FAKTA

De fysiske rammer

  • Gennemrenoveret og moderniseret i 2009
  • 10 store, lyse værelser
  • WiFi over det hele,
    fra 08 – 24
  • Stue med fjernsyn med
    alle de gode kanaler
  • Hyggeligt køkken med spisekrog
  • Fællesarealer & værelser
    på 1. sal
  • Skole, fitnesscenter, galleri
    i stueetagen
  • Hestefolde, stald & værksteder
  • Drivhus & grønsagshave
  • Bålplads & shelters

Databeskyttelsespolitik for Småskolen ved Nakkebølle Fjord


Overordnet håndtering af personoplysninger.

Småskolen ved Nakkebølle Fjord benytter både eksterne løsninger såvel som intern brug af håndtering af personoplysninger afhængig af aftaler indgået i den enkelte sag.

Småskolen ved Nakkebølle Fjord organiserer personoplysninger i bestemte systemer, for at undgå at data ligger i flere forskellige systemer, samt at kun relevant personale har adgang til disse data.

Vores interne og eksterne løsninger til opbevaring af personfølsomme oplysninger revideres mindst en gang om året og hvis andre løsninger som behandler personoplysninger, det tekniske niveau i løsningen, behandlingens karakter, risici for databrud samt implementerings- og driftsomkostninger viser, at det vil være mest hensigtsmæssigt at ændre i vores praksis, gøres dette altid med fokus omkring sikkerheden af vores opbevaring af dine persondata.

 

  1. Formål

Databeskyttelsespolitikken beskriver det ledelsesgodkendte niveau for datasikkerhed i Småskolen ved Nakkebølle Fjord og indeholder de overordnede sikkerhedsmålsætninger og danner grundlag for udformning af Småskolen ved Nakkebølle Fjords datasikkerhedshåndbog med de underliggende retningslinjer og forretningsgange.

De retningslinjer, der udformes for at understøtte databeskyttelsespolitikkens hovedmålsætninger, skal sikre, at alle medarbejdere arbejder med og forholder sig til sikkerhed i behandlingen af personoplysninger i det daglige arbejde.

Databeskyttelsespolitikken er især formuleret med henblik på beskyttelse af personoplysninger, men den finder tilsvarende anvendelse på økonomiske- og andre data.

Småskolen ved Nakkebølle Fjord ser det vigtige i et højt sikkerhedsniveau for at kunne overholde lov- og myndighedskrav, men også som en kvalitet i at kunne tilbyde en sikkerhed for elever, studerende, ansatte, kommuner og andre samarbejdspartnere. Datasikkerhed er derfor en nøgleværdi, og den er en naturlig del af Småskolen ved Nakkebølle Fjords databehandling af oplysninger, herunder især personoplysninger.

 

  1. Omfang

Databeskyttelsespolitikken er gældende for alle ansatte på Småskolen ved Nakkebølle Fjord.

Alle leverandører og samarbejdspartnere, som har fysisk eller logisk adgang til Småskolen ved Nakkebølle Fjords systemer, data og oplysninger skal gøres bekendt med politikken og følge den.

Databeskyttelsespolitikken dækker alle tekniske og administrative forhold, der har direkte eller indirekte indflydelse på drift og brug af Småskolen ved Nakkebølle Fjords automatiske databehandlingssystemer samt manuelle arkiver og registre.

 

  1. Hovedmålsætninger og sikkerhedsniveau

Småskolen ved Nakkebølle Fjord har følgende sikkerhedsmålsætning:

”Småskolen ved Nakkebølle Fjord har et passende og tilstrækkelig teknisk og organisatorisk sikkerhedsniveau, der gælder for alle ansatte, leverandører og samarbejdspartnere ved behandling af personoplysninger og andre data ved hel eller delvis anvendelse af automatisk databehandling, samt for behandling af manuelle dokumenter.”

Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene gennemfører Småskolen ved Nakkebølle Fjord passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

Et passende og tilstrækkeligt databeskyttelsesniveau[1] opnås igennem tekniske og organisatoriske foranstaltninger, der sikrer:

  • vedvarende fortrolighed, integritet, tilgængelighed og robusthed af Småskolen ved Nakkebølle Fjords behandlingssystemer og behandlingstjenester i forhold til den risikovurdering, der er gennemført for de enkelte systemer og data.
  • anvendelse af pseudonymisering og kryptering, hvor det er relevant, herunder ved dataudveksling med databehandlere og eksterne parter og offentlige myndigheder
  • evnen til rettidigt at genoprette tilgængelighed af og adgangen til data i tilfælde af en fysisk eller teknisk hændelse
  • en procedure for regelmæssig afprøvning, vurdering og evaluering af databeskyttelsessikkerheden
  • beskyttelse af Småskolen ved Nakkebølle Fjords it-aktiver, oplysninger og data i Småskolen ved Nakkebølle Fjords varetægt.

 

Et tilstrækkeligt sikkerhedsniveau fastholdes ved:

  • at der vedvarende forefindes retningslinjer og forretningsgange, som sikrer, at datasikkerheden er en integreret del af Småskolen ved Nakkebølle Fjords drift og daglige arbejde.

Målet er, at sikre en kontinuerlig forbedringsproces, der løbende vedligeholder og optimerer databeskyttelsespolitikken, retningslinjer og forretningsgange.

  • at det igennem kontrakt- og leverandørstyring sikres, at brugen af eksterne leverandører, konsulenter og samarbejdspartnere lever op til den gældende databeskyttelseslovgivning og Småskolen ved Nakkebølle Fjords databeskyttelsesniveau.
  • at der i forbindelse med indførelse af nye IT-systemer gennemføres:
    • passede tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige behandles
    • en evt. analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, hvis det skønnes nødvendigt (Konsekvensanalyse)
  • Småskolen ved Nakkebølle Fjord følger op på datasikkerheden igennem løbende vedligeholdelse og optimering af databeskyttelsespolitikken og de dertilhørende retningslinjer og forretningsgange.

 

  1. Organisation og ansvar

Sikkerhedsmålsætning:

”Alle ansatte har ansvar for datasikkerheden. De er bekendte med og efterlever Småskolen ved Nakkebølle Fjords databeskyttelsespolitik, retningslinjer og forretningsgange, der er beskrevet i datasikkerhedshåndbogen.”

Planlægning, implementering og kontrol af datasikkerheden er defineret af Småskolen ved Nakkebølle Fjords ledelse, der også er ansvarlig for implementering og vedligeholdelse af databeskyttelsessikkerhedssystemet og er ansvarlig for opfølgning på sikkerhedshændelser.

Småskolen ved Nakkebølle Fjords ledelse fastsætter i en datasikkerhedshåndbog, hvem der har ansvaret for hver af institutionens, automatiske og manuelle databehandlingssystemer, styring af systemadgang og netværksadgang, tildeling af rettigheder, indgåelse af IT-kontrakter og andre kontrakter, Indkøb af hardware og installation af software, behandling af henvendelser fra de registrerede, opsamling og styring af anmeldelse af brud på persondatasikkerheden til Datatilsynet og de registrerede, der er berørt af bruddet.

Databeskyttelsespolitikken revurderes og godkendes én gang årligt, eller i forbindelse med eventuelle situationer, der nødvendiggør det.

Ledere og ansatte er ansvarlige for at efterleve retningslinjer og procedurer for datasikkerhed i det daglige arbejde. Ansatte der konstaterer eller oplever brud på datasikkerheden skal anmelde det hurtigst muligt til dataansvarlig.

Den nødvendige viden og kompetence om datasikkerhed kommunikeres til alle ansatte, og der bliver løbende arbejdet med holdninger og viden omkring datasikkerhed.

Ledelsen er ansvarlig for, at databeskyttelsespolitikken overholdes.

 

  1. Datasikkerhedshåndbogen

Databeskyttelsespolitikken uddybes af ledelsen i retningslinjer og forretningsgange. Tilsammen udgør  politikken, retningslinjer, beredskabspolitik og forretningsgange datasikkerhedshåndbogen, der inddeles i følgende hovedområder:

