Retningslinje om risikovurdering

Relaterede dokumenter
Formålet med denne retningslinje er at sikre, at Nykøbing Katedralskole foretager den fornødne risikovurdering ved behandling af personoplysninger.

Formålet med denne retningslinje er at sikre, at Midtfyns Gymnasium foretager den fornødne risikovurdering ved behandling af personoplysninger.

Retningslinje om risikovurdering

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Retningslinje om behandlingsgrundlag

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Formålet med denne retningslinje er at sikre, at Nakskov Gymnasium og HF udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 BEHANDLINGSGRUNDLAG... 3 KONTROL OG DOKUMENTATION... 8

Retningslinje om fortegnelser over behandlingsaktiviteter

Formålet med denne retningslinje er at sikre, at Nykøbing Katedralskole udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Retningslinje om databeskyttelsesrådgivere

Retningslinje om fortegnelser over behandlingsaktiviteter

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Behandlingsgrundlag Horsens Statsskole

Formålet med denne retningslinje er at sikre, at Midtfyns Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Formålet med denne retningslinje er at sikre, at Ringkjøbing Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Retningslinjer om brud på persondata

Retningslinje om behandlingsgrundlag (hjemmel)

Retningslinje om fortegnelser over behandlingsaktiviteter

Retningslinje om fortegnelser over behandlingsaktiviteter

Retningslinje om dataansvarlig/databehandler

Retningslinjer om brud på persondatasikkerheden

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Brud på datasikkerheden

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Retningslinje om databeskyttelsesrådgivere

Notat. Databeskyttelsesrådgiver. Anvendelsesområde. Formål. Definitioner. Retningslinje om databeskyttelsesrådgivere. Danske Gymnasiers medlemsskoler

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Retningslinje om behandlingsgrundlag (hjemmel)

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Persondatapolitik på Gentofte Studenterkursus

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Retningslinjer om brud på persondatasikkerheden

Persondatapolitik for Tørring Gymnasium 2018

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever,

Persondatapolitik for Aabenraa Statsskole

Persondatapolitik for Odense Katedralskole

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondatapolitik Vordingborg Gymnasium & HF

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

Retningslinje om fortegnelser over behandlingsaktiviteter - for elever mv.

Retningslinje om behandlingssikkerhed

"forordningen" i det følgende) og gælder for alle ansatte på Midtfyns Gymnasium, der behandler personoplysninger.

Maj 2018 Retningslinje om de registreredes rettigheder på Frederiksberg Gymnasium

N. Zahles Skole Persondatapolitik

Retningslinje om de registreredes rettigheder

Retningslinje om overførsel til tredjelande

Bilag 3 Personoplysninger Den registrerede Behandling af personoplysninger Dataansvarlig Databehandler Brud på persondatasikkerheden

Retningslinje om de registreredes rettigheder

Registreredes rettigheder

PERSONDATAPOLITIK FOR AXIS

Bestyrelsen for Alssundgymnasiet Sønderborg er ansvarlige for at ovenstående overholdes.

PERSONDATAPOLITIK FOR BAPTISTERNES BØRNE- OG UNGDOMSFORBUND

PERSONDATAPOLITIK FOR Slagelse Børneklub

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Persondatapolitik for Ehlers-Danlos Foreningen i Danmark

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

PERSONDATAPOLITIK FOR HETAG TAG MATERIALER A/S

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

Privatlivspolitik. Odense LMU

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og

Introduktion til persondataforordning

PERSONDATAPOLITIK FOR FANCONI ANÆMI DANMARK

Retningslinje om fortegnelser over behandlingsaktiviteter - for ansatte mv.

Persondatapolitik for Landsforeningen for Marfan Syndrom i Danmark

DANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og

Nexø Frikirke. PRIVATLIVSPOLITIK i NEXØ FRIKIRKE

PERSONDATAPOLITIK FOR HOLMSBORG SOMMERLEJRE

PERSONDATAPOLITIK FOR Dansk forening for Williams Syndrom

Standardvilkår. Databehandleraftale

PERSONDATAPOLITIK for. Mercy Outreach Danmark

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

PRIVATLIVSPOLITIK FOR VÆRFTET NEXØ KRISTNE SKATECENTER, LEGELAND OG CAFE

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

PERSONDATAPOLITIK FOR Aniridi Danmark

PERSONDATAPOLITIK FOR AFRIKA KONTAKT, 2018

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

1.1 Denne privatlivspolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver

UDVALGET FOR HUSMODERFERIE Politik for opbevaring og sletning af personlige oplysninger

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Databehandlervilkår. 1: Baggrund, formål og definitioner

EU Persondataforordning GDPR

Ekstern Persondatapolitik - Sankt Lukas Stiftelsen

PERSONDATAPOLITIK FOR FRIMENIGHEDEN BROEN

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Transkript:

Retningslinje om risikovurdering Anvendelsesområde Retningslinje om risikovurdering er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (betegnet forordningen i det følgende) og gælder for alle ansatte på Gefion Gymnasium, der behandler personoplysninger. Formål Formålet med denne retningslinje er at sikre, at Gefion Gymnasium foretager den fornødne risikovurdering ved behandling af personoplysninger. Definitioner Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre. Behandling af personoplysninger skal fortolkes bredt. Begrebet behandling dækker over enhver aktivitet eller en række af aktiviteter, som personoplysninger gøres til genstand for. Det kan fx være indsamling, registrering, organisering, systematisering, opbevaring, ændring, søgning, formidling og sletning. Almindelige/fortrolige personoplysninger er alle oplysninger om en identificeret eller identificerbar person, der ikke er omfattet af nedenstående kategori, eksempelvis navn, adresse, CPRnummer, e-mail, billeder, telefonnummer. Følsomme personoplysninger er oplysninger om helbredsforhold, fagforening, racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, seksuelle forhold og genetiske oplysninger. Der er tale om en udtømmende liste. Dataansvarlig er den person eller myndighed/organisation, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. info@gefion-gym.dk, www.gefion-gym.dk 1

Databehandler er den, der behandler personoplysninger på den dataansvarliges vegne dvs. arbejder under instruks af den dataansvarlige. Databehandler er i henhold til forordningen forpligtet til at føre fortegnelse over behandlingskategorier, der føres på vegne af den dataansvarlige. Databeskyttelsesrådgiveren (DPO) er en uafhængig person med ekspertise i databeskyttelsesret og praksis, der skal inddrages i alle spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler hos Gefion Gymnasium. Databeskyttelsesrådgiverens funktion er at understøtte, at den Gefion Gymnasium overholder reglerne i forordningen. Databeskyttelsesrådgiveren er en integreret del af Gefion Gymnasium, og kan efter omstændighederne have andre arbejdsopgaver. Hvad er en risikovurdering? En traditionel risikovurdering gennemføres ud fra den dataansvarliges eller systemansvarliges synspunkt. I en risikovurdering efter databeskyttelsesforordningen måles risikoen ved at bedømme, hvor stor sandsynlighed der er for, at en hændelse indtræffer, samt hvor store konsekvenser hændelsen kan have for den registrerede person og Gefion Gymnasium. Det er den registrerede person, der er hovedfokus i denne risikovurdering. En risikovurdering er således en vurdering af hvilke risici, der er forbundet med en konkret databehandling. Ud fra den foretagne risikovurdering kan Gefion Gymnasium gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de identificerede risici. En risikoanalyse er tilmed et øjebliksbillede. Man får et indblik i, hvordan verden ser ud på det tidspunkt, hvor man gennemfører risikoanalysen. Nedenfor ses en illustration af hele processen bag en risikovurdering. info@gefion-gym.dk, www.gefion-gym.dk 2

