Indholdsfortegnelse

GDPR


Politikker for behandling af personoplysninger på www.boernehuset-rosenhoej.dk

Politik for IT-sikkerhed

  1. Fokus på at beskytte personoplysninger Institutionen Børnehuset Rosenhøj har fokus på at beskytte personoplysninger om forældre, børn, ansatte og samarbejdspartnere. Det er Institutionens ledelse, der er ansvarlig for sikringen af personoplysninger. For, at vi som Institution kan levere vores services og ydelser, har vi brug for informationer. Det gælder informationer om både forældre, børn, ansatte og samarbejdspartnere. I det efterfølgende afsnit kan du læse, hvordan institutionen generelt anvender personoplysninger, blandt andet når du besøger institutionens hjemmeside – www.boernehuset-rosenhoej.dk Hvis du har spørgsmål til vores håndtering af dine personoplysninger, er du velkommen til at kontakte Institutionens ledelse. Du kan også kontakte Institutionens ledelse, hvis du har en mistanke om, at Institutionen har lækket personoplysninger eller på anden måde krænket fortroligheden i håndteringen af dine eller andre personers data. 2. Cookies Institutionens hjemmeside – www.boernehuset-rosenhoej.dk – bruger cookies og anvender enkelte såkaldte sessionscookies. Generelt skal du være opmærksom på, at du som internetbruger efterlader dig elektroniske spor, og at det giver andre mulighed for at følge din færden på nettet. Du kan slå cookies fra i din browser og stadig anvende Institutionens hjemmeside. 3. Indsamling ved besøg på Institutionens hjemmeside – www.boernehuset-rosenhoej.dk Institutionen har løbende adgang til statistiske oplysninger om besøgende på hjemmesiden. Det er ikke muligt at genkende enkelte personer ud fra disse oplysninger. Når du har besøgt Institutionens hjemmeside, indsamles følgende oplysninger om dig:
  2. Hvilke sider du har kigget på, og hvornår – dit ”elektroniske spor” 2. Hvilken browser du bruger 3. Hvilken ip-adresse du har
    Når du browser på nettet, efterlader du dig et “elektronisk spor”, som afslører, hvor du har været. Det spor opstår i kraft af, at din browser sender informationer til en server, fx “Jeg vil gerne se siden, der hører til adressen www.boernehuset-rosenhoej.dk”. De fleste browsere fortæller om deres fabrikat og versionsnummer, fx Microsoft Internet Explorer version 11.0. Serveren kan så returnere den side, du har bedt om, så den vises korrekt i netop din browser.
    Side 2

MS Consult Tlf. +45 2266 0079, Mail to: MS-Consult@outlook.dk Cvr.nr. 39583496.

Samtidig med, at din browser beder om www.boernehuset-rosenhoej.dk, sender den andre informationer til den pågældende server, herunder bl.a. din ip-adresse (din “adresse” på internettet). Serveren ved så, hvor den side, som du har bedt om, skal sendes hen. Afhængigt af det operativsystem og den browser, du bruger, sender browseren ofte også andre brugerrelaterede informationer til serveren. 4. Formålet med indsamlingen De oplysninger, som er nævnt ovenfor, kan Institutionen bl.a. bruge til at se, hvilken vej du bruger, for at finde information på www.boernehuset-rosenhoej.dk Institutionen kan bl.a. se, om du starter fra forsiden og bevæger dig ned på undersiderne, eller om du hopper ind midt på hjemmesiden fra fx en søgemaskine. Oplysningerne anvendes kun i forbindelse med afvikling af driften samt til udarbejdelse af statistik, som blandt andet kan bruges til at forbedre opbygningen af Institutionens hjemmeside. 5. Indsamling ved tilmelding eller abonnement Ved tilmelding til en af Institutionens services registreres den mailadresse eller anden kontaktinformation, som du selv afgiver. Oplysningerne anvendes til automatisk at behandle din forespørgsel. Oplysningerne registreres enten i Institutionens interne systemer eller hos Institutionens databehandler.

Politikker for behandling af personoplysninger for forældre og personale

Politik for behandling af henvendelser

  1. Indsamling ved henvendelse i en konkret sag Institutionen Børnehuset Rosenhøj har fokus på at beskytte personoplysninger om forældre, børn, ansatte og samarbejdspartnere. Det er Institutionens ledelse, der er ansvarlig for sikringen af personoplysninger.

Ved henvendelse til Institutionen i forbindelse med en konkret sag, eller hvis din henvendelse giver anledning til, at der oprettes en sag, vil din henvendelse blive gemt elektronisk og registreret i Institutionens sagsbehandlingssystem. Sagens dokumenter vil være omfattet af reglerne i offentligheds- og forvaltningsloven på linje med Institutionens øvrige korrespondance og håndtering af sager.

  1. Billedmateriale fra interne arrangementer Institutionen bruger bl.a. hjemmesiden og monterede skærme i Institutionen for at kommunikere og informere til Institutionens forældre og børn. Derfor er billedmateriale fra interne arrangementer eventuelt publiceret på Institutionens hjemmeside og monterede skærme. Hvis du som forældre til et barn føler, det er udstillet, udnyttet eller krænket i den forbindelse, er det muligt at anmode om fjernelse af billedmaterialet. Kontakt i givet fald 1216@boernehuset-rosenhoej.dk Hvor henter vi oplysninger om dig? Nogle informationer hentes fra andre offentlige myndigheder eller fælles registre. Andre informationer beder vi dig om at oplyse, når du eksempelvis starter dit barn i Institutionen. Du har altid ret til at få at vide, hvorfra vi henter oplysninger om dig i forbindelse med dine services og ydelser i Institutionen. 3. Hvor længe gemmer vi dine persondata? Når vi indhenter personlige oplysninger om dig og børn, og gemmer dem i forbindelse med vores arbejde, er der forskellige retningslinjer for, hvor længe vi gemmer dine oplysninger. Det varierer alt efter om det drejer sig om eksempelvis et samtykke, et nyt barn starter eller en
    Side 2

MS Consult Tlf. +45 2266 0079, Mail to: MS-Consult@outlook.dk Cvr.nr. 39583496.

jobansøgning. Inden for visse fagområder skal vi aflevere dine sager og informationer til Hvidovre Kommune eller Spia, inden vi må slette dem. Du kan få præcise oplysninger om, hvor længe vi gemmer dine oplysninger ved at kontakte ledelsen i Institutionen. 4. Hvad er bl.a. institutionens ledelsesopgave i forbindelse med GDPR?
Det er Institutionens ledelsesopgave at tilse, at Institutionen lever op til EU’s persondataforordningen af 25. maj 2019. Du kan kontakte Institutionens ledelse, hvis du er i tvivl om, hvorvidt Institutionen håndterer dine persondata korrekt.

  1. Data ansvarliges kontaktoplysninger

Navn: Jan Friis-Andersen Mail: 1216@boernehuset-rosenhoej.dk Telefon: 42581216

  1. Politik for brug af mails Politik for mail og internet-politikken handler om medarbejderens brug af e-post og internet, samt retningslinjer for overvågning og kontrol af aktiviteter, der foregår på internettet samt en orientering om sanktioner.
    Formål – at medarbejderne føler sig trygge ved at anvende mail og internet. – at fastsætte retningslinjerne for, hvordan mail og internet kan anvendes på arbejdspladsen.
  • at lette informationssøgningen og øge kommunikationsmulighederne i det daglige arbejde såvel internt som eksternt.
  • at sikre en hurtig og effektiv svar-/behandlingstid.
  • at reducere udgifterne til forsendelse og øge dokumentationsniveauet.
    Målsætning Vi skal overveje om mail er det rigtige medie at bruge i den konkrete situation og altid holde officielle mails i samme sproglige stil som papirbaseret kommunikation samt formulere mails i et entydigt, korrekt og letforståeligt sprog. Det er vigtigt at undlade ironi og sarkasme i både interne og eksterne henvendelser. Undlad at bruge mails til tilkendegivelser af politisk, religiøs og anden holdningspåvirkende karakter. Vi skal sikre, at vi undgår overinformation, mails skal kun sendes til relevante personer.
    Side 3

MS Consult Tlf. +45 2266 0079, Mail to: MS-Consult@outlook.dk Cvr.nr. 39583496.

