Ikrafttrædelsesdato: 1. april 2019 Godkendt af: Direktionen d. 14. marts 2019 PROCEDURE FOR UNDERRETNINGS- PLIGT VED SIKKERHEDSBRUD OG HVORDAN DU UNDGÅR SIKKERHEDSBRUD. INDLEDNING Underretningspligten indebærer, at en berørt borger og Datatilsynet som udgangspunkt skal underrettes, hvis der er sket brud på persondatasikkerheden. 25-02-2019 I Guldborgsund Kommune er det Informationssikkerhedsfunktionen og vores DPO, der tager stilling til, om et sikkerhedsbrud udgør en risiko for personer, og dermed skal anmeldes til Datatilsynet, og borgeren skal underrettes. Opdager du et sikkerhedsbrud, skal du følge de forskrifter som er beskrevet i denne retningslinje. FORMÅLET ER: At vi altid overholder gældende lovgivning på området At vi sikrer en ensartet håndtering af et muligt sikkerhedsbrud. ROLLER OG ANSVAR SOM MEDARBEJDER I GULDBORGSUND KOMMUNE ER DET DIT AN- SVAR AT: Sikre korrekt håndtering af personoplysninger i den daglige sagsbehandling I tilfælde af sikkerhedsbrud omgående at melde det til din leder SOM LEDER I GULDBORGSUND KOMMUNE ER DET DIT ANSVAR AT: SAGSBEHANDLER: HENRIK HOUNSGAARD DOKUMENTNR.: 52553/19 SAGSNR.: 18/42540 Sikkerhedsbrud omgående meldes til Informationssikkerhedsfunktionen ved brug af Skema til indberetning af sikkerhedsbrud, bilag 1.
SIDE 2/5 DET ER INFORMATIONSSIKKERHEDSFUNKTIONENS ANSVAR AT: Håndtere alle henvendelser vedr. sikkerhedsbrud efter Informationssikkerhedsfunktionens egne interne procedurer. Kvittere for, beskrive og registrere sikkerhedsbrud. I samarbejde med DPO og efter faglig vurdering at underrette relevante borgere og Datatilsynet om sikkerhedsbrud indenfor 72 timer. SIKKERHEDSBRUD OG HÅNDTERING HVAD ER SIKKERHEDSBRUD: Eksempler: Følsomme eller fortrolige personoplysninger forekommer i emnesager, som ikke er korrekt adgangsbegrænset i systemet og dermed er tilgængelige for uvedkommende. Personoplysninger sendes til forkert modtager (fx til forkert cpr-nummer via Doc2mail eller send digitalt ) Følsomme eller fortrolige personoplysninger sendes på usikker mail fx ved besvarelse af en henvendelse fra en borger Personoplysninger ligger åbent fremme fx ved en printer, glemt i et mødelokale eller efterladt på skrivebordet i et forladt kontor. Medarbejdere der uforvarende kommer til at ændre eller slette personoplysninger Brud på servere, hvor uvedkommende har fået indsigt i personoplysninger (hackerangreb) Mistet telefon, pc, ipad eller usb-stik der indeholder eller giver adgang til personoplysninger, fx glemt, tabt eller ved indbrud eller tyveri fra bil. I TILFÆLDE AF SIKKERHEDSBRUD: Skal du om muligt forhindre en eskalering, ved at stoppe sikkerhedsbruddet, fx o Fjern udskrift med personoplysninger fra printer o Kontakt kollega som ikke har sat korrekt adgangsbegrænsning på sager med persondata, og få det korrigeret o Stop udsendelse af massemails hvis der er konstateret fejludsending Skal du hurtigst muligt kontakte din leder og orientere om det potentielle sikkerhedsbrud. Hvis din leder ikke er til stede, kontakter du din Informationssikkerhedskoordinator (ISK er), se Ref. 1.
SIDE 3/5 Skal leder eller, ved leders fravær, ISK er rapportere sikkerhedsbruddet til Informationssikkerhedsfunktionen (se bilag 1), Informationssikkerhed@guldborgsund.dk eller på telefon 2518 2329 o Sikkerhedsfunktionen kvitterer skriftligt for modtagelsen og registrerer/journaliserer sikkerhedsbruddet. Anmelder behøver ikke selv foretage en journalisering. Det er vigtigt at alle potentielle sikkerhedsbrud meldes til Informationssikkerhedsfunktionen, så o Korrekt underretning til borgere foretages o Korrekt anmeldelse til Datatilsynet foretages o Gentagelser af fejl og databrud undgås o Korrigerende og præventiv handling foretages, så lignende fejl kan undgås i fremtiden o Husk, vi lærer af vores fejl I weekender og faste lukkedage, som fx i juleferien, meldes større og alvorlige sikkerhedsbrud til sikkerhedsbrudsvagten, som er kommunaldirektøren, på tlf. 25181818. HVORDAN JEG UNDGÅR SIKKERHEDSBRUD: Tjek altid modtager af mails en ekstra gang inden du trykker send Tjek altid cpr-nummer en ekstra gang ved sikker kommunikation med en borger og svar aldrig en borger på dennes private e-mail, hvis mailen indeholder fortrolige eller følsomme personoplysninger Anvend Send digitalt eller Doc2Mail, når du sender følsomme eller fortrolige oplysninger til en borger. Derved sendes oplysningerne sikkert til borgerens e-boks (borger.dk-adresse). Tjek i øvrigt Guldborgsund Kommunes Retningslinjer for anvendelse af e-mails Ref. 2. Lås altid din skærm når du går fra din computer. Vær sikker på, at du altid printer på en sikker og forsvarlig måde. Se Retningslinjer for print, Ref. 3. Lad aldrig papir med fortrolige eller følsomme personoplysninger ligge fremme. Undlad at åbne usikre og mystiske mails, og klik aldrig på et link hvis du er usikker på hvor det fører hen. Det kan være en måde for hackere at få adgang til systemerne på. Lås fortrolige og følsomme personoplysninger inde i en skuffe eller skab, når du går hjem fra arbejde. Personfølsomme eller fortrolige informationer må ikke tages med hjem på papir, USB-stik, ipads, en bærbar computers drev eller lignende, med mindre der tages særlige forholdsregler (se ref. 4). Journaliser al relevant information i Acadre og/eller områdets godkendte fagsystem.
SIDE 4/5 Slet mails med personoplysninger i mailsystemet efter journalisering, og senest efter 30 dage Læg ikke personrelaterede data/informationer på åbne sociale medier. REFERENCER Ref. 1 Ref. 2 Ref. 3 Ref. 4 Din ISK er eller Informationssikkerhedskoordinator finder du her Procedure for anvendelse af e-mails og SMS Retningslinjer for print (under udarbejdelse, forventet færdig inden udgangen af Q2) Retningslinjer for Transport af persondata (under udarbejdelse, forventet færdig inden udgangen af Q2)
SIDE 5/5 BILAG 1: SKEMA TIL INDBERETNING AF SIKKERHEDS- BRUD Sendes til Informationssikkerhed@guldborgsund.dk. Indberetter (leder af området): Hvem opdagede sikkerhedsbruddet? Dato og tidspunkt for sikkerhedsbruddet? Hvad er der sket? Hvad er årsagen til bruddet? Hvilke typer personoplysninger er berørt? Hvilke konsekvenser har bruddet for de berørte personer? Hvilke afhjælpende foranstaltninger er der truffet for at begrænse bruddet og skadevirkningerne? Supplerende oplysninger? DPO (kontaktes af informationssikkerhedsfunktionen): Anmeldelse modtaget (dato) i Sikkerhedsfunktionen af (navn): Bech-Bruun Advokatpartnerselskab CVR: 38538071 Langelinie Allé 35 2100 København Ø Telefon: 72 27 30 02 E-mail: dpo.guldborgsund@bechbruun.dk Anmeldelsen registreres i Informationssikkerhedsfunktionens log for sikkerhedsbrud, og sagen oprettes i Acadre af Informationssikkerhedsfunktionen.