Sikkerhedsbrud i Skoleforvaltningen
Derfor er alle forpligtede til at kende og følge vedhæftede procedure, hvis man opdager/har mistanke om, at persondata er gået tabt, uberettiget ændret eller kommet til uberettigede personers kendskab.
Så hvis du/andre f.eks. kommer til f.eks. at sende personoplysninger til den forkerte, har mistet dokumenter eller hardware med personoplysninger, hvis andre har haft adgang til din pc (på din brugerprofil), hvis de forkerte personer har læst dokumenter med personoplysninger fra fysiske arkiver eller lignende, skal du reagere i forhold til Sikkerhedsbrud 1-8 ovenfor, da situationen fra centralt hold skal være indberettet til Datatilsynet INDEN 72 TIMER (gælder også weekends, ferie- og helligdage).
Skriv til Sikkerhedsbrud i Skoleforvaltningen
1. Stands ulykken
Handling
Hvis en ansat i kommunen har forårsaget eller blot får kendskab til et sikkerhedsbrud, er det vedkommendes pligt øjeblikkeligt at tage de nødvendige skridt til at standse ulykken.
Hvordan?
Afhænger af hvilket sikkerhedsbrud, der er tale om, men det kan f.eks. være hurtigst muligt at fjerne offentliggjort materiale fra nettet eller forsøge at standse tab af fysiske dokumenter, fjerne rettighedsadgange eller lignende.
2. Underret
Handling
Herefter underrettes straks sikkerhedsvagten på
Skriv til SikkerhedsbrudHvordan?
Mailen skal have overskriften i emnefeltet:
”HASTER! Sikkerhedsbrud Xindsæt skole/ afdelingsnavnX”.
Følgende skal oplyses i mailen:
- Hvad er der sket?
- Hvorfor skete det (menneskelig fejl, systemfejl, hackere mv.)?
- Er ulykken standset og hvordan?
- Hvad planlægges der yderligere for at rette op på den konkrete situation (fjerne oplysninger, udsende undskyldning mv.)?
- Hvad tænker vi at gøre fremadrettet for at undgå noget lignende?
3. Orienter leder
Handling
Hvis ikke allerede nærmeste leder er orienteret, skal dette gøres.
Hvordan?
Lederen har pligt til at påse:
- at ovenstående mail er afsendt,
- at ulykken er standset,
- at aftale med medarbejderen, hvem af dem, der tager sig af punkt 4-7, og
- at der tages de nødvendige skridt til at forebygge lignende sikkerhedsbrud fremover (se nærmere i punkt 7).
4. Orienter den presseansvarlige
Handling
Hvis der er tale om en større/alvorlig hændelse.
Hvordan?
Indenfor kommunens åbningstid:
Kommunikationskonsulent Cornelius Corneliussen
på tlf. 93 52 00 11
Udenfor kommunens åbningstid (alle dage i tidsrummet 7-23):
Forvaltningens pressevagt på tlf. 99 82 10 82
5. Kontakt forkert modtager
Handling
Hvis hændelsen omfatter udsendelse af oplysninger til forkert modtager, tager vi straks kontakt til denne.
Hvordan?
Vi beklager fejlen og anmoder om, at de fejlagtigt modtagne papirer returneres til forvaltningen og slettes i modtagerens indbakke og slettet post.
Vi oplyser, at vi tager kontakt til den skadelidte borger for at orientere om fejlen.
6. Kontakt til skadelidte borger
Handling
Vi behøver ikke tage kontakt, hvis:
- hændelsen ikke medfører en sandsynlig risiko for en persons rettigheder, eller
- hvis risikoen for den registrerede ikke er høj.
Denne vurdering foretages i samarbejde med databeskyttelseskonsulenten.
Hvordan?
Forklar situationen:
- hvilke oplysninger drejer det sig om,
- hvor mange borgere og evt. hvem er berørt,
- om oplysningerne er fjernet og hvorfra,
- hvor lang tid, de har været synlige
- og hvis vi ved, hvem der har set dem.
Vi beklager naturligvis på forvaltningens vegne.
7. Dokumentation/journalisering
Handling
Der laves et kort notat om forløbet.
Hvordan?
Der oprettes i eDoc (et arkiveringssystem) en særskilt sag om hændelsen med titlen:
”SK - GDPR - Sikkerhedsbrud”
Notatet journaliseres af sekretæren på sagen.
Notatet sendes endelig til orientering til:
Skriv til Sikkerhedsbrudmed overskriften i emnefeltet:
”Notat, sikkerhedsbrud Indsæt skole/ afdelingsnavn”.
8. Sagen afsluttes
Når der er sket orientering af de relevante parter, og sagen er færdigbehandlet (herunder evt. indberetning til Datatilsynet), afsluttes sagen i eDoc (et arkiveringssystem).
Dette gøres af Sikkerhedsvagten.