Hvordan gør vi? Når Gefion Gymnasium foretager en risikovurdering, tager vi udgangspunkt i Fareidentifikation: En identifikation af hvilke hændelser, der kan ramme den registrerede. Eksponeringsvurdering: En vurdering af, hvor eksponeret Gefion Gymnasium er for at blive påvirket af en bestemt hændelse i relation til den konkrete databehandling. Ad. Fareidentifikation: Fareidentifikationen skal vurderes ud fra den konkrete databehandling eksempelvis: Ved anvendelse af system X til behandling af HR-oplysninger, er der risiko for at følgende hændelser indtræffer [nævn her mulige hændelser]. Ad. Eksponeringsvurdering: Eksponeringsvurderingen skal give et indtryk af, hvor eksponeret Gefion Gymnasium er for, at ovenstående hændelser vil indtræde. info@gefion-gym.dk, www.gefion-gym.dk 3

En risikovurdering skal udføres af de personer, som har den nødvendige faglige indsigt. Hvordan håndterer vi de identificerede risici? Hvis Gefion Gymnasium vurderer, at der kan være risici forbundet med en databehandling, skal vi efterfølgende afgøre, hvordan vi vil håndtere de identificerede risici. Vi skal således udarbejde en handlingsplan. Der er som udgangspunkt fire muligheder for at håndtere risici: 1. Acceptér (risikoen accepteres, og der foretages ikke yderligere). 2. Flyt (den pågældende behandling flyttes eksempelvis til et andet system). 3. Undgå (risikoen undgås ved at stoppe eller ændre den aktivitet, som er årsag til risikoen). 4. Kontrollér (risikoen kontrolleres ved at indføre foranstaltninger, som fjerner eller reducerer sandsynligheden eller konsekvenserne). Det handler således om at prioritere og vælge sikkerhedsforanstaltninger, således vi nedbringer risici til et niveau, som er acceptabelt for såvel den registrerede som for skolen. Formkrav For at kunne overholde vores dokumentationsforpligtelse udfører vi risikovurderingen i skriftlig form. Risikovurderingen opbevares sammen med øvrig behandlings dokumentation. Kontrol og dokumentation Gefion Gymnasium skal sikre, at vi løbende foretager en dokumenteret kontrol af, at denne retningslinje overholdes. Kontrollen skal godkendes af bestyrelsen for Gefion Gymnasium. Gefion Gymnasium skal kunne dokumentere (påvise): At vi foretager den fornødne risikovurdering, når vi igangsætter en behandling af personoplysninger At vi revurderer risikovurderingen, hvis behandlingen af personoplysninger ændrer karakter. At vi mindst én gang årligt gennemgår risikovurderingen At den løbende kontrol med denne retningslinje overholdes info@gefion-gym.dk, www.gefion-gym.dk 4

Dokumentejer, godkender og versionering Ejer: Bettina Poulsen Godkender: Andreas Møller Lange Dato Version Forfatter Ændringsbeskrivelse 23. april 1.0 JUS - 2018 30. maj 2018 2.0 MSI Tilrettet med Gefion Gymnasiums oplysninger info@gefion-gym.dk, www.gefion-gym.dk 5

Bilag 1 Risikovurderingsskema Forekomst næsten usandsynlig Forekomst mindre sandsynlig Forekomst sandsynlig Forekomst meget sandsynlig Ingen konsekvens Lille konsekvens Moderat konsekvens Alvorlig konsekvens Farvekode Risikoniveau Handling Lavt Yderligere handlinger overvejes Medium Der lægges en plan for handling Højt Der skal hurtigst muligt findes en løsning info@gefion-gym.dk, www.gefion-gym.dk 6

Bilag 2 forslag til risikovurderinger, der skal udføres - Personaleadministration, herunder ansættelse, løn, fravær og klagesager - Elevadministration, herunder fravær, forældre/værger, optagelsesproces og klagesager. - Ansattes behandling af personoplysninger, særligere undervisere. - Eksamensadministration - Studievejledning info@gefion-gym.dk, www.gefion-gym.dk 7

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback