Privatlivs- og informationspolitik
Her kan du læse om Samsø Kommunes håndtering af privatliv og informationssikkerhed.
I Samsø Kommune arbejder vi for at værne om borgernes digitale tryghed. Ikke kun for at følge gældende love og regler i kommunens digitale tilbud og løsninger – men også for at højne bevidsthed og kompetencer i sikker digital adfærd blandt kommunens medarbejdere.
Rammen for dette arbejde, fremgår af kommunens politikker for privatlivsbeskyttelse og informationssikkerhed. Herunder kan du finde information om både privatliv og informationssikkerhed.
Privatliv
Samsø Kommune har fokus på at beskytte data om borgere, virksomheder, ansatte og samarbejdspartnere.
På lige fod med alle andre offentlige myndigheder, har Samsø Kommune en databeskyttelsesrådgiver, som skal holde øje med, om kommunen håndterer persondata på lovlig vis.
For at kunne levere vores kommunale services og ydelser, har vi brug for informationer. Det gælder informationer om:
- borgere
- foreninger
- virksomheder
- ansatte
- samarbejdspartnere
Du er velkommen til at kontakte vores databeskyttelsesrådgiver, hvis
- du har spørgsmål til vores håndtering af dine persondata, er du velkommen til at kontakte vores databeskyttelsesrådgiver.
- du har en mistanke om, at kommunen har lækket persondata eller på anden måde krænket fortroligheden i håndteringen af dine eller andre personers data.
Kontakt Samsø Kommunes databeskyttelsesrådgiver Lasse Geiger på mail dpo@samsoe.dk eller på telefon 51 37 71 41 i kommunens telefontid mandag til torsdag fra 9.00 - 12.00 og igen fra 13.00-15.00.
I forbindelse med behandlingen af din sag, vil det i mange tilfælde være nødvendigt at indhente oplysninger om dig.
Ved disse behandlinger, bestræber vi os på, ikke at indhente flere oplysninger end de, der er nødvendige for at kunne behandle din sag.
Nogle informationer kan vi selv hente fra andre offentlige myndigheder eller fælles registre, så som indkomstoplysninger, SKAT, BBR og lignende. Andre informationer beder vi dig om at oplyse, når du ansøger om en ydelse eller service.
Du har altid ret til at få at vide, hvorfra vi henter oplysninger om dig i forbindelse med dine services og ydelser i kommunen. Det enkelte fagområde skal oplyse det til dig i forbindelse med en ansøgning om en service eller ydelse.
Som udgangspunkt anvender vi den fælles-offentlige login-løsning NemLogin, hvor du bruger dit MitID som nøgle til at logge dig ind på selvbetjeningsløsninger og blanketter.
Du kan dog også støde på formularer eller selvbetjeningsløsninger, som ikke kræver så høj sikkerhed. Her kan du typisk oprette dig med et selvvalgt brugernavn og password. Et eksempel på dette er bibliotekernes selvbetjeningsløsning.
Når vi indhenter personlige oplysninger om dig og gemmer dem i forbindelse med vores arbejde, er der forskellige retningslinjer for, hvor længe vi gemmer dine oplysninger. Det varierer, alt efter om det drejer sig om eksempelvis en sag i jobcentret, en byggesag eller en jobansøgning.
Inden for visse fagområder skal vi aflevere dine sager og informationer til Rigsarkivet, inden vi må slette dem. Det reguleres af arkivloven.
Du kan få præcise oplysninger om, hvor længe vi gemmer dine oplysninger ved at kontakte de enkelte fagområder.
Det er databeskyttelsesrådgiverens opgave at tilse, at kommunen lever op til databeskyttelsesloven. Databeskyttelsesrådgiveren er i sin funktion en uvildig instans, der ikke refererer til administrationen. Rådgiveren bistår med råd og vejledning til fagområderne om lovlig, god og sikker håndtering af persondata.
Du kan kontakte databeskyttelsesrådgiveren, hvis du er i tvivl om, om kommunen håndterer dine persondata korrekt.
Klik her for at læse mere om databeskyttelsesrådgiverens rolle på Datatilsynets hjemmeside.
Samsø Kommune har til tider behov for at afholde videomøder. Et sådant møde vil blive afholdt som videomøde i Microsoft Teams. Der gøres opmærksom på, at transaktionsoplysninger og chat under mødet vil blive logget af både Samsø Kommune og Microsoft.
Der vil dog ikke blive foretaget video- eller lydoptagelse af mødet fra hverken Samsø Kommunes eller Microsofts side.
Samsø Kommune har indført et sæt etiske regler vedrørende offentliggørelse af billeder. Ved valg af foto, skal billedet vurderes ud fra følgende regler:
- Fotoet skal vise noget om kommunen/institutionen eller en aktivitet
- Fotoet må ikke vurderes som ydmygende eller krænkende
- Fotoet må ikke kunne virke skadende for barnet nu eller på længere sigt
- Der skal tages hensyn til religion og kultur
- Indehaver af forældremyndighed skal give skriftligt samtykke vedrørende fotografering af børn
- Hvis der ytres ønske om det, skal fotoet fjernes hurtigst muligt
- Alle skriftlige tilladelser kan til enhver tid trækkes tilbage
Informationssikkerhed
Informationssikkerhedspolitikken i Samsø Kommune fastlægger den overordnede ramme for beskyttelsen af kommunens informationsaktiver og it-systemer, herunder placeringen af ansvaret for kommunens it-sikkerhedsindsats.
Indledning til Samsø Kommunes informationspolitik
Politikkens bestemmelser er udarbejdet med afsæt i:
- Principperne i ISO27001 – en international sikkerhedsstandard, som kommunerne i henhold til den fællesoffentlige digitaliseringsstrategi er forpligtede til at følge
- EU´s databeskyttelsesforordning (GDPR) og de afledte nationale lovgivninger på området
- Anden lovgivning hvor det er relevant for informationssikkerheden
Kommunen behandler og opbevarer en stor mængde data og viden - herunder både almindelige og følsomme personoplysninger. Disse data og denne viden kaldes under ét for kommunes informationsaktiver. Det kræver en særlig indsats at sikre disse informationsaktivers fortrolighed, integritet og tilgængelighed, ligesom det er af afgørende betydning for Samsø Kommune, at borgere, virksomheder og den øvrige offentlige sektor har tillid til, at den nødvendige sikkerhed bliver opretholdt omkring håndteringen af de informationsaktiver, der er i kommunens varetægt.
Beskyttelse af informationsaktiver og IT-systemer er derfor et vigtigt fokusområde, der håndteres gennem kommunens ledelsessystem for informationssikkerhed (ISMS), der udgør det samlede udtryk for de politikker, procedurer, processer, organisatoriske beslutningsgange og aktiviteter Samsø Kommune har implementeret for at sikre en velafstemt og risikobaseret tilgang til det informationssikkerhedsmæssige arbejde.
Formålet med Samsø Kommunes informationssikkerhedspolitik er at definere og fastlægge de overordnede principper for beskyttelse af kommunens informationsaktiver og IT-systemer.
Politikken skal udmøntes gennem implementering af sikkerhedsforanstaltninger, der fastlægges på baggrund af risikovurderinger. Disse skal foretages med henblik på at sikre et passende sikkerhedsniveau for de behandlede informationsaktiver og systemer med udgangspunkt i tre centrale begreber:
- Fortrolighed, så information ikke kommer til uvedkommendes kendskab
- Integritet, så information forbliver pålidelig, korrekt og intakt
- Tilgængelighed, så relevant information kan tilgås og anvendes, når og hvor der er behov for det
Den overordnede hensigt med informationssikkerhedsarbejdet er således at sikre, at:
- kommunens it-infrastruktur til stadighed er driftssikker og effektivt beskyttet mod interne og eksterne trusler herunder angreb på it-systemer som fx hacker- og virusangreb og misbrug af rettigheder (Fortrolighed, Integritet)
- oplysninger om borgere og virksomheder til enhver tid er beskyttet mod uberettiget videregivelse, hændelige uheld eller forsætlige handlinger (Fortrolighed)
- informationsaktiver til enhver tid er tilgængelige for både interne og eksterne interessenter, med hjemmel til og behov for at få adgang hertil (Tilgængelighed)
- regler for god sikkerhedsskik (best practice), herunder principper og normer for adfærd i omgang med informationsaktiver og anvendelsen af kommunens IT-systemer, er klart formuleret og formidlet til medarbejderne (Fortrolighed, Integritet)
- der er udarbejdet en beredskabsplan, der sikrer, at driften kan genoptages hurtigst muligt efter et nedbrud eller sikkerhedsbrud, og at konsekvenserne heraf reduceres mest muligt (Fortrolighed, Integritet, Tilgængelighed)
Informationssikkerhedspolitikken omfatter enhver form for informationsaktiver, der ejes, opbevares eller behandles af kommunen eller kommunens databehandlere. Dette gør sig gældende uanset hvilket medier, informationsaktivet er lagret på og uanset, hvordan informationsaktivet fremstår (elektronisk, papirbaseret, i tale, transmitteret eller filmisk).
Informationssikkerhedspolitikken er gældende for alle, der udfører opgaver eller hverv for kommunen, herunder:
- Ansatte (fastansatte, midlertidigt ansatte, vikarer og lignende)
- Medlemmer af Kommunalbestyrelsen
- Eksterne samarbejdspartnere (personer og virksomheder, der udfører opgaver for kommunen)
Kommunens informationssikkerhedspolitik gælder for alle lokaliteter, hvor der sker en anvendelse og bearbejdning af kommunens informationsaktiver på rådhus, institutioner, hjemmearbejdspladser eller adgang via mobil.
Kommunens informationssikkerhedspolitik gælder også på lokaliteter for eksterne samarbejdspartnere og virksomheder, der behandler eller er i besiddelse af kommunens informationsaktiver, medmindre der er indgået særskilt aftale herom i databehandleraftaler (eller andre samarbejdsaftaler) for de specifikke behandlingsaktiviteter.
Det er en ledelsesmæssig opgave at sikre informationssikkerheden i Samsø Kommune. Derfor er ansvaret entydigt forankret i kommunens kommunalbestyrelse og kommunens informationssikkerhedsudvalg, der består af kommunaldirektøren og kommunens forvaltningschefer.
Kommunalbestyrelsen:
Det er kommunalbestyrelsen, der fastlægger de overordnede rammer for informationssikkerheden gennem review og godkendelse af informationssikkerhedspolitikken.
Kommunaldirektøren:
Kommunaldirektøren er kommunens øverste administrative sikkerhedsansvarlige og udgør sammen med den øvrige chefgruppe kommunens informationssikkerhedsudvalg.
Kommunaldirektøren har det overordnede ansvar for, at opgaverne i kommunens informationssikkerhedsarbejde bliver løst i overensstemmelse med de bestemmelser, der er fastlagt i nærværende informationssikkerhedspolitik og relevant lovgivning i øvrigt. Det er også kommunaldirektøren, der som formand for informationssikkerhedsudvalget rapporterer på informationssikkerhedsudvalgets arbejde overfor kommunalbestyrelsen, når og hvor det er relevant.
Chefgruppen:
Sammen med kommunaldirektøren udgør chefgruppen kommunens informationssikkerhedsudvalg, der er ansvarligt for udarbejdelse af (samt opfølgning på) kommunens informationssikkerhedspolitik og hertil understøttende retningslinjer, håndbøger, procedurer og vejledninger.
Chefgruppen har også (qua deres rolle som systemejere) ansvaret for udarbejdelse og vedligehold af risikovurderinger for IT-systemer og processer, der omfatter behandling eller lagring af informationsaktiver. Det er også informationssikkerhedsudvalgets ansvar at beslutte og iværksætte initiativer til at håndtere og/eller imødegå kritiske og/eller omfattende sikkerhedshændelser. Informationssikkerhedsudvalget kan beslutte helt eller delvist at uddelegere sine opgaver rent operationelt, men kan ikke uddelegere ansvaret herfor.
Den IT-ansvarlige:
Den IT-ansvarlige har gennem varetagelsen af rollen som kommunens tværgående informationssikkerhedskoordinator ansvaret for den daglige operationelle ledelse og facilitering af kommunens informationssikkerhedsarbejde, samt er den IT-ansvarlige informationssikkerhedsudvalgets rådgiver ift. kortlægning af risici og konsekvenser ifm. indkøb og anvendelse af informationsteknologi.
Databeskyttelsesrådgiveren (DPO):
Dette er primært en rådgivende funktion i informationssikkerhedsarbejdet. Det er således DPO’ens ansvar at rådgive, vejlede og overvåge, hvordan og om kommunen efterlever GDPR, samt at sikre afrapportering herom til kommunens øverste ledelse (kommunalbestyrelsen samt informationssikkerhedsudvalget).
Dertil bistår DPO’en med den lovpligtige indhentning af databehandleraftaler (samt tilsynet hermed), samt varetager DPO’en rollen som kontaktperson for kommunens borgere ift. GDPR relaterede spørgsmål og forespørgsler.
Øvrige ledere:
Den øvrige ledelse har til ansvar at tilse, at kendskabet til den informationssikkerhedsmæssige ramme og konsekvens er kendt blandt eget personale (og hvor det er relevant også eksterne samarbejdspartnere), samt at sikre efterlevelsen af relevante retningslinjer, instrukser og procedurer herunder.
Dertil vil ledere også i eventuelt uddelegerede roller som systemejere skulle bidrage til udformning og vedligehold af risikovurderinger herfor.
Øvrige medarbejdere:
Disse har til ansvar at kende og efterleve informationssikkerhedspolitikken og dens udmøntning i relevant omfang, samt løbende at deltage i awareness- og uddannelsesaktiviteter i samme kontekst.
Samsø Kommune fastlægger på baggrund af konkrete risikovurderinger et sikkerhedsniveau, der indfrier de forventninger til troværdighed og stabilitet, der er til behandling af data i en offentlig myndighed.
Sikringen skal stå mål med risikoen, og derfor skal kommunen ikke sikre sig for enhver pris - men være bevidst om enhver risiko.
Sikkerhedsniveauet og anvendelsen skal til enhver tid tilgodese lov- og myndighedskrav, anerkendte standarder for informationssikkerhed (ISO 27001/27002), anbefalinger på området (”Best practice”) samt udmeldinger og afgørelser fra Datatilsynet.
Der skal kontinuerligt foretages risikovurderinger. Ledelsen skal deltage aktivt i risikovurderingerne, idet de er ansvarlige for at vurdere trusler, konsekvenser og risici af it-systemer og behandlingsaktiviteter. Som minimum gennemføres/revideres risikovurderinger af kritiske it-systemer en gang årligt samt ved større ændringer i systemanvendelsen eller ved leverandørskifte.
Kommunens informationsaktiver og IT-systemer skal identificeres og klassificeres. Dette skal sikre det korrekte sikkerhedsniveau i forhold til systemer og datas fortrolighed, integritet og tilgængelighed.
Alle, som har adgang til, anvender eller behandler informationsaktiver i Samsø Kommune har et medansvar for, at informationsaktiver og IT-systemer beskyttes optimalt mod uautoriseret adgang, ændring, ødelæggelse og tyveri.
For at sikre et kontinuerligt højt bevidsthedsniveau, så skal alle ansatte løbende modtage relevant uddannelse eller træning i databeskyttelse og informationssikkerhed.
I det omfang der er akut behov for at fravige specifikke krav i informationssikkerhedspolitikken, er det alene kommunaldirektøren, der kan bemyndige dette.
Det påhviler kommunaldirektøren at informere kommunalbestyrelsen og informationssikkerhedsudvalget herom, samt at tilse at et evt. behov for at tilpasse informationssikkerhedspolitikken behandles senest ved næste revision af informationssikkerhedspolitikken.
Bevidste eller ubevidste overtrædelser af kommunens informationssikkerhedspolitik kan få den konsekvens, at borgernes personoplysninger bliver kompromitteret. En anden konsekvens kan være, at der opleves ustabilitet/uhensigtsmæssigheder i anvendelse og bearbejdning af kommunens informationsaktiver. Dette kan i værste fald medføre økonomisk tab for kommunen eller en forringelse af den kommunale service eller kommunens omdømme.
Hvis en trussel mod informationssikkerheden eller brud på denne opdages, skal disse hændelser straks meddeles til kommunens sikkerhedsansvarlige i henhold til gældende procedure (typisk kommunens DPO og/eller IT-ansvarlige).
Sikkerhedsbrud indgår i rapporteringen til informationssikkerhedsudvalget.
Hændelser, der kræver presseomtale, håndteres af informationssikkerhedsudvalget.
Overtrædelser af kommunens informationssikkerhedspolitik eller andre bestemmelser, der er udmøntet heraf, vil blive behandlet af informationssikkerhedsudvalget afhængig af karakteren af overtrædelsen og kan få ansættelsesmæssige konsekvenser.
Denne informationssikkerhedspolitik er senest revideret d. 1/10-2020 og godkendt af kommunalbestyrelsen d. 10/11-2020.
Har du spørgsmål til informationssikkerheden i Samsø Kommune, kan du kontakte leder af IT-afdelingen, Jens Knobelauch på telefon 30 10 55 33 i kommunens telefontid mandag til torsdag fra 9.00 - 12.00 og igen fra 13.00 - 15.00 eller på mail aujekn@samsoe.dk.