Policy för skydd av personuppgifter

Giftrix – Huuray A/S

1. Inledning
1.1. Denna dataskyddspolicy är den övergripande policyn för datasäkerhet och dataskydd för Huuray A/S (nedan kallad ”oss”, ”vi” eller ”vår”).

2. Syfte
2.1. Syftet med dataskyddspolicyn är att stödja de 10 dataskyddsstandarderna, den allmänna dataskyddsförordningen (2016), dataskyddslagen (2018), den sedvanerättsliga tystnadsplikten och all annan relevant nationell lagstiftning. Vi erkänner dataskydd som en grundläggande rättighet och omfattar principerna om inbyggt dataskydd och dataskydd som standard.
2.2. Denna policy omfattar
2.2.1. Våra principer för dataskydd och vårt åtagande att följa allmän lag och lagstiftning.
2.2.2. Förfaranden för inbyggt dataskydd och dataskydd som standard.

3. Omfattning
3.1. Denna policy omfattar alla uppgifter som vi behandlar antingen i pappersform eller i digital form, inklusive särskilda kategorier av uppgifter.
3.2. Denna policy gäller för alla anställda, inklusive tillfälligt anställda och entreprenörer.

4. Principer
4.1. Vi ska vara öppna och transparenta gentemot användarna av våra tjänster.
4.2. Vi ska upprätta och upprätthålla policyer för att säkerställa efterlevnad av Data Protection Act 2018, Human Rights Act 1998, den sedvanerättsliga tystnadsplikten, den allmänna dataskyddsförordningen och all annan relevant lagstiftning.
4.3. Vi ska upprätta och underhålla policyer för kontrollerad och lämplig delning av information om tjänsteanvändare och personal med andra myndigheter, med beaktande av all relevant lagstiftning och medborgarnas samtycke.
4.4. Om samtycke krävs för behandling av personuppgifter ska vi säkerställa att informerat och uttryckligt samtycke erhålls och dokumenteras på ett tydligt, tillgängligt språk och i ett lämpligt format. Individen kan när som helst återkalla sitt samtycke genom processer som har förklarats för dem och som beskrivs i vår policy för registerhållning: Procedurer för återkallande av samtycke. Vi ser till att det är lika enkelt att återkalla sitt samtycke som att ge det.
4.5. Vi kommer att genomföra/beställa radering enligt vad som krävs vid årliga revisioner av vår efterlevnad av rättsliga krav.
4.6. Vi är medvetna om vårt ansvar att säkerställa att personuppgifter ska
4.6.1. behandlas lagligt, rättvist och på ett öppet sätt;
4.6.2. samlas in för specifika, uttryckliga och legitima ändamål och inte behandlas vidare på ett sätt som är oförenligt med dessa ändamål;
4.6.3. Adekvata, relevanta och begränsade till vad som är nödvändigt i förhållande till de ändamål för vilka de behandlas (”uppgiftsminimering”);
4.6.4. Korrekta och uppdaterade;
4.6.5. bevaras i en form som möjliggör identifiering av registrerade under en tid som inte är längre än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (”lagringsbegränsning”)
4.6.6 Behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna.
4.7 Vi upprätthåller de personuppgiftsrättigheter som anges i GDPR;
4.7.1 Rätten att bli informerad;
4.7.2. rätten till tillgång;
4.7.3. rätten till rättelse;
4.7.4. Rätt till radering;
4.7.5. Rätt att begränsa behandlingen;
4.7.6. rätten till dataportabilitet;
4.7.7.7. rätten att göra invändningar;
4.7.8. rättigheter i förhållande till automatiserat beslutsfattande och profilering.
4.8. På grund av vår storlek har vi beslutat att vi inte behöver ha ett dataskyddsombud (DPO) eftersom vi inte behandlar särskilda kategorier av uppgifter i stor skala. Vi har dock utsett en anställd till vår Data Security and Protection Lead för att säkerställa att varje individs datarättigheter respekteras och att det finns de högsta nivåerna av datasäkerhet och dataskydd i vår organisation. Ledaren för datasäkerhet och dataskydd kommer att rapportera till den högsta ledningsnivån i organisationen. Vi kommer att stödja datasäkerhets- och skyddsledaren med de resurser som krävs för att fullgöra deras uppgifter och se till att de kan upprätthålla sin expertis.
4.9 Vi ska se över vår policy för datasäkerhet och dataskydd en gång per år.

5. Dataskydd genom design och standard

5.1 Vi ska genomföra lämpliga organisatoriska och tekniska åtgärder för att upprätthålla de principer som beskrivs ovan. Vi kommer att integrera nödvändiga skyddsåtgärder i all databehandling för att uppfylla rättsliga krav och för att skydda enskilda personers datarättigheter. Denna implementering kommer att beakta arten, omfattningen, syftet och sammanhanget för all behandling och de risker för enskilda personers rättigheter och friheter som orsakas av behandlingen.
5.2 Vi ska upprätthålla principerna om inbyggt dataskydd och dataskydd som standard från början av all databehandling och under planering och implementering av alla nya dataprocesser.
5.3 Alla nya system som används för databehandling kommer att ha dataskydd inbyggt från början av systemförändringen.
5.4 All befintlig databehandling har registrerats i vår förteckning över behandlingsaktiviteter. Varje process har riskbedömts och granskas årligen.
5.5 Vi säkerställer att personuppgifter, som standard, endast behandlas när det är nödvändigt för specifika ändamål och att individer därför skyddas mot integritetsrisker.
5.6 Vid all behandling av personuppgifter använder vi den minsta mängd identifierbara uppgifter som krävs för att slutföra det arbete som uppgifterna behövs för och vi lagrar endast uppgifterna så länge som det är nödvändigt för behandlingens syften eller något annat lagstadgat krav att lagra dem.

6. Ansvarsområden

6.1 Vår utsedda chef för datasäkerhet och dataskydd är Ronnie Gasseholm (CTO). Ledarens huvudsakliga ansvarsområden är:
6.1.1. att säkerställa att enskilda personers rättigheter avseende deras personuppgifter upprätthålls i samtliga fall och att insamling, delning och lagring av uppgifter sker i enlighet med utfärdade riktlinjer.
6.1.2. att definiera vår policy och våra förfaranden för dataskydd och alla relaterade policyer, förfaranden och processer samt att säkerställa att det finns tillräckliga resurser för att stödja policykraven.
6.1.3. Att årligen granska policyn för datasäkerhet och dataskydd och att upprätthålla efterlevnaden av tillämplig lagstiftning.
6.1.4. Övervaka informationshanteringen för att säkerställa efterlevnad av lagstiftning, riktlinjer och organisatoriska förfaranden samt samarbeta med den högsta ledningen.

7. Tillstånd
7.1 Denna policy har godkänts av undertecknad och kommer att ses över minst en gång per år.

Rune Eirby Poulsen, Verkställande direktör – Huuray A/S

Köpenhamn
Godkendelsesdato: 6 juni 2022
Gennemgangsdato: 5 janu 2023

Policy för hantering och överföring av uppgifter

Innehåll

  1. Inledning
  2. Definition av personlig, känslig och konfidentiell information
  3. Omfattning
  4. Säker lagring av personlig och känslig information
  5. Att ta med sig information ut från kontoret
  6. Att dela information – beslutet att göra det
  7. Dela information elektroniskt – hur kan jag göra det på ett säkert sätt?
  8. Använda e-post för att dela data
  9. Använda andra metoder för att överföra data
  10. Kontrollera information innan den skickas
  11. Portabilitet av uppgifter
  12. Brott mot datasäkerheten
  13. Styrning av data

1. Inledning

1.1 Huuray samlar in och använder ett brett spektrum av personlig och känslig information för att utföra sina funktioner och tillhandahålla tjänster. Alla som arbetar för eller representerar Huuray måste skydda de personliga och känsliga uppgifter som de använder och vara medvetna om sina skyldigheter. Om vi inte tar tillräcklig hand om de uppgifter vi hanterar och de förloras, stjäls, olämpligt avslöjas eller på annat sätt missbrukas, kan det ha en allvarlig inverkan på verksamheten.

1.2 Det finns många tillfällen då överföring av uppgifter krävs mellan avdelningar, tredjepartsleverantörer, myndigheter och kommersiella organisationer för att utföra affärsfunktioner. Det är viktigt att all överföring sker på ett sätt som är lämpligt för den typ av data som överförs.

1.3 Denna policy är utformad för att säkerställa att personlig, känslig och konfidentiell information hanteras säkert, och särskilt dess lagring och överföring, genom att fastställa tydliga standarder för praxis för att upprätthålla god säkerhet och säkerställa att Huuray uppfyller sina juridiska skyldigheter.

2. Definition av personlig, känslig och konfidentiell information

Personuppgifter Uppgifter som rör en levande individ som kan identifieras från uppgifterna, direkt eller indirekt. Detta omfattar, men är inte begränsat till

  • Namn, adress och födelsedatum
  • Referensnummer, t.ex. anställnings- och socialförsäkringsnummer
  • Personlig finansiell information, t.ex. bankuppgifter
  • Beskrivande eller biografisk information om en individ
  • Fotografier eller andra bilder
  • Känsliga uppgifter Särskilda kategorier av personuppgifter som vi måste vara särskilt försiktiga med att hantera, t.ex.
  • Ras eller etniskt ursprung
  • Politiska åsikter
  • Religiös eller filosofisk övertygelse
  • Medlemskap i fackförening
  • Genetiska och biometriska uppgifter
  • Fysisk och psykisk hälsa
  • Sexualitet och sexualliv
  • Brottsliga domar och brott
  • Affärskänsliga uppgifter Information som inte bör avslöjas av politiska eller ekonomiska skäl, t.ex. information om kontraktsanbud.
  • Konfidentiella uppgifter Annan information som potentiellt kan missbrukas, t.ex. officiella formulär eller papper med huvud.

3. Tillämpningsområde

3.1 Denna policy gäller för alla som hanterar eller överför Huuray-data, inklusive

  • Anställda
  • Entreprenörer
  • Personal från bemanningsföretag
  • Leverantörer
  • Huurays agenter och partners

3.2 All personlig, känslig och konfidentiell information enligt definitionen i avsnitt 2 omfattas av policyn.

4. Säker lagring av personuppgifter och annan känslig information

4.1 Det är emot Huurays policy att samla in och lagra personliga och känsliga uppgifter med hjälp av mobila enheter, flyttbara medier eller appar som inte är en del av företaget.

4.2 Pappersdokument, mobila enheter och flyttbara medier som innehåller personlig och känslig information måste förvaras säkert i kontorslokaler. Detta inkluderar att förvara dem i låsta skåp när de inte används och se till att nycklar inte är tillgängliga för obehöriga personer.

4.3 Lagring av personuppgifter och känsliga uppgifter i pappersdokument ska minimeras där så är möjligt.

4.4 USB-minnen och bärbara hårddiskar får endast användas i undantagsfall och endast med enheter som tillhandahålls av Huurays IT-avdelning.

4.5 Personuppgifter och andra känsliga uppgifter får inte lämnas obevakade där någon kan komma åt dem, t.ex. på skrivbord, fönsterbrädor, i korridorer, skrivare och kopiatorer.

4.6 Personuppgifter och annan känslig information får inte laddas ner eller överföras till arbetet på en enhet som inte tillhör företaget, t.ex. din egen hemdator eller mobiltelefon.

4.7 All IT-utrustning som används för att behandla personuppgifter eller känslig information måste vara lösenords- eller PIN-skyddad och får aldrig lämnas synlig på en skärm när den är obevakad.

4.8 Personuppgifter och andra känsliga uppgifter får aldrig laddas upp/lagras i ett moln (tredje parts webbplats) som inte tillhandahålls av Huuray, om vi inte har ett datadelningsavtal med den tredje parten och överföringen av uppgifter har godkänts av relevant Information Asset Owner/Assistant Director (DPO). Råd från IT-avdelningen om potentiella säkerhetsrisker måste inhämtas och rapporteras till dataskyddsombudet innan tillstånd ges.

5. Ta med information ut från kontoret

5.1 Personlig eller annan känslig information får inte tas med ut från kontoret om det inte är absolut nödvändigt för att utföra dina Huuray-uppgifter och endast med tillstånd från relevant dataskyddsombud.

5.2 När pappersakter och Huuray-godkända mobila enheter eller flyttbara medier som innehåller personlig eller annan känslig information tas ut från kontoret måste de förvaras säkert, transporteras säkert och aldrig lämnas obevakade där de kan nås av obehöriga personer, till exempel i fordon eller i områden som är tillgängliga för allmänheten.

5.3 Pappersdokument som innehåller personlig eller känslig information får endast tas med hem med tillstånd från det berörda dataskyddsombudet. Pappersdokument som innehåller personuppgifter eller andra konfidentiella uppgifter måste förvaras säkert och åtskilt från värdefulla föremål som bärbara datorer. Register måste föras över vilken information som tas med utanför anläggningen, när den tas med, av vem och när den återlämnas.

5.4 Pappersdokument ska inte förvaras i hemmet längre än nödvändigt och ska återlämnas till kontoret så snart som möjligt.

5.5 Om du behöver ta med dig data på en godkänd Huuray-mobil enhet eller flyttbart media, får du inte ladda upp mer data än nödvändigt, behålla den endast så länge som nödvändigt och radera data från enheten omedelbart när åtkomst inte längre krävs.

5.6 Familjemedlemmar eller andra obehöriga personer får inte ha tillgång till personlig information i något format som tas med hem.

6. Att dela information – beslutet att göra det

6.1 Personuppgifter, känsliga uppgifter och andra konfidentiella uppgifter ska inte delas om inte:

  • Du har lämpliga dokumenterade protokoll för informationsdelning (avtal om informationsdelning/bearbetning) på plats med den myndighet eller individ där information regelbundet delas med dem.
  • Ägaren till informationstillgångarna har godkänt datadelningen.
  • Sekretesspolicyn för ditt tjänsteområde omfattar datadelning/bearbetning.
  • Du har säkerställt att uppgifterna endast lämnas ut om det finns ett behov av att veta.
  • Du har rätt att dela informationen, den tillhör inte en annan organisation/tredje part, och du delar endast de uppgifter som är nödvändiga och inte mer.

6.2 Innan du skickar information till någon är det viktigt att du säkerställer att detta är lämpligt och auktoriserat. Oavsett om förfrågaren är intern eller extern ska du inte anta att någon har rätt till informationen bara för att de har sagt till dig att de behöver den.

6.3 Se till att du inte tillhandahåller mer information än vad som behövs för det angivna syftet. Skicka inte ett helt dokument eller kalkylblad för att det är enklare när det bara är ett avsnitt eller vissa kolumner som behövs.

6.4 Personuppgifter får inte lämnas till någon extern organisation om anonymiserad eller statistisk information kan användas som ett alternativ.

6.5 Användning av personuppgifter i utbildningssyfte ska alltid anonymiseras om du inte har tillstånd från den registrerade.

6.6 För systemtestning ska du endast använda personuppgifter om det är nödvändigt

7. Dela information elektroniskt – hur kan jag göra det på ett säkert sätt?

7.1 Det finns ett antal lösningar för säker delning av personuppgifter och känsliga data som erbjuder olika fördelar. Dessa metoder inkluderar:

  • Säker e-post – Egress eller betrodda organisationer
  • Programvara för filkryptering (7zip med 256bt-kryptering) ESET
  • Företag Pendrive

7.2 Hur man delar data på ett säkert sätt med hjälp av dessa olika metoder förklaras i detta dokument. Innan du bestämmer dig för en viss dataöverföringsmetod (eller kombination av metoder) bör du först överväga följande;

  • Vart ska uppgifterna överföras – internt eller externt?
  • Ska uppgifterna krypteras i vila eller endast under transport?
  • Uppgifternas känslighet – är uppgifterna mycket känsliga (även om det bara rör sig om 1 post)?
  • Datavolymen – och finns det många poster som innehåller personuppgifter
  • Storleken på den datafil som överförs – en stor filstorlek kan orsaka problem för både avsändare och mottagare.

7.3 Viktigt – Du får endast skicka information som är nödvändig för det angivna ändamålet och du bör därför se till att du tar bort eller redigerar alla onödiga uppgifter före överföringen.

7.4 Du får endast använda företagets auktoriserade meddelandetjänster för att kommunicera Huurays verksamhet och inga personuppgifter ska delas när du gör det. Meddelandetjänster är inte ett substitut för e-post och bör endast användas för frågor eller meddelanden som behöver kommuniceras omedelbart.

7.5 Viktigt – Om du inte kan skicka personuppgifter eller annan känslig information på ett säkert sätt via ett elektroniskt överföringsalternativ, se avsnitt 9 för andra godkända överföringsmetoder.

8. Använda e-post för att dela data

Begränsa, komprimera och skydda de data som ska levereras

8.1 När du delar data via e-post finns det viktiga steg du kan ta för att skydda en individs rätt till integritet. Det är god praxis att tänka på hur man kan inkludera så lite personlig information som möjligt i ett e-postmeddelande, vilket också bör inkludera information som tillhandahålls i brödtexten i ett e-postmeddelande.

8.2 Om möjligt bör användare försöka använda begränsade data eller referensdata om personen/personerna, såsom ID-nummer.

8.3 Du bör också ta hänsyn till mängden, dokumentstorleken och/eller känsligheten hos den information som skickas. Om informationen bifogas ett e-postmeddelande och du anser att ytterligare säkerhet behövs kan du också kryptera och lösenordsskydda bilagan. Se till att du inte lämnar ut lösenordet på samma sätt som du skickar dokumentet.

8.4 Kontakta IT-avdelningen om du är osäker på om du har tillgång till 7zip programvara för filkomprimering eller kryptering.

Interna e-postmeddelanden

8.5 E-postmeddelanden till personer som använder samma Huuray-nätverk som vi är säkra. Uppgifterna lämnar inte vårt nätverk, som är skyddat från andra genom brandväggar och andra säkerhetsåtgärder. Detta skyddar dock inte uppgifterna från att skickas till fel mottagare.

Uppgifterna skickas till fel mottagare, så försiktighet måste iakttas när du väljer eller anger en mottagares mottagares e-postadress.

8.6 Distributionslistor bör aldrig användas för att kommunicera personlig och känslig information, och sådan information bör endast skickas till generiska eller team e-postkonton om de har godkänts av dataskyddsombudet för detta ändamål.

Extern e-post

8.7 Du bör alltid använda e-postkryptering på e-postmeddelanden till externa adresser när innehållet i ditt e-postmeddelande eller bilagor i det innehåller personuppgifter, konfidentiell information eller affärskänsligt innehåll. När ett e-postmeddelande lämnar skyddet av Huuray-nätverket på väg till en extern e-postadress, färdas det över internet, som är ett osäkert nätverk. Detta innebär att någon med kunskap och förmåga att fånga upp ditt e-postmeddelande kan läsa dess innehåll.

8.8 Distributionslistor ska aldrig användas för att kommunicera personliga och känsliga uppgifter.

8.9 När du skickar e-post till flera mottagare ska du använda BCC-fältet så att eventuella personliga e-postadresser inte syns.

9. Använda andra metoder för att överföra data

9.1 När en säker elektronisk överföringsmetod inte är tillgänglig kan en av följande metoder övervägas:

  • Intern post
  • Post
  • Kurir
  • Manuell utdelning/avhämtning Internpost

9.2 Alla dokument eller bärbara medier som DVD-skivor, CD-skivor etc. som innehåller personuppgifter eller andra känsliga uppgifter och som överförs med Huurays interna posttjänst måste alltid skickas i ett förseglat kuvert till en namngiven mottagare. Om det anses olämpligt att någon annan än mottagaren ser personuppgifter i ett dokument
personuppgifter i ett dokument, ska kuvertet tydligt märkas med ”Konfidentiellt – adressat
endast adressat”.

9.3 Om det är nödvändigt att skicka en stor mängd pappersarbete, t.ex. en eller flera filer, bör ett robust, manipuleringssäkert kuvert användas.

9.4 Om information anses utgöra en rimligt hög risk för förlust eller felplacering bör den i möjligaste mån levereras personligen till den mottagande avdelningen.

Postkontor

9.5 Vi skickar rutinmässigt brev som innehåller personlig och känslig information till våra kunder. Men även om det är rutin måste man ändå se till att informationen är korrekt adresserad till en namngiven mottagare och att informationen inte av misstag skickas till fel mottagare. Post som går till fel mottagare är en fara för den person vars information skickas. Det sätter också Huuray i riskzonen för att bryta mot vårt ansvar enligt DPA.

9.6 När du skickar personliga eller känsliga uppgifter per post måste du tydligt märka kuvertet med en returadress i händelse av felleverans.

9.7 När informationen som ska skickas är personuppgifter av särskild kategori måste följande alltid beaktas vid beslut om vilket överföringsmedel som är lämpligt:

  • Informationens exakta natur, dess känslighet, sekretess eller värde.
  • Den skada eller oro som kan orsakas individer om uppgifterna förloras eller nås av obehöriga personer.
  • Den effekt som en förlust skulle ha på Huuray
  • Hur brådskande det är att tillhandahålla informationen, med hänsyn till effekten av att inte skicka uppgifterna eller eventuella förseningar i att skicka dem.

9.8 Om det anses lämpligt att skicka personuppgifter av särskild kategori med vanlig post, måste följande åtgärder vidtas:

  • Det kuvert i vilket informationen skall skickas skall vara tydligt adresserat till en namngiven mottagare.
  • Adressen måste kontrolleras noggrant och, i förekommande fall, måste mottagaren kontaktas direkt för att bekräfta att adressen är korrekt och aktuell.
  • Informationen måste skickas med en spårbar metod, t.ex. rekommenderad post, såvida inte dataskyddsombudet har godkänt standardpost som lämplig.
  • Leveransen ska verifieras så snart som möjligt och eventuella problem ska omedelbart rapporteras till din närmaste chef.
  • Returnerade försändelser får inte skickas tillbaka till samma adress utan ytterligare kontroller för att bekräfta att adressen är korrekt och aktuell.

Kurir

9.9 När du använder en kurir för att transportera personlig information, se till att de är kända och betrodda att arbeta inom lämpliga säkerhetsstandarder. Innan du överlämnar dokument eller bärbara medier, se till att de är de som de påstår sig vara och be om en lämplig form av identifiering och en signatur för att bekräfta mottagandet.

Manuell leverans/upphämtning

9.10 Om det inte anses lämpligt att överföra personuppgifter via vanliga posttjänster eller kurir, måste informationen levereras personligen till mottagaren eller ett avtal måste ingås för att uppgifterna ska samlas in och ett register föras som innehåller

En kort beskrivning av den information som lämnats

När informationen lämnades

Mottagarens namn och kontaktuppgifter, deras beteckning, om tillämpligt, och underskrift.

9.11 Innan du lämnar över dokument eller bärbara medier bör du, precis som vid kurirförsändelser, säkerställa att mottagaren är den han eller hon utger sig för att vara och begära en lämplig form av identifiering.

10. Kontrollera information innan den skickas

10.1 När personuppgifter i en särskild kategori eller personuppgifter som annars kan orsaka skada eller obehag om de avslöjas för en tredje part skickas utanför Huuray i något format, bör avsändaren överväga att låta informationen kontrolleras av en annan person innan den skickas. Observera att detta inte överför ansvaret för att säkerställa att korrekt information har erhållits i första hand.

Den person som skickar informationen är ansvarig för:

  • Se till att den e-postadress eller postadress som informationen skickas till är korrekt och aktuell.
  • Se till att en namngiven mottagare av informationen tydligt anges när informationen levereras i pappersform.
  • Tydligt märka kuvertet/paketet med en returadress i händelse av felleverans.
  • Se till att ingen information om tredje part inkluderas av misstag, varken i ett brev/mejl eller i ett bifogat dokument (eller om ett kalkylblad har flera kalkylblad).

Den person som kontrollerar uppgifterna är ansvarig för:

  • Kontrollera att den e-postadress eller postadress som informationen skickas till är korrekt genom att hänvisa till en lämplig källa och se till att eventuella avvikelser tas upp med avsändaren.
  • Om informationen tillhandahålls i pappersform, kontrollera att rätt namngiven mottagare av informationen har angetts.
  • Kontrollera att ingen information om tredje part har inkluderats av misstag, vare sig i ett brev/mejl eller i bifogade dokument.
  • Anteckna att de har kontrollerat e-postmeddelandet, brevet och/eller bilagorna.
  1. Dataportabilitet

11.1 Om personuppgifter behandlas på grundval av samtycke och på automatiserad väg kan de registrerade begära att få sina personuppgifter överförda direkt från en personuppgiftsansvarig till en annan, om det är tekniskt möjligt.
11.2 Om du får en begäran från en registrerad att överföra sina personuppgifter i en bärbar form eller till en annan organisation, vänligen kontakta dataskyddsombudet för råd om hur du ska gå tillväga.

12. Brud på datasikkerheden

12.1 Dataintrång inkluderar både bekräftade och misstänkta incidenter.
12.2 En incident enligt denna policy är en händelse eller åtgärd som kan äventyra sekretessen, integriteten eller tillgängligheten av system eller data, antingen oavsiktligt eller avsiktligt, och har orsakat eller har potential att orsaka skada på Huurays informationstillgångar och/eller rykte.
12.3 En incident inkluderar, men är inte begränsad till, följande:

  • Förlust eller stöld av konfidentiella eller känsliga uppgifter eller utrustning där sådana uppgifter lagras (t.ex. förlust av bärbar dator, USB-minne, iPad/tablet-enhet eller pappersdokument);
  • Stöld av utrustning eller funktionsfel;
  • Systemfel;
  • Obehörig användning, åtkomst eller ändring av data eller informationssystem;
  • Försök (misslyckade eller framgångsrika) att få obehörig tillgång till information eller IT-system;
  • Obehörigt röjande av känsliga/konfidentiella uppgifter.
  • Skadegörelse på webbplats.
  • Hackerattacker.
  • Oförutsedda omständigheter som brand eller översvämning.
  • Mänskliga fel.
  • ”Blagging”-brott där information erhålls genom att lura den organisation som innehar den.
  • Rapportera en incident

12.4 Varje person som har tillgång till, använder eller hanterar Huurays information är ansvarig för att omedelbart rapportera dataintrång och informationssäkerhetsincidenter till DPO (på rg@huuray.com) och vår IT-avdelning (på tech@huuray.com).
12.5 Om överträdelsen inträffar eller upptäcks utanför normal arbetstid måste den rapporteras så snart det är praktiskt möjligt.
12.6 Rapporten måste innehålla fullständig och korrekt information om incidenten, när överträdelsen inträffade (datum och tid), vem som rapporterar den, om uppgifterna rör individer, informationens natur och hur många individer som är inblandade.

Inneslutning och återställande

12.7 Dataskyddsombudet ska först avgöra om överträdelsen fortfarande pågår. Om så är fallet ska lämpliga åtgärder omedelbart vidtas för att minimera effekterna av överträdelsen.
12.8 Ombudet ska göra en inledande bedömning i samarbete med relevant personal för att fastställa hur allvarlig överträdelsen är och vem som ska leda utredningen av överträdelsen som huvudansvarig för utredningen (detta beror på överträdelsens art; i vissa fall kan det vara ombudet).
12.9 Den ledande utredningsansvarige (LIO) ska avgöra om det finns något som kan göras för att återvinna eventuella förluster och begränsa den skada som överträdelsen kan orsaka.
12.10 LIO kommer att avgöra vem som behöver meddelas som en del av den inledande avgränsningen och kommer att informera polisen där så är lämpligt.
12.11 Expertråd kan sökas för att lösa incidenten snabbt.
12.12 LIO, i samarbete med relevant(a) anställd(a), kommer att avgöra vilka åtgärder som behöver vidtas för att säkerställa att incidenten löses.

Undersökning och riskbedömning

12.13 LIO ska genomföra en utredning omedelbart och, i den utsträckning det är möjligt, inom 24 timmar från det att överträdelsen upptäcktes/rapporterades.
12.14 LIO ska utreda överträdelsen och bedöma de risker som är förknippade med den, såsom de potentiella negativa konsekvenserna för enskilda, hur allvarliga eller betydande de är och hur sannolikt det är att de inträffar.
12.15 Utredningen ska ta hänsyn till följande:

  • Vilken typ av uppgifter det rör sig om;
  • Deras känslighet;
  • Det skydd som finns på plats (t.ex. kryptering);
  • Vad som har hänt med uppgifterna (t.ex. har de förlorats eller stulits);
  • Om uppgifterna kan användas för något olagligt eller olämpligt;
  • Registrerade som berörs av överträdelsen, antalet inblandade personer och den potentiella
  • påverkan på dessa registrerade;
  • Om det finns mer omfattande konsekvenser av överträdelsen.

Underretning

12.16 LIO och/eller DPO kommer, i samråd med relevanta kollegor, att avgöra om den danska dataskyddsmyndigheten ska underrättas om överträdelsen och i så fall underrätta dem inom 72 timmar efter att ha blivit medveten om överträdelsen där så är möjligt.
12.17 Varje incident kommer att bedömas från fall till fall, men följande bör beaktas:

  • Huruvida överträdelsen sannolikt kommer att leda till en hög risk för negativ inverkan på enskilda personers rättigheter och friheter enligt dataskyddslagstiftningen;
  • Huruvida anmälan kommer att hjälpa de berörda personerna (t.ex. kan de agera utifrån informationen för att minska risken?
  • Huruvida anmälan kommer att bidra till att förhindra obehörig eller olaglig användning av personuppgifter;
  • Om det finns några rättsliga eller avtalsmässiga krav på anmälan;
  • Riskerna med för mycket anmälan. Alla incidenter behöver inte anmälas, och överanmälningar kan leda till oproportionerliga förfrågningar och arbete.

12.18 Individer vars personuppgifter har påverkats av incidenten och där det har bedömts sannolikt att resultera i en hög risk för negativ inverkan på individens rättigheter och friheter kommer att informeras utan onödigt dröjsmål. Underrättelsen ska innehålla en beskrivning av hur och när överträdelsen inträffade och vilka uppgifter som berörs. Specifika och tydliga råd kommer att ges om vad de kan göra för att skydda sig själva och vilka åtgärder som redan har vidtagits för att minska risken. Individer kommer också att få ett sätt på vilket de kan kontakta Huuray för ytterligare information eller för att ställa frågor om vad som har hänt.
12.19 LIO och/eller DPO måste överväga att meddela tredje part såsom polisen, försäkringsbolag, banker eller kreditkortsföretag och fackföreningar. Detta skulle vara lämpligt om olaglig verksamhet är känd eller tros ha inträffat eller om det finns risk för att olaglig verksamhet kan inträffa i framtiden.
12.20 Alla personuppgiftsbrott kommer att registreras, oavsett om det var obligatoriskt att rapportera.

Utvärdering och åtgärder

12.21 När den första incidenten har hanterats kommer dataskyddsombudet att genomföra en fullständig granskning av orsakerna till överträdelsen, effektiviteten i åtgärderna och om ändringar av system, policyer och förfaranden behöver göras.
12.22 Befintliga kontroller ska granskas för att avgöra om de är tillräckliga och om korrigerande åtgärder behöver vidtas för att minimera risken för att liknande incidenter inträffar.
12.23 Granskningen ska beakta:

  • Var och hur personuppgifter förvaras samt var och hur de lagras;
  • Var de största riskerna finns, inklusive identifiering av potentiella svaga punkter i befintliga säkerhetsåtgärder;
  • Huruvida överföringsmetoderna är säkra; dela minsta nödvändiga mängd data;
  • Medvetenhet hos anställda;
  • Implementera en plan för dataintrång och identifiera en grupp personer som ansvarar för att
  • Svara på rapporterade säkerhetsöverträdelser.

12.24 Om det anses nödvändigt kommer en rapport som rekommenderar eventuella ändringar av system, policyer och förfaranden att presenteras för Huurays högsta ledning.

13. Datahantering

13.1 All data som hanteras på Huuray måste överensstämma med de policyer som anges i dataskyddspolicyn och i policyn för hantering och överföring av data.
13.2 Underlåtenhet att följa dessa policyer som anställd hos Huuray kan leda till uppsägning av ditt anställningsavtal.
13.3 Det är av yttersta vikt att Huurays datapolicy följs och uppfylls.
13.4 Dessa policyer kommer alltid att finnas tillgängliga i den mest uppdaterade versionen, för alla anställda, i vår online Elev.io plattform.

Rune Eirby Poulsen
CEO – Huuray A/S