  1. Retningslinjer for ansattes håndtering af sikkerhed.
  • Fokus på, at personoplysninger altid behandles fortroligt.
  • Regler for login og password.
  • Regler for anvendelse af mobilt udstyr, PCér, USB-nøgler, mobiltelefoner mv.
  • Regler for anvendelse af private PCér til behandling af personoplysninger vedrørende elever og studerende og ansatte.
  • Regler for anvendelse af internettet.
  • Regler for anvendelse af mails, herunder sikker mail, og privat anvendelse af skolens mail.
  • Regler for eller forbud mod download af IT-programmer, spil, billeder mv.
  • Regler for brug af privat IT-udstyr til at arbejde med personfølsomme data
  1. Retningslinjer for adgangsstyring
  2. Retningslinjer for behandling af data på mobile enheder.
  3. Retningslinjer for anvendelse af sikker mail ved kommunikation med pårørende til elever og studerende, kommuner og andre offentlige myndigheder.
  4. Retningslinjer for netværksstyring, herunder trådløse netværk.
  5. Retningslinjer for styring af sikkerhedshændelser, herunder
  • Anmeldelse af brud på persondatasikkerheden til Datatilsynet og de registrerede, herunder procedurer, kontakt til databehandler og indhold i anmeldelsen.
  • Forretningsgange for behandling, reetablering og rettelser af data.
  1. Principper og forretningsgange for behandling af personoplysninger som beskrevet nedenfor i afsnit 6.
  2. Retningslinjer for styring af leverandører og databehandlere
    • Databehandleraftaler
    • Databehandlerens sikkerhedsniveau og håndtering af sikkerhed

  

  1. Principper og forretningsgange for behandling af personoplysninger

Ledelsen fastsætter principper og forretningsgange for Småskolen ved Nakkebølle Fjords behandling af personoplysninger, der sikrer overholdelse af Databeskyttelsesforordningen og Databeskyttelsesloven. Forretningsgangene, der dokumenteres, omfatter

  • Principper for behandling af personoplysninger.
  • Anvendelse af samtykke som grundlag for behandling af personoplysninger.
  • Procedurer for udøvelse af den registreredes rettigheder, herunder underretning ved registrering og udøvelse af retten til berigtigelse, sletning eller begrænsning af behandling og ret til data-portabillitet.
  • Fortegnelser udarbejdet over behandlingsaktiviteter med personoplysninger.

 

 

  1. Risikovurdering og klassifikation af data

 

7.1 Risikovurdering

Småskolen ved Nakkebølle Fjord ønsker at være bevidst om enhver risiko, og ud fra en risikovurdering opnå et passende og tilstrækkeligt sikkerhedsniveau etableres både elektronisk og fysisk.

Ledelsen deltager aktivt i risikovurderingen og er ansvarlige for at vurdere trusler, konsekvenser og risici ved automatisk og manuel databehandling.

Det tages op i ledelsen en gang om året om risikovurderingen skal revurderes, samt ved eventuelle større ændringer i opgaver, leverandører, databehandlingssystemer.

 

7.2 Klassifikation

For at sikre, at systemer og data har det rigtige sikkerhedsniveau, skal disse klassificeres. Data og systemer skal klassificeres efter både tilgængelighed, integritet (pålidelighed) og fortrolighed.

 

7.2.1 Tilgængelighed

I tilgængelighedskriteriet ligger, at det skal være muligt at tilgå systemer og data for autoriserede personer, når dette er nødvendigt.

Det er for Småskolen ved Nakkebølle Fjord især vigtigt med høj tilgængelighed til data og IT-systemer, der indeholder oplysninger, der anvendes i forbindelse med:

  • behandlingen af institutionens beboere og klienter
  • medicinadministration
  • personaleadministration, herunder lønudbetaling og indberetninger til myndigheder

 

Tilgængeligheden sikres først og fremmest igennem bestemmelser i de IT-kontrakter og/eller databehandleraftaler, der indgås med leverandørerne.

 

7.2.2 Integritet/Pålidelighed

I integritet/pålidelighed ligger, om data på systemerne er korrekte, pålidelige, nøjagtige, opdaterede og fuldstændige.

Det er for Småskolen ved Nakkebølle Fjord især vigtigt med høj integritet/pålidelighed i data og IT-systemer, der indeholder oplysninger, der anvendes i forbindelse med:

  • beslutninger vedrørende beboernes/klienternes behandling og udarbejdelse af handleplaner mv
  • medicinadministration
  • personaleadministration

Integritet/pålidelighed sikres først og fremmest gennem den kvalitetskontrol, der finder sted under de fastlagte forretningsgange for behandling af sagerne.

 

7.2.3 Fortrolighed

Med fortrolighed menes der, at kun autoriserede personer har ret til at tilgå oplysningerne, og oplysningerne skal kun være tilgængelige for autoriserede personer.

Personoplysninger behandles altid fortroligt og videregives eller offentliggøres kun med samtykke fra den registrerede, med mindre videregivelse har hjemmel i lovgivningen.

I Datasikkerhedshåndbogen angives hvilke personer, der har adgang til henholdsvis elever og studerende og ansattes oplysninger.

  

  1. Overtrædelse af databeskyttelsespolitikken

 

Alle ansatte i Småskolen ved Nakkebølle Fjord er forpligtet til at efterleve den til enhver tid gældende datasikkerhedspolitik med tilhørende retningslinjer, forretningsgange og relaterede bilag.

Alle ansatte modtager ved deres tiltræden af stillingen en kopi af de vigtigste bestemmelser om data- og persondatasikkerhed rettet til medarbejderne og underskriver på, at de vil overholde Småskolen ved Nakkebølle Fjords datasikkerhedspolitik.

En overtrædelse af datasikkerhedsbestemmelser eller regler for behandling af personoplysninger kan efter omstændighederne medføre ansættelsesretlige konsekvenser.

 

 

  1. Afvigelser

 

Hvis der opstår situationer, hvor kravene i Databeskyttelsespolitikken ikke kan efterleves, skal det godkendes af ledelsen og dokumenteres, og der indføres alternative sikringsforanstaltninger.

 

  1. Den Dataansvarlige

Småskolen ved Nakkebølle Fjord har udnævnt Mette Kilden som dataansvarlig. Hvis du har spørgsmål omkring vores data beskyttelses politik kan du derfor henvende dig til

Mette Kilden
Sanatorievej 16
5600 Faaborg

E-mail:

mettek@nakkeboelle.dk

Telefon:
61555323

 

  1. Udarbejdelse, dataansvarlig og ikrafttrædelse

Databeskyttelsespolitikken er godkendt den 25.05.2018, og træder i kraft den 25.05.2018.

 

 

Bilag 1: Begreber og definitioner

 

Begreb Definition
Fortrolighed Kun autoriserede personer har ret til at behandle oplysningerne, der kun skal være tilgængelige for autoriserede personer.
Integritet Det er muligt at validere, om data på systemerne er korrekte, pålidelige, nøjagtige, opdaterede og fuldstændige. Herunder sikring af Backup og eller systemdublering
Tilgængelighed

 

Det skal være muligt at tilgå systemer og data for autoriserede personer, når dette er nødvendigt.
Robusthed Behandlingssystemers- og tjenesters tekniske og organisatoriske modstandsdygtighed, der beskytter dem mod skadelige hændelser. Dette kan f.eks. være sikring mod udfald ved dublering, køling, nødstrømsanlæg, brandslukning mv.
Pseudonymisering Behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, der opbevares separat og sikkert.
Kryptering En proces, der omdanner de oprindelige oplysninger til oplysninger, der er ulæselig for en trediepart.
Vedvarende Evnen til at sikre fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester er en løbende teknisk og organisatorisk forpligtelse
Databeskyttelsespolitik

 

Databeskyttelsespolitikken indgår i en dokumentstruktur, hvor politikken er det overordnede dokument, som besluttes af ledelsen, og som udstikker de overordnede krav og målsætninger, som opfyldes igennem specifikke retningslinjer, forretningsgange og instrukser, der findes i Datasikkerhedshåndbogen.
Retningslinjer

 

I retningslinjerne udfyldes de målsætninger, der er fastlagt i politikken i konkrete beskrivelser af, hvordan sikkerhedspolitikken implementeres. Retningslinjerne fungerer på et overordnet niveau og indeholder ikke tekniske og systemrelaterede beskrivelser.
Forretningsgange og instrukser Forretningsgange og instrukser udgør specifikke vejledninger til, hvordan retningslinjerne på detaljeret niveau overholdes og implementeres i den enkelte afdeling.
Sikkerhedsforhold Med sikkerhedsforhold menes alle de forhold, som kan påvirke oplysningers sikkerhed i forhold til fortrolighed, pålidelighed og tilgængelighed.
Sikkerhedshændelser Begrebet forstås bredt som alle de hændelser, der påvirker databeskyttelsessikkerheden, herunder brud på sikkerheden

 

[1] Som beskrevet i Databeskyttelsesforordningen artikel 32