Persondataforordning (GDPR)

Intern politik for databehandling For Hummelshøj  
 
v/ Anita Hummelshøj Mikkelsen 
Fridtjof Nansens Vej 19, 2.th.

9210 Ålborg SØ
 
1: Har virksomhedens ledelse taget stilling til, hvordan IT-sikkerhed bedst håndteres i virksomheden? Ejeren har erkendt behovet for informationssikkerhed og har udpeget en ekstern rådgiver, der konsulteres ved behov, omkring sikkerhed på computer og it generelt i virksomheden. Opdages det at sikkerheden ikke længere er forsvarlig forholder ejer sig til situationen på ny. 
 
2: Er kritiske informationer og systemer identificeret? Ejeren har indhentet persondataaftaler fra de eksterne parter som benyttes til opbevaring af filer og mails m.v. Aktuelt er: Mono.net og One.com for hjemmesider. Mailchimp for nyhedsmails. Thinkific for læringsplatform, Microsoft office 365 inkl. Onedrive som lager i skyen. E-stimate for personprofiler, som benyttes overfor nogle af kunderne. 
Her foruden er der kryptering og 2 faktor godkendelse.  
Her foruden kan der forekomme notater fra samtaler med kunderne. Disse noter indeholder ofte personfølsomme data og opbevares derfor i aflåst arkivskab. 
 
3: Kender vi de sikkerhedstrusler vores forretning står over for, og hvordan disse kan påvirke vores forretning? 
Ejer har en generel idé om, hvilke overordnede sikkerhedstrusler og risici vi står overfor, men vi arbejder ikke på en bestemt måde i håndteringen heraf. Via kodeord, 2 faktor beskyttelse og kryptering forsøges det at forhindre hackere, tyve eller uærlige interessenter at få indsigt i de personfølsomme data. 
 
4: Har virksomheden dokumenteret arbejdet med IT-sikkerhed? Som eneste ejer af virksomheden har jeg ikke udviklet regler for informationssikkerhed i virksomheden. Jeg følger med så godt jeg kan. I denne proces med databehandling har jeg udført www.privacykompasset.dk og www.sikkerhedstjekket.dk og søger at følge anbefalingerne her fra. 
 
5: Hvordan sikrer vi, at følsomme persondata håndteres på sikker vis? Se pkt. 2 
 
6: Hvordan sikres det, at ændringer af systemer og programmer sker på sikker vis? 
P.t har ejer ikke regler for, hvornår og hvordan ændringer til vores systemer og software finder sted. Det er noget, der vil blive håndteret løbende, som behovet for ændringer og tiltag opstår. Opdateringer bliver fulgt. 
 
7: Hvordan styrer virksomheden medarbejdernes adgang til informationer og systemer? 
Som soloejer af virksomheden er der ikke andre end jeg, der har adgang til informationer og systemer. Lejlighedsvis har min eksterne it-ekspert logon via team-viewer og jeg har indhentet fortrolighedserklæring fra www.jama-it.dk  
 
8: Har virksomheden fået foretaget en uafhængig gennemgang af informationssikkerheden? Ejer har kontakt med en ekstern it-konsulent, Jørgen Bjerg, (Microsoft certificeret GDPR konsulent) med forstand på den basale sikkerhed, som har gennemgået vores sikkerhed. 
 
9: Har virksomheden en effektiv backup-proces i tilfælde af systemsammenbrud eller datatab? Via microsoft office 365 laves der løbende backup med faste intervaller, men vi har ikke nedskrevet et regelsæt herfor.  
 
10 Hvordan sikres det, at medarbejderne er bevidste om informationssikkerhed? 
Ejer er eneste person i virksomheden. 
 
11: Hvordan beskyttes virksomhedens interne og eksterne datanetværk? Ejer er bevidst om at ansvaret påhviler hende og søger så godt det er muligt at holde sig opdateret. Se også pkt. 2,3, og 8 
På kontoret er internettet underlagt Kommunal sikkerhed, da kontoret er i en offentlig bygning. 
 
12: Hvordan sikres det, at virksomhedens IT-programmer og systemer holdes sikkerhedsmæssigt opdateret? Vi opdaterer manuelt vores programmer løbende, når der kommer opdateringer, som lukker kritiske huller i itsikkerheden. 
 
13: Hvordan sikres den fysiske adgang til virksomhedens kritiske informationer? 
Alle papirer er bag lås. 
 
14: Har virksomheden en effektiv plan for at opdage og håndtere brud på sikkerheden? Ved bevidsthed om afstedkommet personlige oplysninger kontaktes datatilsynet for underrettelse herom. 
 
15: Foretages der overvågning af sikkerheden i virksomhedens ITsystemer? 
Ejer foretager almindelig logning på PC’erne, men der er ingen, der kigger logs igennem regelmæssigt, og der tages ikke specifikt højde for sikkerhedsmæssige hændelser. Se også pkt. 1,2 og 3 
 
GENERELT: 
Hummelshøj gemmer, foruden kontaktdata, alene oplysninger, der kan være relevante for en persons udviklingsforløb. Skønnes det at personen kommer igen som kunde gemmes data i op til 5 år. Er det en ’gammel’ kunde, som har fået ydelser fra Hummelshøj gennem flere år gemmes data så længe det skønnes relevant. 
Hummelshøj videregiver ikke kunders oplysninger til andre udenforstående. Foreligger der et samarbejde med f.eks. læge eller arbejdsplads deles der dog oplysninger, men kun dem, som kunden har givet sin mundtlige eller skriftlige samtykke til, må viderebringes. 
Har kunden tilmeldt sig Hummelshøjs nyhedsbrev, har kunden selv godkendt sin mail samt modtagelse af brevet. I bunden af alle nyhedsbreve er det muligt for kunden at afmelde sig. 
 
Kunden kan til hver en tid bede Hummelshøj slette gemte oplysninger eller bede om at få oplysninger vedr. sig selv udleveret. Dette kan ske ved kontakt til info@hummelshoj.net