Procedure for sikkerhedsbrud

Relaterede dokumenter
Retningslinje: Sådan håndterer du brud på persondatasikkerheden

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

Persondata og sikkerhedsbrud

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Brud på datasikkerheden

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Retningslinjer om brud på persondatasikkerheden

R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R

Persondata Behandlingssikkerhed. v/rami Chr. Sørensen

Retningslinjer om brud på persondatasikkerheden

R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Databrudspolitik i Luthersk Mission

Retningslinjer om brud på persondata

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

At alle medarbejdere i Center for selvejende Dagtilbud (CSD) har pligt til at anmelde persondatabrud.

Retningslinjer for håndtering af sikkerhedsbrud vedrørende personoplysninger

Brud på persondatasikkerheden

Behandling af personoplysninger

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

BILAG 5 DATABEHANDLERAFTALE

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Oplysningspligt. De registreredes rettigheder, Skoleforvaltningen

Datapolitik/databehandlingsrapport

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

PROCEDURE FOR UNDERRETNINGS- PLIGT VED SIKKERHEDSBRUD

Brud på persondatasikkerheden

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Databehandleraftale (Skabelon fra Datatilsynet)

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

Bilag A Databehandleraftale pr

Bilag B Databehandleraftale pr

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Aftale omkring behandling af persondata.

Anmeldelser per måned

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

Persondatapolitik Vordingborg Gymnasium & HF

Persondatapolitik for Aabenraa Statsskole

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

BILAG 14: DATABEHANDLERAFTALE

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik for Tørring Gymnasium 2018

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

VEJLEDNING TIL BEBOERREPRÆSENTANTER - BESKYTTELSE AF PERSONDATA

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Informationsproces når persondata er blevet kompromitteret

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Databehandleraftale

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Beredskabsplan for Kolding HF & VUC

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Dine rettigheder, når regionen behandler oplysninger om dig

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Persondatapolitik på Gentofte Studenterkursus

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Kontraktbilag 3. Databehandleraftale

Persondatapolitik for Odense Katedralskole

Cirkulæreskrivelse om Styrelsen for It og Lærings opgaver som databehandler i visse administrative systemer på undervisningsområdet

Introduktion til persondataforordning

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Beredskabsplan for Aarhus HF og VUC ved brud på datasikkerheden

Bilag 1 Databehandler aftale (v.1.2)

Databehandleraftale. Mellem. Den dataansvarlige: SimplyJob Aps CVR Måløv Byvej Måløv. Danmark. Databehandleren.

Standardvilkår. Databehandleraftale

Databeskyttelsespolitik

PROCEDURE FOR HÅNDTERING AF BRUD PÅ PERSONDATASIKKERHEDEN

Borgerens rettigheder, når regionen behandler personoplysninger

Alsidig Fysioterapi Politik om Privatlivsbeskyttelse og Datasikkerhed

Privatlivspolitik for Konferencesalen/Storcenter Nord

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

NY PERSONDATALOV. - til dig i afdelingsbestyrelsen

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

PERSONDATAPOLITIK. Jeg optræder som dataansvarlig, når jeg behandler personoplysninger.

PERSONDATAPOLITIK 1. INTRODUKTION

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren TINX/DK A/S CVR

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

Overblik over persondataforordningen

Anmodning om oplysninger i henhold til forordning 376/ Navn: 2. Hvilke oplysninger anmodes der om? 3. Begrundelse for anmodningen:

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Persondatapolitik. I denne politik betyder persondata og data enhver form for information eller oplysning, der vedrører din person.

! Databehandleraftale

DATABEHANDLERAFTALE MELLEM

Click here to enter text. Dokument: Neutr al titel «ed ocaddressci vilcode» Databeskyttelsesrådgiverens rapport for 2018

Transkript:

