Politikker for persondata, databeskyttelse,

Transkript

1 Politikker for persondata, databeskyttelse, it og kommunikation Godkendt 19. marts 2018

2 Indhold 1. Forord og indledning Forord Indledning Persondatapolitik Indledning Dataansvar / Hvordan behandler vi persondata? Videregivelse af personoplysninger Vi tager databeskyttelse alvorligt Kontaktoplysninger / Data Protection Officer (DPO) Vi sikrer fair og transparent databehandling Vi anvender denne type data Vi behandler kun relevante persondata Vi behandler kun nødvendige persondata Vi kontrollerer og opdaterer persondata Vi sletter persondata, når de ikke længere er nødvendige Vi indhenter samtykke, inden vi behandler persondata Vi videregiver ikke persondata uden samtykke Vi beskytter persondata og har interne regler om informationssikkerhed Cookies, formål og relevans Ret til at få adgang til egne persondata Ret til at få unøjagtige persondata rettet eller slettet Whistleblowerordning på Rybners Databeskyttelsespolitik Indledning Kontaktpersoner Anvendelse af it-systemer og udstyr Databehandleraftaler s- og internetbrug (Sociale medier mv) Passwords Sanktioner Side 2 af 23

3 4. Anvendelse af it til kommunikation på Rybners Indledning og formål politik Generelt Brug af i dagligdagen God postskik Sikker Rybners til private formål Adgang til s Arkivering af s med følsomme eller fortrolige personoplysninger Behandling af en fratrådt medarbejders -konto Eksempler på afsending af sikker post Kommunikation mellem elev og underviser Kalender politik Brevpolitik Formål Poståbning og journalisering Notatpligt Anvendelse af print og kopi Sikkerprint på Rybners Håndtering af følsomt papir (makulering) Side 3 af 23

4 1. Forord og indledning 1.1 Forord Almindelige og følsomme personoplysninger, den registrerede, samtykkeerklæring, databehandleraftale er blot nogle af de mange nye ord og begreber vi kommer til at høre og arbejde meget mere med i fremtiden. Årsagen til ovennævnte skal bl.a. findes i den af EU vedtagne Persondataforordning, som træder i kraft den 25. maj Vi ønsker på Rybners naturligvis at vedkende vores ansvar for at overholde de nuværende og kommende opstramninger inden for dette felt. Det omfatter og involverer rigtig mange ting, ændrede arbejdsgange, mere anvendelse af it. Vi har valgt at erstatte alle tidligere politikker, retningslinjer og procedurer og samle dette i nærværende Politikker for persondata, databeskyttelse, it og kommunikation på Rybners. Vi har med respekt for opgavens aktualitet og omfang, sikret den nødvendige involvering af de ansatte i tilblivelsen af de nye politikker. Overordnet ønsker vi med de foreliggende politikker at præcisere, at vi værner om sikkerhed, både i forhold til anvendelse af it-systemer og udstyr og ikke mindst en sikker håndtering og opbevaring af de mange persondata vi håndterer dagligt. Politikkerne er dermed søgt tilrettelagt ud fra et overordnet fælles bedste, som vi alle er forpligtede til at følge. Derfor følg de anbefalede politikker. Brug sund fornuft. Og er der ting, du bare ikke kan se meningen med i disse politikker, så henvend dig til itafdelingen. På den måde bliver vi alle klogere. Peter Amstrup Administrerende direktør Side 4 af 23

5 1.2 Indledning Vi anvender persondata hver eneste dag, både for ansatte, elever og kursister. Det er vigtigt, at vi har styr på håndteringen heraf. Hertil anvendes forskellige it-systemer, som på den ene eller anden måde opbevarer og holder styr på de mange data. It-systemer er i sagens natur helt afgørende for at understøtte de mange opgaver, hvor håndteringen og anvendelsen af både persondata og itsystemer er helt centrale i det daglige. Vi er nødt til at fastsætte nogle rammer for brugen af it, herunder hvordan vi anvender data samt sikrer opbevaring og sletning af data. Derfor har vi udarbejdet disse politikker, som fastsætter rammerne for brug og anvendelse af it og data på Rybners. EU har skærpet kravene til brugen af it og særligt dokumentationen for brug og anvendelse af persondata. Dette har vi taget højde for og indarbejdet i nærværende politikker. Skolens politikker er opdelt i følgende afsnit: Persondatapolitik, som indeholder en nærmere beskrivelse af hvordan vi håndterer persondata på Rybners Databeskyttelsespolitik på Rybners Anvendelse af it til kommunikation på Rybners med overordnede regler og praksis for, hvordan ansatte og elever skal håndtere kommunikation og anvendelse af it i dagligdagen Personoplysninger er enhver form for information om en identificeret eller identificerbar person. Side 5 af 23

6 Tegningen overfor viser eksempler på, hvad personoplysninger - også kaldet persondata er, og hvad forskellen er på almindelige personoplysninger og følsomme personoplysninger. Kilde: Datatilsynet. 2. Persondatapolitik 2.1 Indledning Dette afsnit indeholder Rybners politik for håndtering af persondata vedrørende ansatte, elever og kursister, samt besøg på hjemmesiden. 2.2 Dataansvar / Hvordan behandler vi persondata? Vi behandler persondata som led i ansættelsen, i forbindelse med elever/kursister og ved besøg på Rybners hjemmeside. Ansatte Vi behandler personoplysninger i forbindelse med rekruttering, ansættelse og fratrædelse af medarbejdere. Ansatte har mulighed for at få indsigt i de oplysninger der behandles og i hvilke systemer persondata opbevares. I forbindelse med fratrædelser gælder særlige procedurer for, hvornår persondata slettes. Elever og kursister Vi behandler personoplysninger i forbindelse med ansøgning, optagelse, studievejledning og undervisning lige indtil en elev eller kursist får sit skolebevis/eksamensbevis eller afbryder sit uddannelses- eller kursusforløb. Hjemmeside Når en bruger besøger vores hjemmeside registrerer vi oplysninger om dette til statistikformål. Vi gør altid brugeren opmærksom på dette ved besøg på hjemmesiden. Rybners opfylder altid gældende love og bekendtgørelser i forbindelse med hjemmesidebesøg. For yderligere henvises til skolens cookiepolitik Videoovervågning på skolens ejendom Vi har på Rybners etableret videoovervågning med henblik på at beskytte skolens aktiver og individer. Der er registreret særlige procedurer for opbevaring og sletning af data. Side 6 af 23

7 2.3 Videregivelse af personoplysninger Som udgangspunkt videregiver Rybners ikke personoplysninger til 3. part. Der kan dog være lovpligtige regler, der regulerer dette. Eksempelvis kan det i forbindelse med skoleskift være nødvendigt at overføre persondata på elever. Der eksisterer særlige procedurer for overførsel af persondata til 3. part. Såfremt der ikke foreligger lovpligtige krav om videregivelse af personoplysninger til 3. part, vil den ansvarlige for behandlingen indhente samtykke fra den person, data omhandler. 2.4 Vi tager databeskyttelse alvorligt For at beskytte persondata bedst muligt vurderer vi løbende, hvor høj risikoen er for, at vores databehandling påvirker den registreredes grundrettigheder negativt. I tilfælde af, at de beslutninger, vi har behov for at træffe, er afhængige af, at vi kan behandle følsomme persondata, biometriske oplysninger eller oplysninger om strafbare forhold, gennemfører vi en analyse af konsekvenserne af databehandlingen for sikring af privatlivsbeskyttelse. 2.5 Kontaktoplysninger / Data Protection Officer (DPO) Rybners er dataansvarlig og er ansvarlig for at sikre, at persondata behandles i overensstemmelse med lovgivningen. Skolen har i samarbejde med ErhvervsSkolernes ItSamarbejde (ESIS) ansat en fælles databeskyttelsesrådgiver (herefter kaldet DPO), som har til opgave at sikre, at regler og procedurer i forhold til behandling af personoplysninger overholdes i det daglige. Spørgsmål til behandlingen af persondata i det daglige på Rybners kan rettes til: Organisationskonsulent Mette Marie Sørensen (Projektleder for Projekt Persondataforordning) DPO en kontaktes kun ved brud på persondatasikkerheden: Kontaktoplysninger DPO: Anders Normann Nielsen anon@esis.dk Mobilnr: Side 7 af 23

8 Når vi i politikkerne fx skriver, at vi beder dig om at stille dine persondata til rådighed for os vil det typisk være en konkret sagsbehandler, som forestår opgaven efter de fastsatte regler herom. 2.6 Vi sikrer fair og transparent databehandling Når vi anmoder om rådighed over persondata, oplyser vi om, hvilke data vi behandler og til hvilket formål. Der udsendes oplysning herom til den berørte på tidspunktet for indsamling af persondata. Vi giver som hovedregel altid besked om indhentelse af oplysninger hos andre forud for, at det sker. Ellers oplyser vi om det senest 10 dage efter, vi har indhentet persondata. Vi oplyser også om formålet med indhentningen og det lovgrundlag, der giver os adgang til at indhente persondata. 2.7 Vi anvender denne type data Vi anvender data for at gøre vores service bedre og sikre kvalitet i vores produkter og tjenester samt i vores kontakt med ansatte, elever og kursister og eksterne. De data vi anvender, omfatter: Vi behandler kun relevante persondata Vi behandler kun data, der er relevante og tilstrækkelige i forhold til de formål, der er defineret ovenfor. Formålet er afgørende for, hvilken type data, der er relevante for os. Det samme gælder omfanget af de persondata, vi bruger. Vi bruger fx ikke flere data, end dem, vi har brug for til det konkrete formål. Inden vi behandler persondata, undersøger vi, om det er muligt for os at minimere mængden af data. Vi undersøger også om nogle af de datatyper, vi anvender, kan bruges i anonymiseret eller pseudonymiseret form. Det kan vi gøre, hvis det ikke indvirker negativt på vores forpligtelser eller den tjeneste eller service, vi tilbyder Vi behandler kun nødvendige persondata Vi indsamler, behandler og opbevarer kun de persondata, der er nødvendige i forhold til at opfylde vores fastsatte formål. Derudover kan det være bestemt ved lovgivning, hvilken type data der er nødvendig at indsamle og opbevare for vores gennemførelse af uddannelserne. Typen og omfanget af de persondata, vi behandler, kan også være nødvendige for at opfylde en kontrakt eller en anden retlig forpligtelse. Side 8 af 23

9 Vi vil gerne være sikre på, at vi kun behandler persondata, der er nødvendige for hvert af vores bestemte formål. Derfor indsamles alene den datamængde, der er nødvendig. For at beskytte mod, at uvedkommende får adgang til persondata, benytter vi også løsninger, der automatisk sikrer, at data kun er tilgængelige for relevante medarbejdere. Der er også indlejret beskyttelse mod, at et ubegrænset antal personer kan få adgang til data Vi kontrollerer og opdaterer persondata Vi kontrollerer, at de persondata, som vi behandler, ikke er urigtige eller vildledende. Vi sørger også for at opdatere persondata løbende. Da vores service er afhængig af, at data er korrekte og opdaterede, beder vi de registrerede oplyse os om relevante ændringer i data. For at sikre kvaliteten af data, har vi vedtaget interne regler og fastlagt procedurer for kontrol og opdatering af persondata Vi sletter persondata, når de ikke længere er nødvendige Vi sletter persondata, når de ikke længere er nødvendige i forhold til det formål, som var grunden til indsamling, behandling og opbevaring af data Vi indhenter samtykke, inden vi behandler persondata Vi indhenter samtykke, inden vi behandler persondata til de formål, der er beskrevet ovenfor, med mindre vi har et lovligt grundlag for at indhente dem. Vi oplyser om et sådant grundlag og om vores legitime interesse i at behandle persondata. Samtykke er frivilligt, og kan til enhver tid trækkes tilbage. Hvis vi ønsker at anvende persondata til et andet formål end det oprindelige, oplyser vi om det nye formål og beder om samtykke, før vi påbegynder databehandlingen. Hvis vi har et andet lovligt grundlag for den nye behandling, oplyser vi om dette. Når vi i vores uddannelser og tjenester har behov for at behandle data om unge under 18, år indhenter vi samtykke fra en forælder. Vi kontrollerer så vidt muligt, at samtykket gives af en forælder med forældremyndighed over barnet. Side 9 af 23

10 2.7.6 Vi videregiver ikke persondata uden samtykke Hvis vi videregiver persondata til samarbejdspartnere og aktører, bl.a. til brug for markedsføring, indhenter vi samtykke og informerer om, hvad data vil blive brugt til. Der kan til enhver tid gøres indsigelse mod denne form for videregivelse. Henvendelser i markedsføringsøjemed kan fravælges i CPRregistret. Vi indhenter ikke samtykke, hvis vi er retligt forpligtet til at videregive persondata, f.eks. som led i indberetning til en myndighed. Vi indhenter samtykke, før vi videregiver persondata til samarbejdspartnere i tredjelande. Hvis vi videregiver persondata til samarbejdspartnere i tredjelande, er vi sikre på, at deres niveau for persondatabeskyttelse passer til de krav, vi har opstillet i denne politik efter gældende lovgivning. Vi stiller bl.a. krav til behandlingen af data, til informationssikkerheden og til opfyldelse af de rettigheder, der foreligger i forhold til f.eks. at modsætte sig profilering og indgive klage til Datatilsynet Vi beskytter persondata og har interne regler om informationssikkerhed Vi har vedtaget interne regler om informationssikkerhed, som indeholder instrukser og foranstaltninger, der beskytter persondata mod at blive tilintetgjort, gå tabt eller blive ændret, mod uautoriseret offentliggørelse, og mod, at uvedkommende får adgang eller kendskab til dem. Vi har fastlagte procedurer for tildeling af adgangsrettigheder til de af vores medarbejdere, der behandler følsomme persondata og data, der afdækker oplysninger om personlige interesser og vaner. Vi kontrollerer deres faktiske adgang gennem logning og tilsyn. For at undgå datatab tager vi løbende backup af vores datasæt. Vi beskytter også fortroligheden og autenciteten af data ved hjælp af kryptering. I tilfælde af et sikkerhedsbrud, der resulterer i en høj risiko for diskrimination, ID-tyveri, økonomisk tab, tab af omdømme eller anden væsentlig ulempe, vil vi underrette de berørte om sikkerhedsbruddet så hurtigt så muligt. Hvis man har en formodning om, eller opdager et brud på persondatasikkerheden, skal nærmeste leder straks kontaktes Cookies, formål og relevans Hvis vi placerer cookies, informeres om anvendelsen og formålet med at indsamle data via cookiepolitikken. Før vi placerer cookies på udstyr, beder vi om samtykke. Nødvendige cookies til sikring af funktionalitet og indstillinger kan dog anvendes uden samtykke. Flere oplysninger om vores brug af cookies, og om hvordan de slettes eller Side 10 af 23

11 afvises findes på vores hjemmeside. Vejledning om tilbagekaldelse af samtykke findes på vores hjemmeside under cookie-politik Ret til at få adgang til egne persondata Der er til enhver tid ret til at få oplyst, hvilke data vi behandler, hvor de stammer fra, og hvad vi anvender dem til. Det kan endvidere oplyses, hvor længe vi opbevarer persondata, og hvem, der modtager data, i det omfang vi videregiver data i Danmark og i udlandet. Efter anmodning fra den registrerede, kan vi oplyse om de data, vi behandler. Adgangen kan dog være begrænset af hensyn til andre personers privatlivsbeskyttelse, til forretningshemmeligheder og immaterielle rettigheder. Ligeledes er der ret til at gøre indsigelse mod vores behandling af persondata Ret til at få unøjagtige persondata rettet eller slettet. Hvis den registrerede mener, at de persondata, vi behandler om den pågældende, er unøjagtige, er der ret til at få dem rettet. I nogle tilfælde vil vi have en forpligtelse til at slette persondata. Det gælder fx, hvis samtykke trækkes tilbage. Finder den registrerede at data ikke længere er nødvendige i forhold til det formål, som vi indhentede dem til, kan der anmodes om sletning af dem. Hvis det formodes, at persondata bliver behandlet i strid med lovgivningen er det vigtigt at gøre opmærksom om dette. Ved anmodning om at få rettet eller slettet persondata, undersøger vi, om betingelserne er opfyldt, og gennemfører i så fald ændringer eller sletning så hurtigt som muligt. 2.8 Whistleblowerordning på Rybners Rybners har ikke etableret en egentlig whistleblowerordning. Vi har tillid til, at de ansatte anvender og håndterer persondata og it i forhold til den eller de opgaver de er involveret i. Ansatte underskriver en tavshedserklæring og er dermed underlagt tavshedspligt i forhold til de forskellige oplysninger og persondata som de måtte stifte bekendtskab med, som en del af ansættelsen på Rybners. Får man mistanke om ulovligheder eller uregelmæssigheder omkring persondata eller anvendelsen af it, kontaktes nærmeste leder. Side 11 af 23

12 3. Databeskyttelsespolitik 3.1 Indledning Dette afsnit indeholder skolens politik for beskyttelse af skolens data, herunder de persondata, som vi måtte behandle. Databeskyttelse er afgørende af flere grunde. For det første for at sikre, at Rybners følsomme data om elever, kunder, samarbejdspartnere og andre dele af virksomheden ikke kan komme uvedkommende til kendskab. For det det andet for at sikre, at Rybners overholder kravene i persondatareglerne for beskyttelse af persondata, herunder følsomme data om medarbejdere og andre personer. På denne baggrund har Rybners fastsat en række regler for beskyttelse og håndtering af data i virksomheden. 3.2 Kontaktpersoner Såfremt der er i tvivl om eller spørgsmål til databeskyttelsespolitikken eller om datasikkerhed i øvrigt skal it-afdelingen kontaktes på supportit@rybners.dk Såfremt der uforvarende er sket overtrædelse af politikken eller opleves andre tilfælde af brud på politikken eller sikkerheden omkring Rybners data skal nærmeste leder kontaktes straks. 3.3 Anvendelse af it-systemer og udstyr Rybners ønsker at give medarbejdere, elever og kursister gode muligheder for brug af it-systemer og udstyr uden unødvendige restriktioner og samtidig sikre mod misbrug af skolens it-systemer og udstyr af andre systemer udført fra skolens installationer. Vi har tillid til, at medarbejdere, elever og kursister udviser ansvarlighed og sund fornuft ved brug af skolens it-systemer og udstyr, og at hver enkelt bruger gør sig bekendt med skolens generelle regler for anvendelse heraf. Alle anskaffelser af digitalt udstyr i form af pc, tablet, mobiltelefon og software skal ske gennem it-afdelingen via nærmeste leder. Der kan forekomme lokale anvendelsespolitikker med skærpede krav. Brug af it-faciliteterne Undervisnings- og arbejdsrelateret anvendelse af skolens it-systemer og udstyr har altid fortrinsret frem for privat anvendelse Side 12 af 23

