Smart håndbog om ny databeskyttelsesforordning

Personoplysninger er enhver form for information, der kan henføres til fysiske personer, også selv om dette forudsætter kendskab til et personnummer, registreringsnummer eller lignende. Oplysninger i form af f.eks. et billede eller et fingeraftryk er også personoplysninger.

Der skelnes mellem personoplysninger og ”følsomme personoplysninger”: 

• Race, etnisk oprindelse
• Politisk, religiøs overbevisning
• Fagforeningstilhør
• Helbredsoplysninger
• Seksuel orientering
• Genetiske data
• strafbare forhold
• CPR-nummer

Almindelige personoplysninger:

Navn, adresse, fødselsdato
• Børn og relaterede
• Familieforhold, bolig, bil
• Ansættelsesdato, stilling
• Job ansøgning, CV
• Skat og Gæld

Håndtering af personoplysninger
- Du må behandle personoplysninger, hvis du har lovgrundlag for det eller har fået borgerens samtykke.

Behandling af CPR-nummer
CPR-numre behandles som udgangspunkt som følsomme oplysninger ,og må derfor kun behandles, når det er nødvendigt som følge af lovgivningen, eller der er givet samtykke.
Strafbare forhold
Oplysninger om strafbare forhold må kun behandles, hvis der foreligger samtykke, eller det er nødvendigt for at varetage en berettiget interesse.

Behandling af følsomme oplysninger
- er som udgangspunkt forbudt. Der er dog undtagelser:
• hvis den registrerede har givet udtrykkeligt samtykke,
• hvis det eksempelvis kan beskytte den registreredes eller andres vitale interesser, eller
• hvis det er nødvendigt for at overholde arbejdsretlige forpligtelser (lovbestemt grundlag)

• Du må kun behandle personoplysninger, hvis du har lovgrundlag for
det, eller du har fået borgerens samtykke i en erklæring, som tydeligt forklarer, hvad dataen skal bruges til.
• Hvis dataen skal bruges til flere formål, skal det fremgå tydeligt af samtykkeerklæringen.
• Du må kun indhente data, som er nødvendig for, at du kan løse din opgave.

Hvis du opdager, at data er fejlagtige, skal du sørge for, at de bliver rettet eller opdateret hurtigst muligt.

Data, som indeholder personoplysninger, og som skal gemmes i mere end 30 dage, skal lagres i et fagsystem eller i SBSYS, hvor der er en logning af, hvem der har tilgået data, hvem der har rettet i data, og hvornår det er sket.
Det gælder også for personoplysninger, som du håndterer via Outlook.

Det sikrer også, at data er sikkerhedskopieret og
kan gendannes ved menneskelige, tekniske fejl eller hackerangreb.

Du må ikke gemme data længere, end det er nødvendigt for at løse opgaven
• Din afdeling skal have en beskrevet procedure for, hvor længe du gemmer data i hvert enkelt system og/eller sagstype.
• Din afdeling skal have en beskrevet procedure for, hvordan data slettes inden for tidsfristen
• Hvis data skal sendes til arkiv, skal lokalarkivet sørge for, at det sker, inden data slettes, og at retningslinjerne for anonymisering af data er opfyldt.

På blanketter, selvbetjeningsløsninger mv. skal borgeren være oplyst om følgende:

Formålet med behandlingen
• Hvilke afdelinger der bruger data
• Kontaktoplysninger på afdelingerne
• Kontaktoplysninger på Databeskyttelsesrådgiveren
• Det er en lovmæssige hjemmel, der ligger til grund for indsamling og behandling af data
• Hvem data eventuelt videregives til
• Hvornår data slettes
• Klagemulighed og ret til indsigt i data

Hvis borgeren spørger, har hun/han krav på at få svar på følgende inden for 30 dage. Det er vigtigt, at svaret er let forståeligt og ikke bliver for teknisk.

Hvilke data kommunen har om borgeren
• Hvad vi bruger data til
• Hvor vi har fået data fra
• Hvem der har adgang til data
• Med hvilken lov eller samtykke vi har ret til at anvende data
• Hvor/hos hvem data opbevares

Hvis uheldet er ude, og der sker et brud på datasikkerheden, så personoplysninger bliver kompromitteret, skal du gøre følgende:

Underet din leder og sikkerhedskoordinatoren om sikkerhedsbruddet
• Datatilsynet skal eventuelt underrettes (via kommunens databeskyttelsesrådgiver) om hændelsen inden for 72 timer med en beskrivelse af
1.  Hvilke typer data
2. Hvor mange, der er berørt
3. Sandsynlige konsekvenser ved bruddet
4. Foranstaltninger som er truffet for at håndtere bruddet
5. Foranstaltninger for at begrænse skadevirkningen
6. Kontakt oplysninger på databeskyttelsesrådgiveren
7. De berørte borgere skal eventuelt have besked om bruddet og eventuelle konsekvenser for deres privatliv

Begrænsninger omkring kommunikation ved sikkerheds hændelser:
Kommunale medarbejdere eller konsulenter må ikke kommunikere om sikkerhedshændelsen uden en tilladelse fra deres overordnede eller sikkerhedskoordinatoren.

Din afdeling skal have en fortegnelse over de databehandlinger, som finder sted i din opgaveløsning. Den interne informationssikkerhedsgruppe har en skabelon til formålet. Fortegnelsen skal indeholde:

Navn og kontaktoplysninger på dataansvarlig (Chef/leder som er systemejer), og kommunens databeskyttelsesrådgiver
• Formålet med databehandlingen
• Hvilke kategorier af data du har i din databehandling
• Hvem der modtager disse data – fx anden afdeling eller anden myndighed
• Hvornår de forskellige kategorier af data bliver slettet fra systemet
• Hvilke organisatoriske og tekniske sikkerhedsforanstaltninger der er foretaget i forhold til beskyttelse af personoplysningerne.

Det er dit ansvar som leder, at adgang til data kun er
muligt for medarbejdere, som har brug for det
• Der kan være forskel på, om en medarbejder kan se eller rette i data
• Hver medarbejder har et unikt login, og det skal kunne logges, hvem der har læst eller rettet i data.

Vurder om personoplysningerne er relevante for løsning af opgaven
• Vurder og foretag sikring af fortrolighed, integritet og tilgængelighed
• Lav eventuelle nødprocedurer
• Vurder, om der skal foretages kryptering eller pseudonymisering
• Brug ISO 27001 og 27002 som drejebog til at foretage nødvendige organisatoriske og tekniske foranstaltninger og dokumentation
• Få underskrevet en leverandørerklæring, hvis eksterne konsulenter skal have adgang til data – kontakt den interne informationssikkerhedsgruppe for at få en blanket til leverandørerklæring.

Din leder skal sikre sig, at det it-system eller den tjeneste din afdeling indgår aftale om, lever op til databeskyttelsesforordningen fx mht. sikkerhed, hvor data lagres, hvilke typer data der håndteres, brugeradgang, sletning, udveksling af data mv.
• Der skal indgås en databehandleraftale, hvori leverandøren og Kommunen indgår en skriftlige aftale om, hvordan leverandøren forvalter data efter gældende lovgivning og evt. særlige krav.
• Kontrakt og databehandleraftale skal indgås i samarbejde med dataansvarlige, it- afdelingen, leverandøren og din afdeling.
• Når data opbevares hos en ekstern leverandør, skal data ligge i EU. Alternativt skal leverandøren underskrive en erklæring om, at data behandles efter gældende lovgivning i EU.

Din leder skal sikre og kontrollere, at leverandøren har de fornødne tekniske og organisatoriske tiltag omkring data, og hvem der har adgang til dem. F.eks. Skal medarbejders adgang til følsomme personoplysninger revideres 2 gange om året af den dataansvarlige.

Hvis din afdeling bruger eksterne konsulenter, andre aktører eller leverandører til at løse opgaver, hvor de får adgang til kommunens data, skal der indgås en skriftlig aftale, hvor det sikres, at de lever op til de sikkerhedspolitikker og procedure, der er vedtaget i Kommunen.
Sikkerhedsgruppen kan hjælpe med de rigtige formularer og tavshedserklæringer til eksterne it- leverandører.

Særlige følsomme personoplysninger kræver konsekvensanalyse, som omfatter:

Beskrivelse af hvorfor og hvordan du behandler data
• Vurdering af om behandlingsaktiviteterne er nødvendige og rimelige i forhold til formålet
• Vurdering af risici for borgerens rettigheder, hvis data kompromitteres
• Beskrivelse af de foranstaltninger der er foretaget for at imødegå risici og for at overholde databeskyttelsesforordningen.

Konsekvensanalysen skal evalueres af kommunens databeskyttelsesrådgiver.

Enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

Behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person. 

En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU- retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret.

Enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Alle henvendelser skal sendes til gdpr@albertslund.dk, hvorfra du vil modtage svar på din henvendelse.

Ved kontakt hertil vil IT & Digitalisering hjælpe med alt fra spørgsmål om GDPR til databehandleraftaler til risikovurderinger og generel juridisk rådgivning.

Der ydes også støtte i forhold til fortegnelser, de registreredes rettigheder, sikkerhedshændelser og -brud.

Kontakt gerne din lokale GDPR-kontaktperson for vejledning, før du kontakter gdpr@albertslund.dk 
Find din lokale GDPR-kontaktperson i listen længere nede på siden.

OBS drejer din henvendelse sig om sikkerhedshændelser og -databrud, skal du altid skrive til gdpr@albertslund.dk hurtigst muligt.

Albertslund Kommunes databeskyttelsesrådgiver (DPO) er Christian Abildløkke Rasmussen. 
E-mail: DPO-J@hvidovre.dk

Borger & Arbejdsmarked

Dagtilbud
Jeanet Bach Jensen

Drift & Service
Nadia Børner Weinell og Ulla Kruse

Den Kriminalpræventive Enhed
Mikkel Østergaard

Miljø & Teknik
Andreas Hedeby Jensen

Sekretariatet for Byudvikling & Erhverv
Brian Andersen og Kathrine Guldbrandt Nielsen.

Skoler & Uddannelse

Sundhed, Pleje & Omsorg
Alex Emil Nørregaard Hansen

Voksen & Social samt Børn & Familie
Anna Bojsen

Økonomi & Stab