Procedure for sikkerhedsbrud Aalborg Kommune, Skoleforvaltningen Hvorfor? Et af de afgørende principper i databeskyttelsesretten er accountability, dvs. ansvarlighed. Hvor databeskyttelse tidligere i høj grad byggede på et princip om overvågning og forudgående tilladelser osv., så går man som udgangspunktet nu ud fra, at myndigheder mv. overholder reglerne og selv gennemfører de nødvendige skridt mv. til sikring af borgernes rettigheder. Som en naturlig følge heraf er det nu myndighedernes egen forpligtelse at indberette et brud på informationssikkerheden/persondatasikkerheden til Datatilsynet. Der følger af databeskyttelsesforordningens art. 33, at indberetningen skal ske snarest muligt og gerne senest 72 timer efter, at vi er blevet bekendt med bruddet. Kun såfremt det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder kan sådan indberetning undlades. Anmeldelse skal mindst: 1. beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger 2. angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes 3. beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden 4. beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger. Forvaltningen er endvidere forpligtet til at orientere kommunens centrale databeskyttelsesrådgiver, som afhængig af karakteren orienterer it-sikkerhedse, direktørgruppe og byråd efter sin egen procedure: http://edoc4:8080/locator.aspx?name=dms.document.details.simplified.2&recno=18857469&module=do cument&verid=18302821&subtype=2 Hvad betyder det? Brud på persondatasikkerheden I databeskyttelsesforordningen defineres et brud på persondatasikkerheden sådan: Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret opbevaret eller på anden måde behandlet. Det er vigtigt at bemærke, at brud på datasikkerheden derfor ikke kun er når oplysninger kommer til andres uberettigede kendskab, men også blot når vi af andre grunde mister data.

Der kan f.eks. være tale om: - at vi blive udsat for hackere, - at vi er kommet til at sende personoplysninger til en forkert person(-er)/myndighed, - at vi er kommet til uberettiget at offentliggøre personoplysninger, - at vi (f.eks. pga. brand eller oversvømmelse) i en periode ikke har adgang til, eller at vi permanent må tilintetgøre personoplysninger - at andre personer internt i kommunen får adgang til personoplysninger, som de ikke er autoriseret til, - at vi er kommet til at ændre eller slette personoplysninger ved et uheld. - at manglede kryptering mv. resulterer i, at en eller flere uvedkommende får direkte adgang til andres personoplysninger. Konsekvenser I databeskyttelsesforordningen er nævnt en række eksempler på, hvilke konsekvenser et brud på persondatasikkerheden kan have for fysiske personer. Et sikkerhedsbrud kan, hvis det ikke håndteres på den rigtige måde, få store menneskelige konsekvenser på både kort og længere sigt. Både Datatilsynet og kommunen har derfor opstillet regler og procedurer for at sikre, at reglerne for anmeldelse af brud på persondatasikkerheden overholdes. Herudover har Datatilsynet en række korrigerende beføjelser og kan f.eks. udtale kritik eller udstede et påbud. Afhængigt af omstændighederne i hver enkelt sag kan der imidlertid også blive tale om at sanktionere den manglende efterlevelse af reglerne med bøde. Bødesanktionen vil dog forventeligt hovedsageligt blive taget i brug over for myndigheder, der enten bevidst lader hånt om databeskyttelsesreglerne, groft tilsidesætter disse mod bedre vidende eller som efter brud på persondatasikkerheden undlader at indberette dette/disse. Det er derfor af afgørende betydning, at ingen ansatte tilbageholder viden om et eventuelt sikkerhedsbrud. Vi arbejder i en organisation drevet af mennesker, og hvor der er stor forståelse for, at vi som mennesker begår fejl. Derimod er det ikke acceptabelt at tilbageholde viden herom, idet kommunens mulighed for både at rette op på den enkelte hændelse over for borgeren, samt generelt at søge forebyggelse fremover umuliggøres ved et manglende kendskab hertil. Hvordan gør jeg? Procedure for sikkerhedsbrud Proceduren er illustreret i oversigtsform i slutningen af dette dokument i en printvenlig form til f.eks. opslagstavlen eller lignende. Handling Ansvarlig Hvordan 1) Stands ulykken Hvis en ansat i kommunen har forårsaget eller blot får kendskab til et sikkerhedsbrud, er det vedkommendes pligt øjeblikkeligt at tage de nødvendige skridt til at standse ulykken. Den person, som har forårsaget eller som blot har fået kendskab til sikkerhedsbrud - evt. i samarbejde med nærmeste Afhænger af hvilket sikkerhedsbrud, der er tale om, men det kan f.eks. være hurtigst muligt at fjerne offentliggjort materiale fra nettet eller forsøge at standse tab af fysiske dokumenter, fjerne rettighedsadgange eller lignende. Man bør gøre, hvad man umiddelbart kan og herefter hurtigst muligt gå til punkt 2.

2) Underret Herefter underrettes straks sikkerhedsvagten på sikkerhedsbrudskole@aalborg.dk Denne vil herefter orientere kommunens databeskyttelsesrådgiver, forvaltningsledelse/rådmanden (cc. Kommunikationskontoret) og evt. foranledige den lovpligtige orientering af Datatilsynet. 3) Orienter Hvis ikke allerede nærmeste er orienteret, skal dette gøres. 4) Orienter den presseansvarlige hvis der er tale om en større/alvorlig hændelse 5) Kontakt til forkert modtager Hvis hændelsen omfatter udsendelse Medarbejderen evt. i samarbejde med nærmeste Medarbejderen Mailen skal have overskriften i emnefeltet: HASTER! Sikkerhedsbrud Xindsæt skole/ afdelingsnavnx. Brug gerne denne skabelon: Mail Skabelon.oft Driller linket? Klik Aktivér redigering i gul bjælke øverst på siden. Følgende skal oplyses i mailen: - Hvad er der sket? - Hvorfor skete det (menneskelig fejl, systemfejl, hackere mv.)? - Er ulykken standset og hvordan? - Hvad planlægges der yderligere for at rette op på den konkrete situation (fjerne oplysninger, udsende undskyldning mv.)? - Hvad tænker vi at gøre fremadrettet for at undgå noget lignende? NB! Det er af afgørende betydning, at mailen bliver sendt hurtigt!!! Der skal derfor kun svares hurtigt og overordnet på ovenstående spørgsmål. Hvis der er brug for at undersøge noget nærmere, så skriv det i det pågældende punkt og send alligevel. Så kan modtageren altid kontakte dig senere med henblik på en uddybning. Lederen har pligt til at påse: - at ovenstående mail er afsendt, - at ulykken er standset, - at aftale med medarbejderen, hvem af dem, der tager sig af punkt 4-7, og - at der tages de nødvendige skridt til at forebygge lignende sikkerhedsbrud fremover (se nærmere i punkt 7). - Indenfor kommunens åbningstid: kommunikationskonsulent Cornelius Corneliussen på tlf. 93 52 00 11 eller ccoskole@aalborg.dk - Udenfor kommunens åbningstid (alle dage i tidsrummet 7-23): Forvaltningens pressevagt på tlf. 99 82 10 82 Vi beklager fejlen og anmoder om, at de fejlagtigt modtagne papirer returneres til

af oplysninger til forkert modtager, tager vi straks kontakt til denne. forvaltningen og slettes i modtagerens indbakke og slettet post. 6) Kontakt til skadelidte borger Vi skal som udgangspunkt (snarest og gerne inden 72 timer) også tage kontakt til den eller de borgere, hvis oplysninger er videregivet. Vi behøver ikke tage kontakt, hvis: - hændelsen ikke medfører en sandsynlig risiko for en persons rettigheder, eller - hvis risikoen for den registrerede ikke er høj. Denne vurdering foretages i samarbejde med databeskyttelseskonsulenten. 7) Dokumentation/journalisering Der laves et kort notat om forløbet. Vi oplyser, at vi tager kontakt til den skadelidte borger for at orientere om fejlen. Hvis det gælder så mange borgere, at de ikke kan kontaktes individuelt, laver vi en konkret handleplan. Forklar situationen: - hvilke oplysninger drejer det sig om, - hvor mange borgere og evt. hvem er berørt, - om oplysningerne er fjernet og hvorfra, - hvor lang tid, de har været synlige - og hvis vi ved, hvem der har set dem. Vi beklager naturligvis på forvaltningens vegne. Hvis det gælder så mange borgere, at de ikke kan kontaktes individuelt, laver vi en konkret handleplan. Der oprettes i edoc en særskilt sag om hændelsen med titlen: SK - GDPR - Sikkerhedsbrud under emnenr. 85.10.13 og handlingsfacet A26. Brug gerne denne skabelon: Notatskabelon Driller linket? Klik Aktivér redigering i gul bjælke øverst på siden. Notatet skal beskrive hændelsen og forløbet, herunder ens opfølgning om: - Hvordan undgår vi at gentage fejlen? - Hvis det er en personlig fejl, skal personen så instrueres i systemet, procedure eller lignende? - Hvis det er en systemfejl, skal IT orienteres, og det overvejes, om det skal føre til ændringer i kontrakten. Notatet journaliseres på sagen, og der laves en sagsreference (i edoc-sagen til højre i billedet) til sagsnr. 2018-036152, SK - GDPR - Samlesag, for brud på

persondatasikkerheden / sikkerhedsbrud. Sagsreferencen er vigtig! Notatet sendes endelig til orientering til sikkerhedsbrud-skole@aalborg.dk med overskriften i emnefeltet: Notat, sikkerhedsbrud Xindsæt skole/ afdelingsnavnx. 8) Sagen afsluttes Sikkerhedsvagten Når der er sket orientering af de relevante parter, og sagen er færdigbehandlet (herunder evt. indberetning til Datatilsynet), afsluttes sagen i edoc Formidling af proceduren Som beskrevet ovenfor er det af afgørende betydning for kommunens handlemuligheder og imødegåelse af eventuelle bødeforlæg, at enhver i organisationen er bekendt med forpligtelsen til at reagere ved ethvert sikkerhedsbrud. Denne procedure for sikkerhedsbrud vil derfor indledningsvist blive sendt rundt med onsdagsmailen. Den vil løbende blive opdateret, lagt på sagen i edoc (sagsnr. 2018-025442) og offentliggjort på KLIK under Persondatabeskyttelse. Principperne vil endvidere blive en del af de kommende undervisningsforløb i forvaltningsret og databeskyttelse, samt indgå i det obligatoriske elearnings-forløb for alle nye ansatte i Skoleforvaltningen, administrativt samt pædagogisk personale. Sagsnr. 2018-025442, SK - GDPR - Procedure for sikkerhedsbrud, informationssikkerheden / persondatasikkerheden. Ændringer til dokumentet skal koordineres med databeskyttelseskonsulent Lill-Jana Vandmose Larsen. Senest ajourført den 20. august 2018.

Sikkerhedsbrud (edoc 2018-025442) Brud på persondatasikkerheden opdages Opdages af en ansat (uanset om denne er ansvarlig for bruddet) Opdages af en ekstern, som kontakter os Stands ulykken Den person, der internt i kommunen først bliver (gjort) opmærksom på bruddet, har pligt til at gøre det umiddelbart mulige for at standse/begrænse ulykken Underret STRAKS! Send HURTIGST MULIGT mail til sikkerhedsbrud-skole@aalborg.dk med oplysning om: - Hvad er der sket? - Hvorfor skete det (menneskelig fejl, systemfejl, hackere mv.)? - Er ulykken standset og hvordan? - Hvad planlægges der yderligere for at rette op på den konkrete situation? - Hvad tænker vi at gøre fremadrettet for at undgå noget lignende? Orienter Lederen har pligt til at påse: - at ovenstående mail er afsendt, - at ulykken er standset, - at aftale med medarbejderen, hvem af dem, der tager sig af de næste 3 bokse, og - at der tages de nødvendige skridt til at forebygge lignende sikkerhedsbrud fremover. Kontakt til forkert modtager Vi beklager fejlen og anmoder om, at de fejlagtigt modtagne papirer returneres til forvaltningen og slettes i modtagerens indbakke og slettet post. Vi oplyser, at vi tager kontakt til den skadelidte borger for at orientere om fejlen. Hvis det gælder så mange borgere, at de ikke kan kontaktes individuelt, laver vi en konkret handleplan Kontakt til "skadelidte" borger Forklar situationen: - hvilke oplysninger drejer det sig om, - hvor mange borgere og evt. hvem er berørt, - om oplysningerne er fjernet og hvorfra, - hvor lang tid, de har været synlige - og hvis vi ved, hvem der har set dem. Giv en undskyldning på forvaltningens vegne. Hvis det gælder så mange borgere, at de ikke kan kontaktes individuelt, laver vi en konkret handleplan Dokumentation og journalisering Lav notat om hændelse og opfølgning. Journaliser på edoc-sag Sende mail herom til sikkerhedsbrud-skole@aalborg.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback