Ballerup Kommune Politik for databeskyttelse

Relaterede dokumenter
Politik for informationssikkerheddatabeskyttelse

Informationssikkerhedspolitik

IT-sikkerhedspolitik S i d e 1 9

Politik <dato> <J.nr.>

PSYKIATRIFONDENS Informationssikkerhedspolitik

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Overordnet informationssikkerhedsstrategi

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik

Assens Kommune Sikkerhedspolitik for it, data og information

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

INFORMATIONS- SIKKERHEDSPOLITIK

MedComs informationssikkerhedspolitik. Version 2.2

Informationssikkerhedspolitik Frederiksberg Kommune

Overordnet Informationssikkerhedspolitik

IT-sikkerhedspolitik for

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Region Hovedstadens Ramme for Informationssikkerhed

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Fællesregional Informationssikkerhedspolitik

Politik for Datasikkerhed

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Informationssikkerhedspolitik for Horsens Kommune

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Overordnet it-sikkerhedspolitik for Rødovre Kommune

INFORMATIONS- SIKKERHEDS- POLITIK

Faxe Kommune. informationssikkerhedspolitik

Organisering og styring af informationssikkerhed. I Odder Kommune

Informationssikkerhedspolitik for <organisation>

Fællesregional Informationssikkerhedspolitik

Informationssikkerhedspolitik. Frederiksberg Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

It-beredskabsstrategi for Horsens Kommune

Overordnet It-sikkerhedspolitik

Informationssikkerhedspolitik for Vejen Kommune

IT-SIKKERHEDSPOLITIK UDKAST

OVERORDNET IT-SIKKERHEDSPOLITIK

Overordnet organisering af personoplysninger

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Databeskyttelsespolitik for DSI Midgård

SOPHIAGÅRD ELMEHØJEN

Overordnet organisering af personoplysninger

Assens Kommune Politik for databeskyttelse og informationssikkerhed

It-sikkerhedspolitik for Farsø Varmeværk

It-sikkerhedspolitik for Københavns Kommune

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav

POLITIK FOR INFORMATIONSSIKKERHED

Informationssikkerhedspolitik for Sønderborg Kommune

Databeskyttelsespolitik

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

IT sikkerhedspolitik for Business Institute A/S

NOTAT. Styr på persondata

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

DATABESKYTTELSESPOLITIK

(hver for sig kaldet en "Part" og samlet "Parterne")

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Hovmosegaard - Skovmosen

Politik for informationssikkerhed 1.2

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

IT-sikkerhedspolitik for Lyngby Tandplejecenter

Brud på datasikkerheden

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

IT-SIKKERHEDSPOLITIK

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

1 Informationssikkerhedspolitik

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Informationssikkerhedspolitik For Aalborg Kommune

OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Hillerød Kommune. It-sikkerhedspolitik Bilag 10. Beredskabsplanlægning

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Informationssikkerhedspolitik. for Aalborg Kommune

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Beredskabspolitik for Dahmlos Security [OFF] Gyldig fra d INDLEDNING TILTAG FOR AT OPFYLDE POLITIKKENS FORMÅL...

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

Sikkerhedspolitik. Informationssikkerhedspolitik for DIFO og DK Hostmaster. DK Hostmaster. Godkendt Version / ID 11.1.

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

Beredskabsplan for Kolding HF & VUC

Vejledende tekst om risikovurdering. Datatilsynet og Rådet for Digital Sikkerhed

Databehandleraftale. Mellem. (den Dataansvarlige )

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Transkript:

BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18

Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme for databeskyttelsen i Ballerup Kommune. Politikken skal sikre, at Ballerup Kommune fortsat kan sikre kommunens høje troværdighed, forebygge sikkerhedsbrist og tab af data. Behandlingen af data udgør Ballerup kommunes væsentligste kilder til værdiskabelse i mødet med borgerne. Ballerup Kommune anvender på flere områder og i større omfang digitale løsninger for at leve op til de krav, som borgere, virksomheder, øvrige samarbejdspartnere og lovgivningen stiller til en effektiv administration og til en hurtig og korrekt service overfor kommunens borgere og virksomheder. Politik for databeskyttelse udmøntes af linjeledelse og de eksisterende rolleindehavere i kommunens tværgående styringsstruktur for det digitale område. Egedal, Furesø og Ballerup Kommune har sammen etableret it-driftsselskabet IT-Forsyningen I/S. IT-Forsyningen varetager en væsentlig del af Ballerup Kommunes daglige drift og support. Da IT-Forsyningen ikke er en del af Ballerup Kommunes organisation, bliver IT-forsyningen, i forbindelse med databeskyttelse, betragtet som en ekstern 3. part på lige fod med kommunens øvrige leverandører. Formål Både data og digitale løsninger er nødvendige og livsvigtige for offentlige virksomheder, og databeskyttelse er derfor af vital betydning for Ballerup Kommunes troværdighed og funktionsdygtighed. Formålet med Politik for databeskyttelse er at definere rammer for beskyttelse af kommunens data og særligt sikre, at kritiske og følsomme data og digitale løsninger bevarer deres fortrolighed, integritet og tilgængelighed. Derfor har ledelsen af Ballerup Kommune besluttet et beskyttelsesniveau, der er afstemt efter risiko og væsentlighed samt overholder lovkrav og indgåede aftaler. Sikkerhedsarbejdet tilrettelægges i overensstemmelse med anbefalingerne i informations-sikkerhedsstandarden ISO27001. Hensigten med Politik for databeskyttelse er endvidere at tilkendegive over for alle, som har relation til kommunen, at anvendelse af data og digitale løsninger er underkastet standarder og retningslinjer. På den måde kan sikkerhedsproblemer forebygges, eventuelle skader kan begrænses og reetablering af information kan sikres. Side 2

Sikre kommunens borgere og virksomheder adgang til en stabil og korrekt kommunal service Ballerup Kommune har som målsætning, at servicere kommunens borgere og virksomheder på bedst mulige måde. Politik for databeskyttelse har som mål at sikre en tilgængelighed og pålidelighed i kommunens håndtering af data og sikre at de digitale læsninger understøtter en korrekt borgerservice. Herigennem kan kommunen opnå og bibeholde troværdighed over for kommunens borgere, virksomheder og det offentlige som helhed. Fortrolighed i forvaltningen Det er kommunens målsætning, at de digitale løsninger og forvaltningen som helhed skal sikre, at behandlingen af data og informationer sker med fortrolighed og i overensstemmelse med god offentlig forvaltningsskik. Politik for databeskyttelse skal derfor medvirke til, at informationer om borgerne og virksomheder holdes fortroligt for uvedkommende. Gyldighed og omfang Kommunens Politik for databeskyttelse er gældende for alle data, der tilhører kommunen - herunder også data som ikke tilhører kommunen, men som Ballerup Kommune kan gøres ansvarlig for. Dette omfatter alle kommunens afdelinger, enheder og institutioner, hvor der sker en indsamling, anvendelse og eventuel bearbejdning af data. Det inkluderer f.eks.: alle data om personale alle data om finansielle forhold alle data som bidrager til administration af kommunen alle data der omhandler virksomheder og borgerne, også når borgeren er en elev eller forælder. Politikken omfatter også anlægsdata samt andre former for data som er overladt kommunen af andre. Disse data kan være faktuelle oplysninger, optegnelser, registreringer, rapporter, forudsætninger for planlægning eller enhver anden information, som kun er til intern brug. Politikken omfatter kommunens data ligegyldigt i hvilken form de opbevares og formidles på. Side 3

Denne politik gælder for alle ansatte uden undtagelse, både fastansatte, politikere og personer som midlertidigt arbejder for Ballerup Kommune. Alle disse personer bliver her betegnet som medarbejdere. Politik for databeskyttelse gælder tillige for eksterne parter, herunder medarbejdere ansat i virksomheder, som varetager den udliciterede it-drift, supplerende it-arbejdspladser i hjemmet eller andre lokaliteter uden for kommunen, der ad elektronisk vej etablerer forbindelse til kommunens systemer og data. Ballerup Kommune skal sammen med samarbejdspartnere af den udliciteret eller hostet it-drift sikre, at kommunens sikkerhedsniveau fastholdes. Dette gælder ligeledes, når samarbejdspartneren anvender eksterne konsulenter til løsning af it-opgaver. Sikkerhedsniveau Ballerup Kommune skal træffe fornødne foranstaltninger til at beskytte oplysninger om personer mod uautoriseret anvendelse og mod fejl i de registrerede eller forarbejdede oplysninger. Sikkerhedsniveauet og it anvendelsen i Ballerup Kommune skal til hver en tid være i overensstemmelse med gældende lovgivning og skal sikre, at kommunen kan opfylde sine kontraktuelle forpligtelser. Ballerup Kommune fastlægger på baggrund af konkret risikovurdering et sikkerheds-niveau, som svarer til betydningen af de pågældende data. Ballerup Kommune sikrer løbende overholdelses af gældende lovgivning og regler samtidigt med at de digitale redskaber designes så de understøtter smidige og effektive arbejdsgange. I al behandling af data sikrer Ballerup Kommune korrekt sikkerhed og beskyttelse af data, samt at data er valide: Alle data har en entydig autoritativ kilde dvs. data fødes og vedligeholdes, hvor viden om data er, og når data benyttes udenfor den autoritative kilde, skal disse altid være opdaterede og retvisende i forhold til den autoritative kilde Medarbejdere sikres adgang til alle nødvendige data for at træffe oplyste og korrekte beslutninger i en given sag i henhold til gældende lovgivning Den korrekte identitet bag en given adgang til systemerne er kendt og autoriseret. Side 4

Afbalanceret og styret databeskyttelse Ballerup Kommune har som målsætning, at databeskyttelsen overholder gældende lovgivning og fastlægger på baggrund af konkret risikovurdering et sikkerheds-niveau, som svarer til betydningen af de pågældende data. Sikkerhedsniveauet skal fastholdes igennem såvel tekniske som organisatoriske rammer. Dermed spiller såvel tekniske kontroller som organisationens og brugernes adfærd en væsentlig rolle i forhold til den samlede databeskyttelse. Samtidig skal det sikres, at politikken implementeres på en måde, så de forretningsmæssige processer understøttes bedst muligt, inden for de givne juridiske rammer. Ansvar for/godkendelse af Politik for databeskyttelse Kommunalbestyrelsen har det overordnede ansvar for Politik for databeskyttelse og herunder fastlæggelse af de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger for overholdelse af lovgivning, sikkerhedsbestemmelser m.m. I hver valgperiode godkender Kommunalbestyrelsen Politik for databeskyttelse og skal en gang i hver valgperiode have en redegørelse for sikkerhedsarbejdet i kommunen. Herudover skal Digitaliseringssekretariatet gennemgå politikken mindst en gang årligt med henblik på at sikre, at den er fyldestgørende og afspejler de faktiske forhold. Det operationelle ansvar for styring af databeskyttelsen er placeret hos chefen for Digitaliseringssekretariatet. Denne har ansvaret for, at de aktiviteter, standarder, retningslinjer, kontroller og foranstaltninger, der er beskrevet i sikkerhedsportalen, gennemførers og efterleves. Sekretariatschefen skal ligeledes sikre, at kommunens ledere integrerer politikken i alle forretningsgange, driftsopgaver og projekter. Sikkerhedsdokumentation Politik for databeskyttelse og de fastsatte retningslinjer er grundlaget for det daglige databeskyttelsesarbejde, inkl. de sikkerhedsadministrative opgaver. Det er den enkelte leders ansvar, at enhver medarbejder i kommunen med adgang til administrative systemer og data har kendskab til Politik for databeskyttelse og de tilhørende retningsliner, som er relevante for deres arbejde i kommunen. Det skal til hver en tid være muligt for medarbejderne at få adgang til retningslinjer Side 5

og underliggende procedurer, hvis der måtte være brug for dette. Politik for databeskyttelse med tilhørende Retningslinjer for databeskyttelse skal være tilgængelig på Ballerup Kommunens hjemmeside og intranet. Nye medarbejdere skal ved ansættelsen introduceres til de gældende databeskyttelseskrav og informeres om den forventede adfærd i relation til disse. Beredskabsplanlægning I samarbejde med leverandører af kommunens it-drift, skal der etableres et beredskab, som skal sikre, at Ballerup Kommune i tilfælde af større driftsnedbrud eller egentlige katastrofer er i stand til at genoptage kritiske forretningsmæssige aktiviteter inden for en ledelsesgodkendt tidshorisont. Større driftsnedbrud eller katastrofer betyder tab af tilgængelighed af væsentlige systemer, udstyr og/eller faciliteter, hvorfor retablering af tilgængeligheden af disse er et centralt område i beredskabsplanlægningen. Beredskabsplanlægningen skal indgå som en del af den samlede beredskabsplan for Ballerup Kommune. Der skal minimum én gang årligt foretages en gennemgang af den aktuelle beredskabsplan. Databeskyttelsesbevidsthed Databeskyttelsesbevidsthed vedrører kommunens samlede dataportefølje, og gennemførelse af en politik for databeskyttelse kan ikke foretages af ledelsen alene. Alle medarbejdere har et ansvar for at beskytte kommunens data mod uautoriseret adgang, ændringer og ødelæggelse samt tyveri. Alle medarbejdere skal derfor uddannes i databeskyttelse i relevant omfang. Som brugere af Ballerup Kommunes data skal alle medarbejdere følge Politik for databeskyttelse og de tilhørende retningslinjer. Medarbejderne må kun anvende kommunens data i overensstemmelse med det arbejde, de udfører i kommunen, og skal beskytte data på en måde, som er i overensstemmelse med informationernes følsomhed. Forebyggende sikkerhed Det er Ballerup Kommunes målsætning, at databeskyttelsen skal sikres gennem forebyggende tiltag og aktiviteter, så medarbejderne i kommunen kan fokusere på borgerservice i stedet for at rette op på sikkerhedsbrud. Databeskyttelse via viden Side 6

Det er Ballerup Kommunes målsætning, at databeskyttelsen skal etableres og fastholdes gennem krav til brugeradfærd, samt en målrettet formidling af viden om databeskyttelse til de medarbejdere og eksterne parter, der har kontakt med de kommunale data, herunder medarbejdere ansat i virksomheder, som varetager it-drift. Brud på datasikkerheden Bevidst eller ubevidst overtrædelse af Politik for databeskyttelse og de tilhørende retningslinjer kan medføre, at kommunens brugere, samarbejdspartnere, borgere mv. oplever kompromittering af relevante data, ustabilitet, uregelmæssigheder og uhensigtsmæssigheder i anvendelse og bearbejdning af kommunens informationer. Dette kan dels medføre forringelse af den kommunale service og kommunens image og dels økonomisk tab. Overtrædelse af Politik for databeskyttelse og hertil knyttede retningslinjer er at betragte, som en tjenstlig forseelse, og skal, i samarbejde med Digitaliseringssekretariatet behandles af den respektive ansvarlige leder som sådan og i overensstemmelse med gældende personalepolitiske bestemmelser herfor. Databeskyttelsesorganisationen skal indrettes, så situationer med overtrædelse eller manglende overholdelse, samt forsøg på uautoriseret anvendelse, kan rapporteres til Digitaliseringssekretariatet via den respektive ansvarlige leder inkl. angivelse af hændelsesforløb og konsekvens til videre behandling. I situationer, hvor ikke alene kommunens databeskyttelsespolitik bliver overtrådt, men også lovgivningsmæssige regler, kan gældende straffelov og andre strafbestemmelser få konsekvenser for de involverede medarbejdere. Organisation og ansvar Kommunalbestyrelsen har det overordnede ansvar for Politik for databeskyttelse og derunder indretningen af databeskyttelsesopgaverne, så de er tilpasset kommunens behov og samtidig opfylder kravene i lovgivningen og god forvaltningsskik. Kommunaldirektøren uddelegerer det daglige ansvar for databeskyttelsesarbejdet til chefen for Digitaliseringssekretariatet. Center-/sekretariatscheferne er systemejere, og hermed ansvarlige for overholdelse databeskyttelsen i de fagspecifikke systemer i deres ansvarsområde. Vedligeholdelse af Politik for databeskyttelse Side 7

De generelle uddybende databeskyttelsesretningslinjer og procedurer struktureres i overensstemmelse med ISO27001 standarden. Retningslinjerne skal gennemgås mindst hvert år. Der udarbejdes et sæt af procedurer og et årshjul, der fastlægger og danner grundlag for efterlevelse af Politik for databeskyttelse og de detaljerede retningslinjer om databeskyttelse. Godkendelse Politik for databeskyttelse er godkendt af Ballerup Kommunes kommunalbestyrelse den 25.06.18, og afløser den tidligere godkendte Informationssikkerhedspolitik fra den 29.08.16. Side 8

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback