fandt sted (datoer og tidspunkter), hvem der rapporterer det, hvis dataene vedrører personer, oplysningernes art, og hvor mange personer der er involveret.
Inddæmning og genopretning
12.7 DPO’en vil først afgøre, om bruddet stadig finder sted. Hvis det er tilfældet, vil der straks blive taget passende skridt til at minimere effekten af bruddet.
12.8 Den databeskyttelsesansvarlige foretager en indledende vurdering i samarbejde med relevante medarbejdere for at fastslå, hvor alvorligt bruddet er, og hvem der skal lede efterforskningen af bruddet som den ledende efterforskningsansvarlige (dette afhænger af bruddets art; i nogle tilfælde kan det være den databeskyttelsesansvarlige).
12.9 Den ledende efterforskningsansvarlige (LIO) vil fastslå, om der er noget, der kan gøres for at inddrive eventuelle tab og begrænse den skade, bruddet kan forårsage.
12.10 LIO’en vil fastslå, hvem der skal underrettes som en del af den indledende inddæmning, og vil informere politiet, hvor det er relevant.
12.11 Der kan søges rådgivning fra eksperter for at løse hændelsen hurtigt.
12.12 LIO’en vil i samarbejde med de(n) relevante medarbejder(e) afgøre, hvilke foranstaltninger der skal træffes for at sikre en løsning på hændelsen.
Undersøgelse og risikovurdering
12.13 LIO’en vil foretage en undersøgelse med det samme og så vidt muligt inden for 24 timer efter, at bruddet er blevet opdaget/rapporteret.
12.14 LIO’en vil undersøge bruddet og vurdere de risici, der er forbundet med det, f.eks. de potentielle negative konsekvenser for enkeltpersoner, hvor alvorlige eller væsentlige de er, og hvor sandsynligt det er, at de vil forekomme.
12.15 Undersøgelsen skal tage højde for følgende:
- typen af data, der er involveret;
- deres følsomhed;
- den beskyttelse, der er på plads (f.eks. kryptering);
- hvad der er sket med dataene (f.eks. er de blevet tabt eller stjålet);
- om dataene kan blive brugt til noget ulovligt eller upassende;
- registrerede, der er berørt af bruddet, antallet af involverede personer og den potentielle
- virkninger på disse registrerede;
- om der er bredere konsekvenser af bruddet.
Underretning
12.16 LIO og/eller DPO’en vil i samråd med relevante kolleger fastslå, om den danske databeskyttelsesmyndighed skal underrettes om bruddet, og i så fald underrette dem inden for 72 timer efter at være blevet opmærksom på bruddet, hvor det er muligt.
12.17 Hver hændelse vil blive vurderet fra sag til sag, men følgende skal overvejes:
- om bruddet sandsynligvis vil resultere i en høj risiko for negativ påvirkning af enkeltpersoners rettigheder og friheder i henhold til databeskyttelseslovgivningen;
- om en underretning vil hjælpe de berørte personer (f.eks. om de kan handle på baggrund af oplysningerne for at mindske risikoen?
- om underretning vil hjælpe med at forhindre uautoriseret eller ulovlig brug af persondata;
- om der er nogen juridiske/kontraktmæssige krav om underretning;
- farerne ved at underrette for meget. Ikke alle hændelser berettiger til underretning, og overunderretning kan medføre uforholdsmæssigt mange forespørgsler og arbejde.
12.18 Personer, hvis personlige data er blevet påvirket af hændelsen, og hvor det er blevet anset for sandsynligt, at det vil resultere i en høj risiko for negativ påvirkning af personens rettigheder og friheder, vil blive informeret uden unødig forsinkelse. Meddelelsen vil indeholde en beskrivelse af, hvordan og hvornår bruddet fandt sted, og hvilke data der er involveret. Der vil blive givet specifikke og klare råd om, hvad de kan gøre for at beskytte sig selv, og hvilke foranstaltninger der allerede er truffet for at mindske risikoen. Enkeltpersoner vil også blive forsynet med en måde, hvorpå de kan kontakte Huuray for yderligere information eller for at stille spørgsmål om, hvad der er sket.
12.19 LIO’en og/eller DPO’en skal overveje at underrette tredjeparter såsom politiet, forsikringsselskaber, banker eller kreditkortselskaber og fagforeninger. Dette vil være passende, hvis man ved eller mener, at der er foregået ulovlig aktivitet, eller hvis der er risiko for, at der kan ske ulovlig aktivitet i fremtiden.
12.20 Ethvert brud på persondatasikkerheden vil blive registreret, uanset om det var påkrævet at anmelde det.
Evaluering og reaktion
12.21 Når den første hændelse er inddæmmet, vil databeskyttelsesrådgiveren foretage en fuldstændig gennemgang af årsagerne til bruddet, effektiviteten af reaktionen(erne), og om der skal foretages ændringer i systemer, politikker og procedurer.
12.22 Eksisterende kontroller vil blive gennemgået for at afgøre, om de er tilstrækkelige, og om der skal foretages korrigerende handlinger for at minimere risikoen for, at lignende hændelser opstår.
12.23 Gennemgangen vil overveje:
- hvor og hvordan personlige data opbevares, og hvor og hvordan de opbevares;
- hvor de største risici ligger, herunder identifikation af potentielle svage punkter i eksisterende sikkerhedsforanstaltninger;
- om transmissionsmetoderne er sikre; deling af den nødvendige minimumsmængde data;
- medarbejdernes bevidsthed;
- implementere en plan for databrud og identificere en gruppe af personer, der er ansvarlige for at
- reagere på rapporterede brud på sikkerheden.
12.24 Hvis det skønnes nødvendigt, vil en rapport, der anbefaler eventuelle ændringer i systemer, politikker og procedurer, blive præsenteret for Huurays øverste ledelse.
13, Styring af data
13.1 Alle data, der håndteres i Huuray, skal overholde de politikker, der er beskrevet i databeskyttelsespolitikken og i datahåndterings- og overførselspolitikken.
13.2 Manglende overholdelse af disse politikker som medarbejder i Huuray kan resultere i opsigelse af din ansættelseskontrakt.
13.3 Det er af yderste vigtighed, at Huurays datapolitikker følges og opfyldes.
13.4 Disse politikker vil altid være tilgængelige i den mest opdaterede version, for alle medarbejdere, i vores online Elev.io platform.
Rune Eirby Poulsen
CEO – Huuray A/S