For at fremme brugen af mails, er det væsentligt, at vi oplyser mailadresser på lige fod med fax og telefonnumre.
Forretningsgang Fællesmail og individuel mail bliver automatisk tømt efter 30 dage. Mailkorrespondancen arkiveres elektronisk eller udskrives og arkiveres som alt andet korrespondance. For Institutionens ledelse og det pædagogiske personale er det vigtigt at bruge ”ikke tilstedeassistenten” eller sørge for, at mailen videresendes ved fravær for henvendelser til en fællesmail. Ved sygdom, er det ledelsens ansvar at mails til fællesmailadressen videre behandles.
Emnefeltet skal klart angive, hvad mailen indeholder.
Ved afsendelse af mail fra Børnehuset Rosenhøj skal standard brevhoved og signatur anvendes.
Sikkerhed Åben aldrig vedhæftede filer i mails, som I ikke ved, hvad indeholder eller virker mistænkelige, for at undgå eventuelle virusangreb. Endvidere er det ikke tilladt at downloade og installere programmer hentet fra internettet. Ret henvendelse til Institutionens ledelse. Medarbejderen må ikke med deres brug af mails og internet bringe Institutionen i vanry, pådrage dem ansvar, true sikkerhedssystemerne eller skabe økonomiske vanskeligheder for dem.
Privat mail og internet Det er ikke tilladt at sende og modtage privat mail. Det er tilladt at anvende internet i begrænset omfang.

Særligt må internetadgangen ikke benyttes til besøg på hjemmesider, hvis indhold er af pornografiske, politisk ekstremistisk- eller diskriminerende karakter for så vidt angår race, køn, etnisk- eller social oprindelse eller religion, ligesom det ikke tilladt at downloade film og musik.

Tilsvarende må medarbejderen ikke ved brug af mail sende materiale af ovennævnte karakter.
Udstyr og software Det er ikke tilladt at tilkoble eget udstyr til netværket eller ændre på udstyrets opstilling, tilslutning eller netværksprinterens konfiguration uden specifik tilladelse fra Institutionens ledelse. Det er ikke tilladt at anvende uautoriserede programkopier, og at kopiere programmer m.v. som Institutionen Børnehuset Rosenhøj er licensansvarlige overfor.

Registrering/logning Institutionen overvåger som udgangspunkt ikke anvendelsen af mail og internet. Der er i systemet en registrering/logning, der af tekniske eller sikkerhedsmæssige årsager, muliggør at spore enhver aktivitet til en specifik arbejdsstation på netværket. I tilfælde af mistanke om misbrug jf. anførte regler, kan Institutionen anvende registreringen til belysning af problemet.
Side 4

MS Consult Tlf. +45 2266 0079, Mail to: MS-Consult@outlook.dk Cvr.nr. 39583496.

Dette sker alene såfremt vi har et sagligt formål og en berettiget interesse i kontrolforanstaltningen samt, at medarbejderne forud er informeret herom.

Sanktioner Overtrædelse af reglerne kan medføre mundtlig eller skriftlig påtale. Ved særlig grov overtrædelse, kan det føre til afskedigelse eller bortvisning og sagen vil blive overgivet til politiets efterforskning.

  1. Politik for fildeling Formål: Det er ikke tilladt for ansatte på Institutionen at foretage fildeling fra internettet eller andre steder.

Sanktioner Overtrædelse af reglerne kan medføre mundtlig eller skriftlig påtale. Ved særlig grov overtrædelse, kan det føre til afskedigelse eller bortvisning, og sagen vil blive overgivet til politiets efterforskning.

