PROCEDURE FOR HÅNDTERING AF BRUD PÅ PERSONDATASIKKERHEDEN

Transkript

1 Ikrafttrædelsesdato: 1. juli 2019 (2. udgave) 1. udgave godkendt af: Direktionen d. 14. marts PROCEDURE FOR HÅNDTERING AF BRUD PÅ PERSONDATASIKKERHEDEN OG HVORDAN DU UNDGÅR BRUD PÅ PERSONDATASIKKERHEDEN INDLEDNING Opdager du et brud på persondatasikkerheden, skal du følge de forskrifter som er beskrevet i denne procedure. I Guldborgsund Kommune er det Informationssikkerhedsfunktionen, der i samarbejde med vores DPO beslutter, om et brud på persondatasikkerheden skal anmeldes til Datatilsynet, og om borgeren/den registrerede skal underrettes. FORMÅLET ER: At vi altid overholder gældende lovgivning på området. At vi sikrer en ensartet håndtering af et muligt brud på persondatasikkerheden. ROLLER OG ANSVAR SOM MEDARBEJDER I GULDBORGSUND KOMMUNE ER DET DIT ANSVAR AT: Sikre korrekt håndtering af personoplysninger i den daglige sagsbehandling. I tilfælde af brud på persondatasikkerheden omgående at melde det til din leder. SOM LEDER I GULDBORGSUND KOMMUNE ER DET DIT ANSVAR AT: SAGSBEHANDLER: HENRIK HOUNSGAARD DOKUMENTNR.: /19 SAGSNR.: 19/23322 Brud på persondatasikkerheden omgående meldes til Informationssikkerhedsfunktionen ved brug af Skema til indberetning af brud på persondatasikkerheden, bilag 1. Den registrerede underrettes om bruddet på persondatasikkerheden når Informationssikkerhedsfunktionen vurderer, det er aktuelt, herunder underskriver underretningsbrevet.

2 SIDE 2/10 Dokumentation for underretning af den registrerede i form af kopi af underretningsbrev eller journalnotat ved mundtlig underretning fremsendes til Informationssikkerhedsfunktionen til journalisering på sagen i Acadre. DET ER INFORMATIONSSIKKERHEDSFUNKTIONENS ANSVAR AT: Håndtere alle henvendelser vedrørende brud på persondatasikkerheden efter Informationssikkerhedsfunktionens egne interne procedurer. Kvittere for, beskrive og registrere brud på persondatasikkerheden i Acadre. Om muligt indenfor 72 timer at foretage anmeldelse til Datatilsynet. Understøtte det berørte center i underretningen af den registrerede, når dette vurderes at være aktuelt. BRUD PÅ PERSONDATASIKKERHEDEN OG HÅNDTERING HVAD ER BRUD PÅ PERSONDATASIKKERHEDEN: Eksempler: Følsomme eller fortrolige personoplysninger forekommer i emnesager, som ikke er korrekt adgangsbegrænset i systemet og dermed er tilgængelige for uvedkommende. Personoplysninger sendes til forkert modtager (fx til forkert cpr-nummer via Doc2mail eller send digitalt ) Følsomme eller fortrolige personoplysninger sendes på usikker mail fx ved besvarelse af en henvendelse fra en borger Personoplysninger ligger åbent fremme fx ved en printer, glemt i et mødelokale eller efterladt på skrivebordet i et forladt kontor. Medarbejdere der uforvarende kommer til at ændre eller slette personoplysninger Brud på servere, hvor uvedkommende har fået indsigt i personoplysninger (hackerangreb) Mistet telefon, pc, ipad eller usb-stik der indeholder eller giver adgang til personoplysninger, fx glemt, tabt eller ved indbrud eller tyveri fra bil. I TILFÆLDE AF BRUD PÅ PERSONDATASIKKERHEDEN: Skal du om muligt forhindre en eskalering, ved at stoppe bruddet på persondatasikkerheden, fx o Fjern udskrift med personoplysninger fra printer o Kontakt kollega som ikke har sat korrekt adgangsbegrænsning på sager med persondata, og få det korrigeret o Stop udsendelse af mass s hvis der er konstateret fejludsending Skal du hurtigst muligt kontakte din leder og orientere om det potentielle brud på persondatasikkerheden. Hvis din leder ikke er til stede, kontakter du din Informationssikkerhedskoordinator (ISK er), se Ref. 1.

3 SIDE 3/10 Skal leder eller, ved leders fravær, ISK er rapportere bruddet på persondatasikkerheden til Informationssikkerhedsfunktionen (se bilag 1), eller på telefon o Sikkerhedsfunktionen kvitterer skriftligt for modtagelsen og registrerer/journaliserer bruddet på persondatasikkerheden. Anmelder behøver ikke selv foretage en journalisering. Det er vigtigt at alle potentielle brud på persondatasikkerheden meldes til Informationssikkerhedsfunktionen, så Korrekt underretning til borgere foretages Korrekt anmeldelse til Datatilsynet foretages Gentagelser af fejl og databrud undgås Korrigerende og præventiv handling foretages, så lignende fejl kan undgås i fremtiden Husk, vi lærer af vores fejl. I weekender og faste lukkedage, som fx i juleferien, meldes større og alvorlige brud på persondatasikkerheden til persondatasikkerhedsvagten, som er kommunaldirektøren, på tlf HVORDAN JEG UNDGÅR BRUD PÅ PERSONDATASIKKERHEDEN: Tjek altid modtager af mails en ekstra gang inden du trykker send Tjek altid cpr-nummer en ekstra gang ved sikker kommunikation med en borger og svar aldrig en borger på dennes private , hvis mailen indeholder fortrolige eller følsomme personoplysninger Anvend Send digitalt eller Doc2Mail, når du sender følsomme eller fortrolige oplysninger til en borger. Derved sendes oplysningerne sikkert til borgerens e-boks (borger.dk-adresse). Tjek i øvrigt Guldborgsund Kommunes Retningslinjer for anvendelse af s Ref. 2. Lås altid din skærm når du går fra din computer. Vær sikker på, at du altid printer på en sikker og forsvarlig måde. Se Retningslinjer for print, Ref. 3. Lad aldrig papir med fortrolige eller følsomme personoplysninger ligge fremme. Undlad at åbne usikre og mystiske mails, og klik aldrig på et link hvis du er usikker på hvor det fører hen. Det kan være en måde for hackere at få adgang til systemerne på. Lås fortrolige og følsomme personoplysninger inde i en skuffe eller skab, når du går hjem fra arbejde. Personfølsomme eller fortrolige informationer må ikke tages med hjem på papir, USB-stik, ipads, en bærbar computers drev eller lignende, med mindre der tages særlige forholdsregler (se ref. 4). Journaliser al relevant information i Acadre og/eller områdets godkendte fagsystem. Slet mails med personoplysninger i mailsystemet efter journalisering, og senest efter 30 dage Læg ikke personrelaterede data/informationer på åbne sociale medier.

4 SIDE 4/10 REFERENCER Ref. 1 Ref. 2 Ref. 3 Ref. 4 Ref. 5 Din ISK er eller Informationssikkerhedskoordinator finder du her Procedure for anvendelse af s og SMS Procedure ved print Procedure for tranport af fysiske medier Procedure for oplysningspligt

5 SIDE 5/10 BILAG 1: SKEMA TIL INDBERETNING AF BRUD PÅ PER- SONDATASIKKERHEDEN Findes på Informationssikkerhedssiden på GUFI under procedurer. Udfyldes og sendes til

6 SIDE 6/10

7 SIDE 7/10

8 SIDE 8/10

9 SIDE 9/10

10 SIDE 10/10 ÆNDRINGSLISTE Ikrafttrædelsesdato Udgave Beskrivelse af ændringer 1. april Ny procedure 1. juli Titel ændret fra: Procedure for underretningspligt ved Brud på persondatasikkerheden til Procedure for håndtering af brud på persondatasikkerheden. Sikkerhedsbrud er ændret til brud på persondatasikkerheden i hele dokumentet Indledning: Information om underretningspligt er redigeret. Roller og ansvar: Omformulering af Informationssikkerhedsfunktionens ansvar. Nyt skema, der svarer til indberetningen til Datatilsynet er indsat som nyt bilag 1. Ændringsliste er oprettet