Sikkerhedspolitik

Indledning

 Vendsyssel Friskoles er i forhold til persondataloven dataansvarlig for de oplysninger, som skolen kommer i besiddelse af. Sikkerhedspolitikken skal derfor sikre, at skolens håndtering af personoplysninger til hver en tid sker på en betrykkende og tillidsvækkende måde, der er i overensstemmelse med gældende lovgivning. Alle medarbejdere og bestyrelsesmedlemmer har pligt til at sætte sig ind i de til enhver tid gældende regler og retningslinjer for datasikkerhed.

Sikkerhedspolitikken er tilgængelig på skolens hjemmeside.

Sikkerhedsansvarlige

Bestyrelsen har det overordnede ansvar for skolens sikkerhedspolitik, og skal mindst en gang om året revurdere den. Sikkerhedspolitikken godkendes, sammen med de øvrige dokumenter i persondatamappen, ved at den samlede bestyrelse sætter dato og underskrift på arket ”bestyrelsens stillingtagen”.

Skolens leder har ansvaret for opbevaring af persondata, indhentelse af databehandleraftaler og adgangs- styring. Det er ligeledes skolelederens ansvar at introducere sikkerhedspolitikken for nye ansatte, og holde tilsyn med at sikkerhedsforanstaltningerne overholdes.

Samarbejde med andre

 I et vist omfang løses skolens opgaver i fællesskab med eksterne databehandlere, som har fået tilladelse til at behandle skolens data. Den dataansvarlige skal, før iværksættelse af et samarbejde med en ekstern partner, sikre sig at databehandleren opfylder Persondatalovens krav med hensyn til de tekniske organisatoriske sikkerhedsforanstaltninger. Skolen overlader kun behandling af skolens data til en samarbejdspartner, hvor der foreligger en skriftlig aftale. I persondatamappen (fane 10) findes der en oversigt over skolens samarbejdspartnere og de indgåede databehandleraftaler.

Videregivelse af persondata til andre institutioner og myndigheder sker kun efter skriftligt samtykke fra den registrerede. Videregivelse af persondata i forbindelse med den skærpede underretningspligt kræver ikke samtykke, men den registrerede skal orienteres herom. Der indgås ikke databehandleraftaler med offentlige myndigheder. I det øjeblik, hvor en myndighed modtager data fra skolen, er de dataansvarlige og ikke databehandlere.

Adgang til persondata

Skolen benytter unikke adgangskoder på alt IT-udstyr, som kan give adgang til persondata. Når IT-udstyr efterlades skal kodelås være aktiveret eller udstyret være låst inde. De administrative maskiner er beskyttet med skærmlås, der automatisk logger af. IT-udstyr må aldrig efterlades, hvor andre end skolens medarbejdere har adgang til det. Skolens leder opretter og sletter medarbejdernes adgangsrettigheder til digitale systemer, og foretager kontrol af rettighederne hvert halve år. Den enkelte medarbejder må ikke autoriseres til adgange, som de ikke har behov for. Adgangskoderne må ikke videregives til andre eller nedskrives hvor andre kan se dem.

Opbevaring af persondata

Papirbaseret persondata opbevares på skolens kontor i aflåste skabe. Skabene efterlades aldrig i uaflåst tilstand. Skabene kan kun låses op af skolens leder, souschef og sekretær. Øvrige medarbejdere henvender sig til en af dem, hvis de har brug for nogle data til at løse deres arbejdsopgave. Papirbaseret persondata må aldrig efterlades uden opsyn.

Når der ikke længere er et sagligt behov for opbevaring af papirbaseret persondata, skal de tilintetgøres. Dette sker ved makulering.

Reparation/bortskaffelse af IT-udstyr

Reparation af IT-udstyr med mulighed for lagring af data sker kun efter at det er sikret, at der ikke forefindes persondata eller efterlades mulighed for genskabelse af persondata på den pågældende enhed.

Bortskaffelse af IT-udstyr med mulighed for lagring af data sker efter forudgående fysisk destruktion.

Sikring af IT

Alle skolens computere har en opdateret firewall og et antivirusprogram installeret. Der foretages sikkerhedskopi af skolens server af ekstern samarbejdspartner en gang i døgnet.

Post

Al post som indeholder persondata skal sendes pr brev eller en sikker mailforbindelse hvor alle data krypteres. Hvis der modtages personoplysninger, som er tilsendt med ikke sikker mail, skal disse hurtigst muligt overføres til en sikker opbevaringsmetode og mailen slettes.

Sikkerhedsbrud

Sker der et brud på persondatasikkerheden, så følger skolen de retningslinjer som datatilsynet har nedskrevet.

https://www.datatilsynet.dk/media/6558/haandtering-af-brud-paa-persondatasikkerheden.pdf

Brud på datasikkerheden kan lettest anmeldes via den fælles hjemmeside, som Virk har oprettet til formålet:

https://indberet.integration.virk.dk/myndigheder/stat/ERST/Indberetning_af_brud_paa_sikkerhed

Ved mistanke om brud og eventuel anmeldelse til Datatilsynet – se Flowchart => Flowchart

 

 

Close Menu