Sikkerhed, sikkerhedsbrud og sletning

Menighedsrådet er ansvarligt for, at medarbejdere, frivillige og menighedsrådsmedlemmer behandler personoplysninger forsvarligt og sikkert.

Det gøres ved at anvende sikker forsendelse af fx mails, og sikker opbevaring på fx Kirkeportalen samt aflåste og brandsikre fysiske arkivskabe.

Hvis der sker brud på sikkerheden, fx at andre får adgang til oplysningerne, eller menighedsrådet mister oplysningerne i fx en brand, så er der også særlige procedurer for, hvad menighedsrådet skal gøre.

Menighedsrådet har en selvstændig pligt til at slette personoplysninger, når oplysningerne ikke længere er nødvendige at behandle.

1. Sikkerhedsforanstaltninger

Menighedsrådet er ansvarligt for, at personoplysninger behandles sikkerhedsmæssigt forsvarligt. Det gælder både, når personoplysninger er i elektronisk form, men også hvis der findes fysiske dokumenter. Menighedsrådet skal sikre, at ansatte, frivillige og menighedsrådsmedlemmer alle er bekendt med, hvordan oplysninger behandles sikkert.

1.1 Fysiske foranstaltninger

Fysiske dokumenter, der indeholder personoplysninger, skal opbevares på en måde, så de ikke er tilgængelige for uvedkommende, og så kun personer med et arbejdsbetinget behov kan anvende dem. Ved arbejdsdagens ophør må dokumenter med personoplysninger eller fortrolige oplysninger ikke ligge frit fremme på arbejdspladsen.

Adgang til fysiske lokaliteter skal sikres mod uvedkommendes adgang. Lokaler, hvor der opbevares personoplysninger, skal være aflåst, når ingen medarbejdere er til stede. Indret fx kontoret så uvedkommende ikke utilsigtet kan få kigge-adgang til skærmen. Hav opmærksomhed på at kolleger, brugere og besøgende ved kirken ikke utilsigtet kan få adgang til personoplysninger.

Menighedsrådet kan indføre fysiske foranstaltninger som fx

  • Arbejdsmæssig adgang til lokaler, skabe mv., hvor der opbevares persondata
     
  • Særskilt nøgle, koder og alarm for adgang til lokaliteter eller skabe, hvor der opbevares persondata
     
  • Særlig opmærksomhed på besøgendes adgang til lokaliteter, hvor der opbevares persondata
     
  • Kontorets indretning for at begrænse kigge-adgang til skærmen
     
  • Bortskaffelse/makulering af fysiske dokumenter med persondata.

1.2 Tekniske foranstaltninger

Menighedsrådet kan indføre tekniske foranstaltninger som fx

  • Arbejdsbetinget adgang til pc, tablets mv.
     
  • Alene adgang til arbejdsstationer med individuelt brugernavn og adgangskode
     
  • Krav om at adgangskode er minimum X antal tegn (adgangskode antal tegn/indeholde store, små bogstaver, tal, specialtegn, udskiftningsinterval)
     
  • Brugeren skal logge af eller låse sin it-arbejdsstation hver gang den forlades
     
  • Automatisk timet log ud ved inaktivitet
     
  • Der foretages kontrol med afviste adgangsforsøg, låsning efter x antal fejlslagne
     
  • Der er installeret antivirusprogram – som også kan lave løbende automatisk viruscheck
     
  • Al forsendelse og opbevaring sker krypteret
     
  • Der benyttes VPN, kryptering eller lign. ved hjemmearbejde
     
  • Mobilt udstyr skal være sikret med PIN- eller adgangskode
     
  • Gæstenetværk så kun medarbejdere mv. anvender kirkens interne netværk.

1.3 Organisatoriske foranstaltninger

Organisatoriske foranstaltninger dækker over instruktionen og bevidstheden hos medarbejdere, frivillige og menighedsrådsmedlemmer om sikker behandling af persondata.

Menighedsrådet kan indføre organisatoriske foranstaltninger som fx

  • Formålsbeskrivelse og beskrivelse af hvilke oplysninger, der behandles
     
  • Uddannelse/instruktion af medarbejdere/andre tilknyttede om opbevaring, sikkerhed, fortrolighed og omgang med data
     
  • Forholdsregler, kommunikationsveje og -frister samt reaktion ved sikkerhedsbrud
     
  • Egenkontrol af ovenstående
     
  • Tilslutning til ”Adfærdskodeks for menighedsråds behandling af personoplysninger som led i sognepleje”.

Læs mere

Læs mere om Adfærdskodeksen i vejledningen “Adfærdskodeks og sognepleje”.

2. Informationssikkerhed

I menighedsrådsarbejdet håndteres forskellige personoplysninger, fx i forbindelse med personalesager, økonomi og kommunikation. Derfor er det vigtigt, at I som menighedsråd har styr på informationssikkerheden og overholder reglerne for databeskyttelse. Dette gælder både ved brug af digitale systemer som Folkekirkens Intranet (FIN) og ved den daglige kommunikation via mail og sms. I kan ved at anvende de rette systemer, sikre en god informationssikkerhed, så oplysninger bliver behandlet fortroligt og forsvarligt.

2.1 FIN-adgange

Folkekirkens Intranet (FIN) er en lukket og sikker platform, hvor menighedsrådet kan dele oplysninger.

På FIN (bag login) er der adgang til:

  • den almindelige fælles sognemail og fortroligpostkassen
     
  • Kirkeportalen, hvor der findes Dokumentarkiv, Brugerrettighedsstyring, adgang til Budget og regnskab mv.
     
  • grupperum, blandt andet ”Informationssikkerhed og databeskyttelse i folkekirken”.

I kan bruge dokumentarkivet til fx dagsorden/bilag til menighedsrådsmøder og udvalgsmøder eller til personalemapper.

Menighedsrådet får automatisk to licensadgange til FIN via login med MitID, som normalt tildeles formanden og kontaktpersonen. Der er mulighed for at købe flere licensadgange til de andre menighedsrådsmedlemmer, hvilket Landsforeningen anbefaler.

Hvis et medlem har en enkeltmandspost som fx kasserer, kontaktperson eller kirkeværge, vil det fremgå af FIN. Med en licens får disse personer adgang til relevante mapper, fx har kontaktpersonen og formanden automatisk adgang til fortrolig-postkassen og dens arkiv, hvor personalemapper kan oprettes.

Formanden, som sikkerhedsansvarlig, kan vælge, om andre i rådet eller en ansat skal have adgang til fortrolig-postkassen. Adgange skal fornyes hver 6. måned, ellers bortfalder de automatisk. Ved fratrædelse eller ophør af behov skal adgangen fjernes med det samme.

Når adgang til FIN sker via en privat pc, skal der være særlig opmærksomhed på, at materiale der indeholder personoplysninger eller fortrolige oplysninger, ikke må gemmes på privat udstyr.

2.2 Mail og sms

Hvis alle menighedsrådsmedlemmer har adgang til FIN, styrkes både datasikkerheden og kontinuiteten i arbejdet. Følsomme personoplysninger må ikke sendes internt mellem menighedsrådsmedlemmer til eller fra almindelige e-mails, da disse ikke er krypterede og derfor ikke tilstrækkeligt sikre. I stedet kan der sendes en besked til privatmailen om, at der ligger materiale tilgængeligt i arkivet. Ved brug af arkivet sikres også kontinuitet, da alt relevant materiale vedrørende menighedsrådets arbejde bliver opbevaret og dermed kan tilgås af nye medlemmer.

 Sikker mail

Det er vigtigt at være opmærksom på, hvilke mailadresser I benytter, og hvilke oplysninger I sender via mail. Krav til sikker kommunikation afhænger af dels hvem der er modtager, og dels af hvilke oplysninger I sender.

Menighedsrådet skal sikre sig, at forsendelsen sker sikkert med en krypteret forsendelse. Hvis I afsender fra jeres @sogn.dk- eller @km.dk-mail sender I krypteret, og kan dermed sende både almindelige, følsomme og fortrolige oplysninger til eksterne.

Alle med login til FIN har tilknyttet en egen km-mailadresse, og har dermed mulighed for at sende sikkert.

Det er ikke tilladt at opsætte en generel regel om videresendelse af mail til en postkasse uden for Kirkenettet.

”Egen” mail

Menighedsrådet kan have oprettet ”egne” mailkonti uden for kirkenettet fx formand@voreskirke.dk, kirketjener@voreskirke.dk. Menighedsrådet er selv ansvarlig for, at der kan sendes sikkert fra disse mailkonti samt at opbevaring sker sikkert. Menighedsrådet kan kontakte mailudbyder for oplysning og korrekt opsætning. Hvis menighedsrådet selv har oprettet en voreskirke@gmail.com, NNkirkegård@hotmail.com er hverken forsendelse eller opbevaring sikker.

Menighedsrådet kan købe licenser ved Folkekirkens IT og både menighedsrådsmedlemmer og ansatte kan få egen @km.dk-mailadresse. Der kan også oprettes mailadresse til en stilling fx kirketjenerXXXX@km.dk.

2.3 Den sikkerhedsansvarlige

I menighedsrådet er formanden ansvarlig for sikkerheden, men menighedsrådet kan vælge at overdrage ansvaret til et andet medlem af menighedsrådet. Den sikkerhedsansvarlige skal sikre, at personoplysninger bliver behandlet på en forsvarlig måde. Det indebærer, at ansatte, frivillige og menighedsrådsmedlemmer kender til korrekt håndtering af oplysninger og udviser sikker it-adfærd. Der skal også føres tilsyn med, at fysiske dokumenter med følsomme personoplysninger bliver håndteret korrekt.

Når der vælges nye medlemmer til menighedsrådet eller ansættes nye medarbejdere, der får adgang til Kirkenettets systemer, skal den sikkerhedsansvarlige udlevere informationssikkerhedspolitikken og cirkulæret, som de nye brugere skal læse.

Den sikkerhedsansvarlige skal administrere hvilke brugere, der har adgang til hvilke it-systemer. Hvert halve år skal den sikkerhedsansvarlige kontrollere, at de enkelte brugere kun er tildelt rettigheder på FIN, som brugeren arbejdsmæssigt har behov for. Den sikkerhedsansvarlige modtager en mail forud for genautorisering, hvor både fremgangsmåde og frist er beskrevet. Hvis ikke fristen overholdes, så mister brugeren adgangen.

3. Brud på datasikkerheden

Et sikkerhedsbrud defineres ved:

”Hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.”

Det vil sige er personoplysninger er blevet slettet, ændret, videregivet til en forkert modtager, eller opbevaret usikkert, så uvedkommende har haft adgang til personoplysningerne.

For at vurdere alvorligheden af databruddet, er det nødvendigt at se på konsekvenserne. Dette er også nødvendigt for at vurdere, om bruddet skal anmeldes til Datatilsynet, og om der skal underretning af den registrerede.

3.1 Anmeldelse til Datatilsynet

Procedure og frist

Anmeldelse skal ske uden unødig forsinkelse og senest 72 timer efter bruddet bliver opdaget. Der tages ikke hensyn til weekend, helligdage, ferier mv. Overskrides de 72 timer, skal den dataansvarlige være i stand til at redegøre for de særlige grunde, der umuliggjorde anmeldelse til Datatilsynet inden for fristen.

Anmeldelse kan ske trinvis og kan senere suppleres. At den dataansvarlige ikke er i stand til at afgive alle de oplysninger, der som minimum skal med i anmeldelsen, inden for tidsfristen på de 72 timer, kan ikke udgøre en begrundelse for at fravige det overordnede krav om, at anmeldelse af bruddet skal ske til Datatilsynet inden for 72 timer. Den dataansvarlige må i stedet afgive oplysninger trinvist til Datatilsynet uden yderligere forsinkelse.

Anmeldelse sker via det offentlige indberetningssystem www.virk.dk og kræver, at anmelderen har sognets brugeradgang til www.virk.dk. Oftest har en kordegn brugeradgang til www.virk.dk for at kunne indberette sygedagpengerefusion med videre. Vær opmærksom på, at det derfor kan være en fordel, at et menighedsrådsmedlem også har brugeradgang, så indberetning af brud kan ske rettidigt, også selv om kordegnen er fraværende.

I www.virk.dk bliver anmelderen ledt igennem en formular med alle de oplysninger, der kan oplyses om databruddet. Formularen indsendes, også selv om der kun kan laves en delvis anmeldelse, der senere bliver suppleret. En række minimumskrav til indholdet af anmeldelsen (udfyldes i formularen):

  • Karakteren af bruddet på persondatasikkerheden mv.
     
  • Navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
     
  • De sandsynlige konsekvenser af bruddet på persondatasikkerheden
     
  • De foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger. 

3.2 Underretning af den registrerede

Menighedsrådet skal lave en risikovurdering for at afgøre om der skal ske underretning. Alle de mulige konsekvenser og negative virkninger for den registrerede bør tages i betragtning.

Underretning skal ske, hvis bruddet indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Der findes i databeskyttelsesforordningen ikke en definition af begrebet ”høj risiko”. Det må ved en vurdering af risikoens omfang, lægges til grund, at jo mere alvorlige konsekvenser bruddet kan medføre, jo større vil risikoen være for de berørte personer. Eksempler på brud, hvor man vurderer, at der er høj risiko for den registrerede, kan være læk af cpr.nr. (risiko for identitetstyveri) eller hemmelig adresse (risiko for at ”blive fundet”).

Underretning skal ske til den enkelte registrerede uden unødig forsinkelse.

Underretningen, der skal gives i et klart og forståeligt sprog, skal beskrive karakteren af bruddet og mindst indeholde oplysninger om:

  • Navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes.
     
  • De sandsynlige konsekvenser af bruddet på persondatasikkerheden.
     
  • De foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder foranstaltninger for at begrænse dets mulige skadevirkninger, hvis det er relevant.
     
  • Det er ikke nødvendigt at underrette den registrerede, hvis en af følgende betingelser er opfyldt:
     
  • Den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger.
     
  • Fx: En kirketjener har haft mulighed for at ”kigge med” på kirkekulturmedarbejders deltagerliste med spisning og allergier. Den datatansvarlige tager fat i kirketjener og gør opmærksom på tavshedspligten.
     
  • Den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registrerede ikke længere er reel.
     
  • Det vil kræve en uforholdsmæssig indsats – i så fald skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede bliver underrettet på en tilsvarende effektiv måde.

3.3 Pligt til at logge hændelser

Log/registrer alle sikkerhedshændelser. Menighedsrådet skal dokumentere alle brud, herunder hændelser, der ikke indberettes som brud. Menighedsrådet skal beskrive de faktiske omstændigheder, konsekvenser og trufne afhjælpende foranstaltninger, og om der er sket anmeldelse til Datatilsynet.

3.4 Eksempler

EksempelAnmeldelse til DatatilsynetUnderretning af den registrerede
Kirkesangers pc stjæles, indeholdende korlister med navn, adresse, mailadresse, telefonnummer, PC er ikke krypteret.Ja, idet bruddet indebærer en risiko for den registrerede.

Nej.

Medmindre en registreret har hemmelig adresse – her kan underretning være nødvendig.

Et menighedsrådsmedlems private PC hackes. Ansøgninger til julehjælp ligger lokalt på PC’en i strid med menighedsrådets instruks.Ja, idet bruddet indebærer en risiko for den registrerede.Ja, da oplysninger i ansøgning om julehjælp ofte indeholder oplysninger af fortrolig karakter fx om økonomi.
Et menighedsrådsmedlems private PC hackes. Ansøgninger til julehjælp ligger på FIN, som kræver login.Nej, idet bruddet ikke indebærer en risiko for den registrerede.Nej
Kordegn sender deltagerliste til fællesspisning, med oplysning om allergener, til et forkert menighedsrådsmedlem. Modtageren sletter listen.Ikke nødvendigvis, hvis menighedsrådet vurderer, at bruddet ikke indebærer en risiko for den registrerede.Nej

 

4. Sletning

Menighedsrådet er forpligtet til at slette personoplysninger, når der ikke længere er behov for eller hjemmel til at opbevare dem. Menighedsrådet kan behandle personoplysninger ud fra forskellige formål og dermed kan der også være forskellige hjemler for behandlingen.

Fx er I forpligtet til at opbevare regnskabsmateriale i minimum 5 år efter bogføringsloven, hvorimod en deltagerliste til en sogneudflugt kan slettes umiddelbart efter arrangementets afvikling.

Sletning betyder, at materiale slettes uigenkaldeligt og ikke kan gendannes eller anonymiseres, så det ikke er muligt at finde tilbage til den registrerede. Det betyder også, at de pågældende oplysninger skal slettes fra jeres backup, hvis det er teknisk muligt. Hvis I får brug for genetablering af data fra jeres backup, skal I fjerne de data fra backup’en, der i mellemtiden er slettet. Der skal derfor være viden om, hvilket materiale der slettes, så samme materiale kan blive slettet i en gendannet backup (fx via en slettelog).

Vær opmærksom på, at en slettet mail, også skal slettes fra ”Slettet post” ligesom en slettet deltagerliste i Word/Excel også skal slettes fra papirkurven.

Også fysisk materiale, som bliver opbevaret i et kartotek i et arkivskab, skal makuleres, når det ikke længere er relevant.

Menighedsrådet skal fastsætte en politik for, hvornår og hvordan personoplysninger slettes – se link til tekstskabelon for sikkerheds- og slettepolitik nedenfor.

Menighedsrådet kan fx fastsætte slettefrister for behandling af oplysninger om stillingsansøgere, ansatte, sagsbehandling, julehjælp, brug af kirkebil mv.

Indhold
  1. Sikkerhedsforanstaltninger
    1. Fysiske foranstaltninger
    2. Tekniske foranstaltninger
    3. Organisatoriske foranstaltninger
  2. Informationssikkerhed
    1. FIN-adgange
    2. Mail og sms
    3. Den sikkerhedsansvarlige
  3. Brud på datasikkerheden
    1. Anmeldelse til Datatilsynet
    2. Underretning af den registrerede
    3. Pligt til at logge hændelser
    4. Eksempler
  4. Sletning