13 Skolens it-systemer og udstyr kan benyttes til private formål under hensyn til nærværende politikker It-administratorer skal sikre, at it-systemer og udstyr ikke anvendes i strid med formålet. Det betyder, at it-administratorer kan gennemse e- mail og andre dokumenter. Al trafik logges. Materiale gemt For at undgå misbrug skal brugeren logge af eller slukke, når brugeren forlader udstyret. Netværkets brugere har pligt til at holde egen adgangskode hemmelig. Har en bruger mistanke om, at andre kender ens egen kode, skal brugeren omgående ændre dem Udvis netetik. Det betyder bl.a. at brugeren behandler andre brugere på nettet med respekt. Sørg f.eks. for at egne indlæg altid kan tåle at blive set af udenforstående. Undgå unødig udskrivning. Vær ressourcebevidst. Når der behandles oplysninger elektronisk, benyttes kun sikre og godkendte it-systemer. Anvendelse af privat pc, tablet og mobiltelefon til arbejdsbrug skal ske i overensstemmelse med indgået tro og lovererklæring Hvis man støder på materiale og adfærd, som er i strid med nærværende politikker kontaktes nærmeste leder. Eksempler på uacceptabel brug af it-faciliteterne It-udstyret må ikke bruges til obskøn aktivitet eller aktivitet, der er forbudt ifølge dansk lovgivning, herunder love og regler om ophavsret. Brugeren må ikke ændre maskinens opsætning eller udseende, uden at det er aftalt med den it-ansvarlige. Det er ikke tilladt at bruge it-systemerne og udstyret til kommercielle formål, privat markedsføring, politisk agitation eller offentliggørelse af private oplysninger om en anden person. Brugerne må ikke logge på med en anden persons identitet eller forsøge at få adgang til andre brugers eller organisationens filer (hacking). Brugeren må ikke skjule sin identitet, bortset fra de tilfælde hvor det eksplicit er tillagt. Brugerne må ikke deltage i kædebreve eller sende uhensigtsmæssigt mange af sted på én gang (spam) Det er ikke lovligt at installere skolens programmer på privat pc, tablet og telefon uden it-afdelingens godkendelse. Der må som hovedregel ikke gemmes oplysninger med følsomt indhold om andre. Konsekvenser ved uacceptabel brug af it-faciliteterne Side 13 af 23

14 Adfærd i strid med it-anvendelsespolitikken medfører sanktioner og i grove tilfælde politianmeldelse. Sanktioner kan være såvel mundtlig eller skriftlig advarsel som bortvisning. På Rybners anvender vi kun it-systemer som er godkendte og installerede af it-afdelingen. Al indkøb og installation af it-systemer foretages som udgangspunkt af it-afdelingen. Der kan være enkeltstående eller særlige forhold som gør, at andre end it-afdelingen installerer it-systemer, f.eks. anvendelse af systemer som driftes af andre. For yderligere omkring indkøb, installation og anvendelse af it-systemer og udstyr henvises til SLA i it-afdelingen. For at kunne udføre support på en effektiv måde, definerer it-afdelingen standarder for anskaffelser, installation/opdatering, indfasning/fornyelse, bortskaffelse af udstyr samt opsætning af pc arbejdspladser og undervisningslokaler, printere mm Databehandleraftaler I forbindelse med persondataforordningen er det vedtaget, at skolen skal indgå aftaler med de it-leverandører, der behandler personoplysninger på skolens vegne. Til brug herfor anvender skolen en standardskabelon udarbejdet til formålet. Der indhentes skriftlig aftale med de it-leverandører, som skolen anvender til behandling af personoplysninger. De indgåede aftaler journaliseres og arkiveres i skolens arkivsystem. Yderligere oplysninger kan fås ved henvendelse til it-afdelingen. Det er kun it-afdelingen, der indhenter og godkender databehandleraftaler s- og internetbrug (Sociale medier mv) Al kommunikation, herunder s på skolens netværk anses for skolens ejendom og skal ske i overensstemmelse med skolens retningslinjer. s og anden kommunikation og internetbrug på skolens udstyr og ejendom, som angår privatsfæren, må kun ske undtagelsesvist og skal overholde gældende regler om it-sikkerhed, adfærd og brug af skolens ejendom. Side 14 af 23

15 Brug af skolens it-udstyr og ejendom må ikke have pornografisk, politisk ekstremistisk eller diskriminerende karakter for så vidt angår alder, handicap, race, køn, etnisk eller social oprindelse eller religion. Ved fratræden og i tilfælde af fritstilling skal alle referencer til nutidig ansættelse eller tilknytning i virksomheden slettes på sociale medier, som medarbejderen kontrollerer og/eller kan ændre i. Filer, der tilhører tredjemand, må ikke downloades i strid med rettigheder eller på anden måde kopieres eller overføres til skolens udstyr og ejendom. Sådanne filer er eksempelvis, men ikke begrænset til, filmklip, billeder, spil, softwareprogrammer og lign. Tilsvarende må der ikke ved brug af sendes materiale i strid med rettighedsreglerne. s fra personer eller virksomheder eller organisationer, der ikke er kendte og spam-mails bør altid håndteres med stor forsigtighed og ved tvivl bør itafdelingen kontaktes. s, filer eller links fra ukendte kilder bør aldrig åbnes eller klikkes på. Tilsvarende gælder s, filer eller links sendt fra kendte kilder, hvis der er nogen grund til tvivl om autenticiteten eller sikkerheden ved det fremsendte. I det omfang der undtagelsesvist kan være behov for at anvende eller håndtere s eller internettet i strid med ovennævnte kræver det godkendelse fra it-afdelingen. 3.6 Passwords I forhold til håndtering af passwords er det vigtigt at være opmærksom på, at: Passwords skal altid opbevares hemmeligt og sikkert. Passwords må ikke oplyses eller videregives til andre. Passwords skal altid ændres med jævne mellemrum, dog minimum en gang årligt. Password skal, hvor det er muligt, være på minimum 8 tegn bestående af tal, bogstaver og tegn. Nedskrevne passwords må ikke opbevares ved pc en. 3.7 Sanktioner Manglende overholdelse af databeskyttelsespolitikken kan afhængig af forholdets grovhed eventuelt medføre tjenestelig påtale, medføre advarsel, opsigelse eller bortvisning. Side 15 af 23

16 4. Anvendelse af it til kommunikation på Rybners 4.1 Indledning og formål I dette kapitel af politikken beskriver vi de forhold, medarbejdere skal være opmærksomme på ved anvendelse af it til kommunikation på Rybners. Dette skal være med til at fremme den elektroniske kommunikation på Rybners mest muligt i forhold til den interne kommunikation kommunikation med elever, studenter og kursister kommunikation med virksomheder og leverandører kommunikation med offentlige myndigheder. Rybners medarbejdere skal derfor opfordre alle samarbejdspartnere til at kommunikere elektronisk med skolen. Rybners har udviklet politikker inden for områder, der kan understøtte en god anvendelse af elektronisk kommunikation. Det være sig , kalender, intranet, internet, portalløsninger m.m. er et centralt arbejdsredskab for skolens medarbejdere til intern kommunikation og kommunikation med skolens samarbejdspartnere. Nedenstående politik skal understøtte og fremme den gode kommunikation politik Rybners ønsker med denne politik for at skabe klare retningslinjer for medarbejderne om brug af på arbejdspladsen. Rybners ønsker at politikken: sikrer en smidig og effektiv kommunikation mellem skolen og dens interessenter, mellem ledelse og medarbejderne samt medarbejderne imellem sender et signal om, at anvendelse af er en accepteret kommunikationsform på alle niveauer i organisationen, hvorfor medarbejdernes adresse offentliggøres på skolens intra- og internet Microsoft Outlook er programstandard for elektronisk post på Rybners. Medarbejderen kan ligeledes få adgang til mail via en webbrowser. Rybners understøtter brugen af browsere til læsning af s. Anvendelse af webbrowseren foregår ved hjælp af kryptering. Rybners betragter Side 16 af 23

17 medarbejdernes og vedhæftede filer som skolens ejendom (jf. skolens it-anvendelsespolitik) Generelt Alle s skal besvares hurtigst muligt og inden for 2 arbejdsdage. Der skal altid anvendes autosignatur med logo. Retningslinjerne til indhold er beskrevet i vejledningen til opsætning af signatur i Outlook. Denne findes på intranettet. Elektronisk post har status som anden skriftlig kommunikation og skal behandles efter gældende retningslinjer for arkivering, informationsformidling m.v Brug af i dagligdagen Det forventes, at medarbejdere dagligt læser sin på arbejdspladsen. Post må normalt ikke ligge uåbnet i flere dage. Når medarbejderen er forhindret i at åbne sin post, forventes det at anvende ikke til stede funktionen med en besked om, hvornår det igen er muligt at besvare meddelelsen, og hvem man evt. kan kontakte i fraværsperioden. Elektronisk post må ikke anvendes til kommunikation med eksterne postsystemer, hvis den indeholder følsomme oplysninger, medmindre indholdet er krypteret ved brug af en godkendt krypteringsmetode. Medarbejderen skal være forsigtig med at åbne vedhæftede filer i post på grund af risiko for virus. Vedhæftninger af filtypen. SHS,.OCX,.VBS,.EXE,.COM,.BAT,. LNK,.HTM eller HTML kan indeholde skadelige programmer. Medarbejderen skal undlade at åbne en vedhæftning, hvis indholdet er ukendt også selv om afsenderen er kendt. Medarbejderen kan evt. henvende sig til den lokale it-medarbejder God postskik Skriv altid en dækkende tekst i emnefeltet. Giv meddelelsen en form og et indhold, som kan accepteres og forstås af tredjemand. Inkludér eventuelt det, som besvares i meddelelsen. Undgå pjattede, indforståede eller sårende formuleringer,- også i helt uformelle meddelelser. Det virker forkert på tryk. Underskriv meddelelsen med automatisk signatur. Lad være med at sende meddelelser til andre end dem, som skal være orienteret. Undlad at bruge funktionen Blind Copy (BCc). Det er ikke er i overensstemmelse med god postskik. Afsenderen orienteres straks, såfremt der modtages fejlsendt post. Brevfletning bør anvendes ved s indeholdende oplysninger om økonomiske forhold eller lignende til flere modtagere. Side 17 af 23

18 Ved afsendelse af nyhedsbreve eller mass s bør anvendes et specialprogram til dette. Risikoen for at adressen bliver black listed eller ender i spammail, stiger voldsomt ved anvendelse af To, Cc og BCc til et stort antal modtagere. Vær opmærksom på hvor mange modtagere der sendes til. Vedhæftede filer skal sendes i et standard-format, medmindre andet er aftalt med modtageren. Tekstdokumenter sendes i Word- eller PDFformat internt og PDF-format eksternt Send kun meddelelser på papir, som også er sendt med , når det er påkrævet. Lav et godt arkiveringssystem i indbakken med undermapper. Se afsnit Lokal administration Vær opmærksom på ikke at sende for store filer via . Der er en begrænsning på 50 MB. Sikker post via e-boks er begrænset til 10 MB inklusiv vedhæftninger og antallet af vedhæftninger er begrænset til 10 styk. Arkiver s med jævne mellemrum. Rybners postkasser har normalt en maksimal størrelse på 10 GB. Større postkasser kan aftales ved henvendelse til it-supporten. Mappen slettet post, slettes fra centralt hold med jævne mellemrum. En centralt administreret sletteregel sikrer, at s i slettet post endeligt slettes, når den er ældre end 30 dage Sikker Rybners ønsker, at anvendes i udstrakt grad og anvender værktøjer, der kan håndtere krypteret trafik, hvor der er behov for at kommunikere ved hjælp af sikker . Med dette understøtter skolen det offentliges ønske om sikker digital kommunikation med offentlige myndigheder. I afsnit er angivet hvilke informationer, der aktiverer krav om sendt som sikker post Rybners til private formål Rybners accepterer ikke, at medarbejderne anvender deres adresse til private formål Adgang til s I særlige tilfælde kan skolen skaffe sig adgang til en medarbejders . Det sker kun undtagelsesvist og i tilfælde af problemer med løsning af arbejdsopgaver, hvor de manglende oplysninger findes i en medarbejders e- mail, og hvor medarbejderen ikke kan kontaktes. Situationen kan eksempelvis Side 18 af 23

19 opstå ved ferie eller langtidssygdom, eller hvor medarbejderen på anden måde er indisponibel. Medarbejderne opfordres derfor til tydeligt at separere deres s ved at navngive og anvende arkiver entydigt. Adgang til medarbejdernes kan kun ske ved henvendelse fra afdelingens ledelse til it-chefen eller et medlem fra direktionen. Adgangen sker kun med tilstedeværelse/aftale med en itmedarbejder, tillidsrepræsentant og afdelingsledelsen. Medarbejderen oplyses hurtigst muligt om formålet med og begrundelsen for, at der har været foretaget adgang til den pågældendes Arkivering af s s af relevans for det videre arbejde i en elev-, medarbejder- eller projektsag arkiveres i arkiveringssystem, så disse kan genfindes. Der gælder generelt et relevanskrav til registrering af personoplysninger. Der må således kun registreres i det omfang, det er nødvendigt med hensyn til registreringens formål. Vi arkiverer derfor kun relevante s og s, der er omfattet af arkivreglerne. I forbindelse med sagsbehandling kan det være en fordel at have en undermappe i Outlook, så der er et overblik over den aktuelle kommunikation. Når sagsbehandlingen er færdig, gemmes relevante s i arkiveringssystem. s indeholdende personoplysninger må kun kortvarigt gemmes i indbakken eller undermapper samt sendt post. Der er krav om, at persondata for ansatte og elever slettes i henhold til lovmæssige slettefrister. Der må derfor som hovedregel kun kortvarigt, og mens sagen pågår, forefindes s indeholdende persondata i en medarbejders Outlook. Efter endt sagsbehandling slettes uaktuelle s både i indbakke, undermapper, sendt post og slettet post. I forbindelse med arkivering af s skal det præciseres, at slettet post IKKE er et arkiv. En centralt administreret sletteregel sikrer, at s i slettet post endeligt slettes, når de er ældre end 30 dage. Der laves ikke backup af e- mails i slettet post mappen med følsomme eller fortrolige personoplysninger Ved situationer hvor det er nødvendigt at sende mails indeholdende følsomme eller fortrolige personoplysninger internt i organisationen, kan dette gøres i henhold til følgende vejledning: Side 19 af 23

20 Der forudsættes at sendes til samme domæne, f. eks. til At sendes til brugere, der i forvejen har autoriseret adgang til oplysningerne At slettes efter anvendelse såvel fra afsenders udbakke som i modtagers indbakke, samt efterfølgende i mappen slettet post. At sletning af sker inden for en kort tidsperiode, højest en måned. Der skrives ikke cpr.nr. i emnefeltet Behandling af en fratrådt medarbejders -konto Når en medarbejder fratræder, hvilket både gælder frivilligt eller ufrivilligt, aftales det, hvordan medarbejders personlige adresse skal håndteres og lukkes ned. Retningslinjerne gælder i de tilfælde, hvor andet ikke konkret kan anses for aftalt mellem Rybners og medarbejderen. Medarbejderens nærmeste leder har ansvaret for at retningslinjerne følges. Når medarbejderen har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige -konto på arbejdspladsen, må kontoen kun holdes aktiv i en periode, der er så kort som muligt. Periodens længde fastsættes under hensyntagen til den fratrådte medarbejders stilling og funktion og kan maksimalt være på 12 måneder. Snarest muligt efter, at medarbejderen har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige -konto, sættes et auto-svar på -kontoen med besked om medarbejderens fratrædelse og eventuel anden relevant information. Oplysninger om den personlige -adresse skal hurtigst muligt fjernes fra arbejdspladsens hjemmeside og andre offentligt tilgængelige informationssteder. Kun en enkelt eller ganske få betroede medarbejdere bør have adgang til den fratrådte medarbejders personlige -konto. Dette kan kun undtagelsesvist blive aktuelt. Persondatabeskyttelseslovens bestemmelser om beskyttelse af persondata følges, når Rybners som arbejdsgiver holder en fratrådt medarbejders -konto åben. Herunder reglerne om oplysningspligt og indsigtsbestemmelser Eksempler på afsending af sikker post Afsending af sikker post sker, når en indeholder personoplysninger. De oplysninger der skal være indeholdt i en for at den anses for at personfølsom kan være følgende: Side 20 af 23

21 CPR-nummer (må aldrig fremgå af emnefeltet) Helbredsoplysninger Straffeattester Børneattester Fagforeningsforhold Etnisk oprindelse Fødselsdato, hvis det er i sammenhæng med navn og adresse. Hvis der sendes med almindelige oplysninger om en person, så som navn, adresse, postnummer, by og telefonnummer vil det IKKE være nødvendig at anvende sikker post. 4.3 Kommunikation mellem elev og underviser Rybners anvender godkendte læringsportaler som kommunikationsplatform mellem elever og undervisere. Udfærdigelse af breve, mails og andre informationer til eleverne følger overordnet de samme principper, som er gældende for mails og breve. 4.4 Kalender politik Microsoft Outlook kalender er skolens planlægningsredskab i forbindelse med møder, arrangementer, undervisningsskemaer m.m., og alle medarbejdere skal i øvrigt benytte Outlook kalender til disse formål. Fra skolens studieadministrative systemer overføres den enkelte medarbejders undervisningsskema automatisk til medarbejderens Outlook kalender. Dette kan ikke fravælges. Den enkelte medarbejders kalender skal kunne ses af alle medarbejdere på Rybners. Det skal dog bemærkes, at fortrolige dokumenter ikke bør indlejres i mødebooking, men bør eftersendes som mail. Bookes der tid i kalenderen med henblik på kontorarbejde, og hvor man godt vil forstyrres af eksterne telefonopkald via receptionen, skal bookingen benævnes Kontorarbejde. Rybners medarbejdere skal bruge skolens officielle møde-bookingsystem, uanset om det er interne eller eksterne møder. Outlook kalenderen skal derfor være opdateret, også gerne med oplysninger om transport og eventuelt med private aftaler. Det er muligt at markere aftaler som private, så indholdet ikke kan læses af andre, men tidsrummet er angivet som optaget. Side 21 af 23

22 4.5 Brevpolitik Formål Som udgangspunkt benyttes digital post frem for fysisk post. Formålet med brevpolitikken er, at kommunikationen med skolens interessenter, kunder m.fl. skal være venlig, uformel, korrekt, indbydende, saglig, troværdig og forståelig Poståbning og journalisering Mails og fysisk post adresseret til skolen videresendes uden yderligere behandling til rette modtager. Undtaget herfra er mails og fysisk post fra Undervisningsministeriet og øvrige ministerier, post til direktøren, post fra Danske Erhvervsskoler og andre interesseorganisationer, klager, post fra faglige udvalg, Moderniseringsstyrelsen, andre skoler og samarbejdspartnere, post fra faglige udvalg, post fra advokater og revisorer, jobcentre og kommuner, kontrakter og byggesager, som går via skolens sekretariat/direktionssekretariat til fordeling og journalisering. Fysisk post adresseret til enkeltpersoner udleveres uden åbning. Såfremt indholdet falder ind under de kategorier, der skal journaliseres, skal modtageren sende en kopi til journalen. Fysisk post, hvor adresseringen er absolut mangelfuld, åbnes i postmodtagelsen. Besvarelser af henvendelser, der er journaliseret, skal altid sendes i kopi til journalen. 4.6 Notatpligt I sager, hvor der træffes afgørelser, skal der gøres notat om de oplysninger i sagen, der ligger til grund for afgørelsen. 4.7 Anvendelse af print og kopi Sikkerprint på Rybners Vi benytter sikkerprint på Rybners. På den måde minimeres risikoen for, at der ligger uafhentede dokumenter i printeren. Når der printes dokumenter, logger brugeren ind på printeren med nøglebrik eller kode. Side 22 af 23

23 4.7.2 Håndtering af følsomt papir (makulering) Alle papirdokumenter, der indeholder persondata og ikke skal gemmes jfr. Arkivloven bortskaffes efter endt behandling Side 23 af 23