Sikkerhed

Fysiske dokumenter med personoplysninger, skal opbevares utilgængeligt for uvedkommende, og så kun personer med et arbejdsbetinget behov kan anvende dem. Ved arbejdsdagens ophør må dokumenter med personoplysninger eller fortrolige oplysninger ikke ligge fremme.

Adgang til lokaler skal sikres mod uvedkommendes adgang. Lokaler, hvor der opbevares personoplysninger, skal være aflåst, når ingen medarbejdere er til stede.

Indret fx kontoret så uvedkommende ikke kan kigge med på skærmen, og vær opmærksom på, at kolleger, brugere og besøgende ikke utilsigtet får adgang til personoplysninger.

Menighedsrådet kan indføre fysiske foranstaltninger som fx:

• Begrænset adgang til lokaler og skabe med personoplysninger (kun for medarbejdere med arbejdsbehov)
• Særskilt nøgle, koder og alarm til lokaler og skabe med personoplysninger
• Særlig opmærksomhed på besøgendes adgang til lokaler, hvor der opbevares personoplysninger
• Indretning af kontorer, så skærme ikke kan ses af uvedkommende
• Bortskaffelse/makulering af fysiske dokumenter med personoplysninger.

Menighedsrådet kan indføre tekniske foranstaltninger som fx

• Adgang til pc, tablets med videre kun for medarbejdere med arbejdsbetinget behov
• Individuelt brugernavn og adgangskode til alle arbejdsstationer
• Krav om at adgangskode er minimum X antal tegn (Adgangskode antal tegn/indeholde store, små bogstaver, tal, specialtegn, udskiftningsinterval)
• Brugeren skal logge af eller låse sin arbejdsstation hver gang den forlades
• Automatisk log-ud ved inaktivitet i X minutter
• Systemet låser efter X antal fejlslagne loginforsøg, og disse kontrolleres
• Installeret antivirusprogram med løbende automatisk scanning
• Al forsendelse og opbevaring sker krypteret
• Der benyttes VPN, kryptering eller lignende ved hjemmearbejde
• Mobilt udstyr skal være sikret med PIN- eller adgangskode
• Gæstenetværk, så kun medarbejdere med videre bruger kirkens interne netværk.

Organisatoriske foranstaltninger handler om at sikre, at medarbejdere, frivillige og menighedsrådsmedlemmer ved, hvordan personoplysninger behandles sikkert.

Menighedsrådet kan fx indføre:

• Formålsbeskrivelse og beskrivelse af, hvilke oplysninger, der behandles
• Uddannelse og instruktion af medarbejdere og andre tilknyttede i opbevaring, sikkerhed, fortrolighed og omgang med personoplysninger
• Klare retningslinjer for kommunikation, tidsfrister og reaktion ved sikkerhedsbrud
• Egenkontrol af ovenstående
• Tilslutning til ”Adfærdskodeks for menighedsråds behandling af personoplysninger som led i sognepleje”.

Folkekirkens Intranet (FIN) er en lukket og sikker platform, hvor menighedsrådet kan dele oplysninger.

På FIN (bag login) er der adgang til:

• Den almindelige fælles sognemail (udvalgspostkassen) og fortroligpostkassen (den fortrolige udvalgspostkasse)
• Kirkeportalen, hvor der findes dokumentarkiv, brugerrettighedsstyring, adgang til budget og regnskab med videre
• Grupperum, blandt andet ”Informationssikkerhed og databeskyttelse i folkekirken”.

Dokumentarkivet kan bruges til fx dagsorden/bilag til menighedsrådsmøder og udvalgsmøder og til personalemapper.

Menighedsrådet får automatisk to licensadgange til FIN via login med MitID, som normalt tildeles formanden og den personaleansvarlige. Flere licenser kan købes til de øvrige menighedsrådsmedlemmer, hvilket Landsforeningen og stifterne anbefaler.

Hvis et medlem har en enkeltmandspost som fx kasserer, kontaktperson eller kirkeværge, vil det fremgå af FIN. Med en licens får disse personer adgang til relevante mapper. Den personaleansvarlige og formanden har for eksempel automatisk adgang til fortrolig-postkassen og dens arkiv, hvor personalemapper kan oprettes.

Formanden, som er sikkerhedsansvarlig, kan give andre i rådet eller en ansat adgang til fortrolig-postkassen. Adgange skal fornyes hver sjette måned, ellers bortfalder de automatisk. Ved fratrædelse eller manglede behov skal adgangen fjernes med det samme.

Hvis den lukkede del af Folkekirkens Intranet (FIN) tilgås fra en privat pc, må materiale med person- eller fortrolige oplysninger ikke gemmes lokalt.

Hvis alle menighedsrådsmedlemmer har adgang til Folkekirkens Intranet (FIN), styrker det både datasikkerheden og kontinuitet.

Følsomme personoplysninger må ikke deles internt mellem menighedsrådsmedlemmer via almindelige e-mails, da de ikke er krypterede og derfor usikre. I stedet kan der sendes en besked til privatmailen om, at der ligger materiale tilgængeligt i arkivet.

Brugen af arkivet sikrer kontinuitet, fordi alt relevant materiale opbevares og kan tilgås af nye medlemmer. 

Sikker mail

Vær opmærksom på, hvilke mailadresser I bruger, og hvilke oplysninger I sender. Kravene til sikker kommunikation afhænger både af modtageren og af, hvilke oplysninger I sender. Menighedsrådet skal sikre sig, at mailforsendelsen sker krypteret. Mails sendt fra @sogn.dk- eller @km.dk-adresser er krypterede og kan bruges til at sende både almindelige, følsomme og fortrolige oplysninger til eksterne.

Alle med login til Folkekirkens Intranet (FIN) har en km-mailadresse, og kan dermed sende sikkert.

Det er ikke muligt at opsætte automatisk videresendelse af mail til adresser uden for Kirkenettet. 

”Egen” mail

Nogle menighedsråd har egne mailkonti uden for Kirkenettet fx formand@voreskirke.dk, eller kirketjener@voreskirke.dk. Menighedsrådet har selv ansvaret for, at disse konti bruges sikkert – både i forhold til forsendelse og opbevaring. Menighedsrådet kan kontakte mailudbyder for oplysning og korrekt opsætning. Hvis menighedsrådet selv har oprettet en voreskirke@gmail.com, NNkirkegård@hotmail.com er hverken forsendelse eller opbevaring sikker.

Menighedsrådet kan købe licenser via Folkekirkens It, så både menighedsrådsmedlemmer og ansatte kan få egen @km.dk-mailadresse. Der kan også oprettes mailadresse til en stilling fx kirketjenerXXXX@km.dk.

I menighedsrådet er formanden ansvarlig for sikkerheden, men menighedsrådet kan vælge at overdrage ansvaret til et andet medlem. Den sikkerhedsansvarlige skal sikre, at personoplysninger behandles forsvarligt. Det indebærer, at ansatte, frivillige og menighedsrådsmedlemmer kender reglerne for håndtering af oplysninger og udviser sikker it-adfærd. Der skal også føres tilsyn med, at fysiske dokumenter med følsomme personoplysninger håndteres korrekt.

Når der vælges nye medlemmer til menighedsrådet eller ansættes nye medarbejdere, der får adgang til Kirkenettets systemer, skal den sikkerhedsansvarlige udlevere informationssikkerhedspolitikken og cirkulæret. De nye brugere skal læse materialet.

Den sikkerhedsansvarlige administrerer hvilke brugere, der har adgang til hvilke it-systemer. Hvert halve år skal den sikkerhedsansvarlige kontrollere, at den enkelte bruger kun har de nødvendige rettigheder på Folkekirkens Intranet (FIN). Den sikkerhedsansvarlige modtager en mail forud for genautorisering, hvor både fremgangsmåde og frist er beskrevet. Hvis ikke fristen overholdes, mister brugeren adgangen.

Procedure og frist

Et brud skal anmeldes til Datatilsynet straks og senest 72 timer efter, det opdages. Fristen gælder også i weekender, ferier og på helligdage. Overskrides de 72 timer, skal den dataansvarlige kunne redegøre for hvorfor anmeldelsen til Datatilsynet ikke kunne ske inden for fristen.

Anmeldelse kan ske trinvis og senere suppleres. At den dataansvarlige ikke kan afgive alle de oplysninger, der som minimum skal med i anmeldelsen, inden for 72 timer, er ikke en undskyldning for at undlade anmeldelse.  Den dataansvarlige må i stedet indsende oplysninger trinvist til Datatilsynet uden yderligere forsinkelse.

Anmeldelse sker via det offentlige indberetningssystem www.virk.dk og kræver, at anmelderen har sognets brugeradgang til www.virk.dk. Oftest har en kordegn brugeradgang til www.virk.dk for at kunne indberette sygedagpengerefusion med videre. Vær opmærksom på, at det kan være en fordel, at et menighedsrådsmedlem også har brugeradgang, så indberetning af brud kan ske rettidigt, også selv om kordegnen er fraværende.

På www.virk.dk udfylder anmelderen en formular med oplysninger om databruddet. Formularen skal indsendes, også selv om anmeldelsen kun er delvis. Den kan senere suppleres.

Minimumskrav til anmeldelsen (udfyldes i formularen):

• Karakteren af bruddet på persondatasikkerheden
• Navn og kontaktoplysninger på databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
• De sandsynlige konsekvenser af bruddet på persondatasikkerheden
• De foranstaltninger, som den dataansvarlige har truffet eller foreslår for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse skadevirkninger.

Menighedsrådet skal vurdere risikoen for at afgøre, om der skal ske underretning. Alle mulige konsekvenser for den registrerede bør tages i betragtning.

Underretning skal ske, hvis bruddet indebærer en høj risiko for personers rettigheder og frihedsrettigheder. Der findes i databeskyttelsesforordningen ikke en definition af begrebet høj risiko, men jo alvorligere konsekvenser et brud kan medføre, jo større er risikoen for de berørte personer. Eksempler på brud, hvor man vurderer, at der er høj risiko for den registrerede, kan være læk af CPR-numre (risiko for identitetstyveri) eller hemmelig adresse (risiko for at blive fundet).

Underretning skal ske til den enkelte registrerede uden unødig forsinkelse og være klar og forståelig. Den skal beskrive karakteren af bruddet og mindst indeholde oplysninger om:

• Navn og kontaktoplysninger på databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
• De sandsynlige konsekvenser af bruddet på persondatasikkerheden
• De foranstaltninger, som den dataansvarlige har truffet eller foreslår for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse skadevirkninger.

Underretning er ikke nødvendig, hvis bruddet sandsynligvis ikke indebærer en høj risiko for den registrerede. Derudover hvis en af følgende betingelser er opfyldt:

• Den dataansvarlige inden bruddet har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger.
• Den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registrerede ikke længere er reel.
• Fx hvis en kirketjener kortvarigt har set en deltagerliste med allergioplysninger, og den dataansvarlige straks indskærper tavshedspligten.
• Det vil kræve en uforholdsmæssig indsats – i så fald skal der i stedet gives en offentlig meddelelse eller tilsvarende foranstaltning, så de registrerede underrettes på en tilsvarende effektiv måde.

Hvis I er i tvivl om, hvorvidt et brud kræver underretning af den registrerede, kan I altid kontakte Landsforeningen eller stifterne for rådgivning herom.

Alle sikkerhedshændelser skal logges eller registreres.

Menighedsrådet skal dokumentere alle brud- også dem, der ikke indberettes. Dokumentationen skal beskrive de faktiske omstændigheder, konsekvenser, afhjælpende foranstaltninger, og om der er indsendt anmeldelse til Datatilsynet.