Handlingsplan ved brud på persondatasikkerheden i Børnehuset Rosenhøj

For at kunne reagere korrekt på et persondatasikkerhedsbrud kræver det, at man ved, hvornår noget er- og ikke er et brud. I Datatilsynets GDPR-vejledning fra februar 2018 defineres et brud på persondatasikkerheden således:
“Ethvert brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, hændeligt eller ulovligt tab, hændelig eller ulovlig ændring eller uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.”
Overfører man denne definition til dagligdagen i en virksomhed, så er brud på persondatasikkerhed altså ikke kun en persondatalækage forårsaget af et hackerangreb. Det er alle former for sikkerhedshændelser, der kan have en negativ konsekvens for den registrerede. Eksempelvis i form af tab af kontrol over persondata, en forhindring eller begrænsning af den registreredes mulighed for at udøve sine basale rettigheder, diskrimination, identitetstyveri og -svindel, økonomisk kriminalitet eller skade af den registreredes omdømme.
GDPR skelner mellem tre typer af brud på persondatasikkerhed:
• Fortrolighedsbrud. Uautoriseret eller utilsigtet afsløring eller adgang til persondata. Eksempelvis ved hackerangreb, deling af persondata uden samtykke, opbevaring af persondata i længere tid, end man har tilladelse til, eller ved ulovlige interne processer for håndtering af persondata
• Tilgængelighedsbrud. Uautoriseret eller utilsigtet tab eller mistet adgang til persondata. Eksempelvis ved, at data er utilgængelige i så lang tid, at det kan have en negativ konsekvens for den registrerede – det kan være i forbindelse med udbetaling af offentlige midler såsom dagpenge
• Integritetsbrud. Uautoriseret eller utilsigtet ændring af persondata. Eksempelvis ved opbevaring og behandling af forkerte eller gamle persondata om den registrerede, eller ved tab af persondata.
På Institutionen har man valgt at opdele handlingsplanen i tre faser:
Fase 1 er her, hvor sikkerhedsbruddet konstateres:
• At identificere problemet: Hvad er der sket, og hvad er omfanget?
• At identificere de berørte aktiver med henblik på en senere Root Cause-Analyse (RCA)
• At identificere de berørte datatyper: Hvilke persondata er der tale om, og er de evt. følsomme?
• At fastslå alvorligheden af sikkerhedsbruddet eksempelvis ved at kvantificere på en skala fra 1 – 10 hvor 10 er katastrofalt!
Side 2

MS Consult
Institutionen vil underrette de relevante myndigheder, Datatilsynet som er tilsynsmyndighed samt Bestyrelsen for Institutionen indenfor 72 timer. Hvis Institutionen ikke rapporterer til Datatilsynet indenfor 72 timer, skal der være en god grund til forsinkelsen, og denne grund skal fremlægges.
Institutionen angiver sikkerhedsbruddets karakter, omfang, berørte aktiver, alvorlighed og mulige konsekvenser, underretter de registrerede, hvis et brud på persondatasikkerheden indebærer en form for risiko for dem. Informationen til Datatilsynet vil også indeholde kontaktinformation til den primært ansvarlige i virksomheden – eksempelvis en Data Protection Officer (DPO). Endvidere fremsendes en beskrivelse af, hvordan Institutionen fremadrettet sikrer, at bruddet på persondatasikkerheden ikke sker igen. Indenfor 72 timer arbejdes der på at etablere en midlertidig løsning.
I fase 2 får Institutionen styr på problemet og minimerer konsekvenserne:
• At få styr på problemet, så konsekvensen minimeres.
• At analysere hændelsen og få klarlagt konsekvensen.
• At foretage anmeldelse til Datatilsynet rettidigt.
• At underrette den eller de registrerede.
Efter gennemførelse af fase 1 starter gennemførelsen med at finde en permanent løsning på problemet. Institutionen finder herefter årsagen til sikkerhedsbruddet, får klarlagt konsekvensen og sørger for, at hændelsen ikke kan gentage sig.
I fase 3 handler det om at udbedre sikkerhedsbruddet og gennemføre de nye tiltag for at sikre, at det ikke sker igen:
• At udbedre de berørte systemer og/eller processer.
• At opdatere eventuelle sikkerhedstiltag.
• At vende tilbage til normal drift.
• At kontrollere, at eventuelle nye sikkerhedstiltag fungerer efter hensigten.
• At afgive yderligere oplysninger til Datatilsynet, hvis alle minimumsoplysninger ikke kunne afgives indenfor tidsfristen på de 72 timer.
Fase 3 er normaliseringsfase. Sikkerhedshændelsen skal danne grundlag for et nyt og højere sikkerhedsniveau for håndtering af persondata i Institutionen.

Side 3

MS Consult

Log over brud på persondatasikkerheden

I tilfælde af brud på persondatasikkerheden, skal bruddet registreres i denne log. Bruddet skal registreres uanset størrelsen og uanset om Datatilsynet informeres.
Dato: Beskrivelse af hændelsen:
01-01-1900